Погода:
Киев сегодня
Киев
Донецк
Одесса
Львов
Харьков
Санкт-Петербург
Москва
Сегодня Завтра
НБУ
НБУ Межбанк Наличные
EUR
26.18
USD
23.49
RUB
0.37
EUR
39.04
USD
36.57
RUB
0.34
EUR
29.22
USD
26.07
RUB
0.46
Что такое концепция Zero Trust и для чего она нужна?
концепция Zero Trust
  • 1
  • 2
  • 3
  • 4
  • 5
  • Текущий рейтинг
0/5 (0 голосов)
Zero Trust — одна из наиболее актуальных концепций по защите корпоративной ИТ-инфраструктуры.

Все последние годы с ростом уровня цифровизации бизнеса растет и ущерб от киберпреступлений. По данным Cybersecurity Ventures, потери бизнеса от киберпреступности к 2021-му году могут составить $6 триллионов.

Однако, системы обеспечения кибербезопасности, как и киберугрозы, тоже постоянно развиваются и эволюционируют. Так, еще в 2010 году Джон Киндерваг из Forrester Research впервые сформулировал концепцию Zero Trust — модель "нулевого доверия". Давайте разберемся, что лежит в ее основе.

Главная проблема в обеспечении действительно надежной защиты IТ-инфраструктуры от современных целенаправленных кибератак состоит в том, что злоумышленники не ограничены во времени, и им достаточно быть успешными всего единожды. Поэтому, логично, что от "безопасников" требуют обеспечивать 100% предотвращение угроз.

Разумеется, это просто невозможно. Уязвимости в программном обеспечении обнаруживаются постоянно, новые методы и тактики атак разрабатываются непрерывно, да и банальные ошибки и недочеты в конфигурации средств защиты из-за пресловутого человеческого фактора тоже представляют серьезную угрозу. Потому идея создания "непроходимого периметра" на самом деле скорее может навредить чем помочь.

Например, если в компании периметр сети достаточно хорошо защищен, всегда существует ненулевая вероятность, что злоумышленник проникнет внутрь при помощи взлома аккаунта какого-то сотрудника, например, с помощью таргетированной фишинговой атаки. И в этом случае хорошо защищенный периметр сети уже наоборот, может сыграть отрицательную роль для службы безопасности, потому что та будет надеяться, что у неё "все хорошо". А злоумышленник, в свою очередь, получив доступ к сети, уже не будет встречать на своем пути практически никакого сопротивления. В итоге средства, вложенные в создание "непроходимого периметра", окажутся потраченными впустую.

"Поэтому концепция Zero Trust — это не что-то новое, это просто более зрелый взгляд на то, как обеспечить надежное функционирование IT-сервисов, когда они находятся в условиях постоянной угрозы компрометации", — говорит Алексей Швачка, специалист и технический директор компании "Октава Киберзахист".

Согласно этой концепции, говорит Алексей Швачка, в корпоративной IТ-инфраструктуре необходимо реализовать подход, когда любое устройство или пользователь, который пытается получить доступ к каким-либо ресурсам, не считающимися по умолчанию безопасным, должен каждый раз проходить полную процедуру идентификации, а все его активности должны протоколироваться и находиться под постоянным мониторингом и контролем.

Да, разумеется, это требует более серьезных инвестиций в кибербезопасность, чем просто покупка межсетевого экрана и антивируса. И, главное, это требует изменения подхода к процессам работы службы безопасности. Однако, в результате бизнес не только получит повышение управляемости и прозрачности в IТ, но и сможет существенно снизить вероятность появления "Черного лебедя" — наступления условно неожиданного инцидента с тяжелыми последствиями. Почему "условно"? Потому что практически все подобного рода инциденты являются закономерным следствием недоработок и просчетов в прошлом. Самым ярким примером "Черного лебедя" в области кибербезопасности для Украины стала атака вируса-шифровальщика Petya/Nyetya в 2017 году.

Добавляет "градуса" и повсеместное размытие понятия периметра корпоративной сети. Здесь и мобильные сотрудники, и облачные сервисы и многое другое. В таких условиях, без принятия концепции Zero Trust уже просто не обойтись.

Теперь несколько слов о том, как и какими средствами ее можно реализовать на практике. Чтобы приблизиться к этому, необходимо прежде всего точно идентифицировать все имеющиеся у компании информационные активы, определить кто/что, с какими правами, в какое время из какого места может иметь к ним доступ. Сама по себе эта задача довольно сложная, и, надо сказать, не разовая. То есть поддержание в актуальном состоянии перечня информационных активов должно быть постоянным процессом. То же касается и задачи мониторинга и контроля за всеми устройствами, пользователями и получаемыми ими доступами к активам — это тоже должен быть непрерывный процесс. Очевидно, что для этого необходимы инструменты, и они есть.

Конечно, у каждой организации своя специфика, но у всех присутствуют автоматизированные рабочие места пользователей, есть администраторы, у подавляющего большинства есть понятие "внутренняя сеть", очень многие пользуются облачными сервисами (тот же Microsoft Office 365, например). Для ИТ-инфраструктуры подобного вида для приближения к реализации концепции Zero Trust вполне применимы будут такие классы решений, как:

➡️ Network Access Control (контроль доступа и микросегментация сети, например Cisco ISE),

➡️ Network Behavior Anomaly Detection (обнаружение аномалий в сетевой активности, например Cisco StealthWatch),

➡️ Cloud Access Security Broker (обеспечение видимости и контроля доступа к облачным ресурсам, например Cisco Cloudlock),

➡️ Multifactor Authentication (многофакторная аутентификация, например ESET Secure Authentication),

➡️ Endpoint Detect and Response (своего рода антивирус нового поколения, позволяющий отслеживать неизвестный вредоносный код по вторичным признакам, в том числе без сигнатур, например ESET Targeted Attack Protection),

➡️ User Entity Behavior Analysis (обнаружение аномального поведения пользователей и процессов на рабочих станциях, например Splunk User Behavior Analytics),

➡️ Privilege Access Manager (протоколирование и контроль действий администраторов, например WALLIX Admin Bastion).

Для реализации задачи комплексного мониторинга всех событий в ИТ-инфраструктуре применяются SIEM-системы, предназначенные для сбора и корреляции журналов событий от всех источников в сети — от межсетевого экрана до последней рабочей станции (например, Splunk Enterprise Security).

В идеале, более-менее полно реализовать концепцию Zero Trust в большой корпоративной инфраструктуре сможет хорошо оснащенный и с правильно выстроенными процессами Security Operation Center. Но это отдельная большая тема, и о ней — в другой раз.

Пока можно добавить только, что в последние несколько лет набирает обороты еще один класс решений по кибербезопасности, основанный на принципе активного введения в заблуждение атакующих сеть хакеров. Речь о технологии Deception, которая позволяет быстро развернуть множество ложных целей, имитирующих реальные активы организации — рабочие станции, сервера, банкоматы, SCADA-системы и другие, и реагирующие всего лишь на единственную попытку получения несанкционированного доступа к ним, сколь бы осторожной она ни была.

Примером такого рода решения может быть система TrapX Deception Grid от израильской компании TrapX Security. Подход к применению технологии обмана злоумышленников уже довольно хорошо описан американским Department of Homeland Security и называется концепция Moving Target Defence. Можно с уверенностью сказать, что она органично и бесшовно вписывается в концепцию Zero Trust.

Отдельно стоит отметить, что применение технологии Deception радикально нивелирует преимущества злоумышленника, проникшего в сеть и проводящего ее осторожную разведку. "Если в сети есть заведомо ложные цели, в этом случае злоумышленник будет ни в чем не уверен никогда, даже зная о факте наличия таких "мин", и теперь уже единственный неосторожный шаг самого хакера может привести к тому, что он попадется", — считает Алексей Швачка.

И напоследок, нужно понимать, что даже при наличии продвинутых систем защиты, не стоит забывать об обычных превентивных мерах, регулярно проводить тесты на проникновение и всегда придерживаться правил безопасности.

  • 1
  • 2
  • 3
  • 4
  • 5
  • Текущий рейтинг
Комментарии (0)
Войти через: