Модель с нулевым доверием набирает обороты с экспертами по безопасности

«Никогда не верь, всегда проверяй». Звучит как здравый смысл, верно? Это девиз стратегии под названием Zero Trust, которая набирает обороты в мире кибербезопасности. Это включает в себя ИТ-отдел проверки всех пользователей перед предоставлением прав доступа. Эффективное управление доступом к учетным записям является более важным, чем когда-либо: 58 процентов предприятий малого и среднего бизнеса (SMB) сообщили о нарушениях данных в 2017 году, согласно отчету Verizon Data Breach Investigation 2018.

Концепция Zero Trust была основана Джоном Киндервагом, бывшим аналитиком Forrester Research, а теперь техническим директором в Palo Alto Networks. «Нам нужно начать разрабатывать реальную стратегию, и именно это позволяет Zero Trust», - сказал Киндерваг 30 октября на саммите SecurIT Zero Trust в Нью-Йорке. Он добавил, что идея Zero Trust возникла, когда он сел и действительно рассмотрел концепцию доверия, и как злоумышленники, как правило, извлекают выгоду из компаний, доверяющих сторонам, которых они не должны.

Доктор Чейз Каннингем стал преемником Киндервага в качестве главного аналитика в Forrester в отстаивании подхода нулевого доверия. «Нулевое доверие - это то, что влечет за собой эти два слова, что означает не доверять ничего, не доверять управлению паролями, не доверять учетным данным, не доверять пользователям и не доверять сети», - сказал Каннингем PCMag в Zero Trust. Встреча на высшем уровне.

Киндерваг использовал пример Секретной службы США, чтобы проиллюстрировать, как организация должна отслеживать, что им нужно защищать и кому нужен доступ. «Они постоянно контролируют и обновляют эти элементы управления, чтобы они могли контролировать то, что проходит через микро периметр в любой момент времени», - сказал Киндерваг. «Это метод защиты руководителей Zero Trust. Это лучший наглядный пример того, что мы пытаемся сделать в Zero Trust».

Уроки нулевого доверия, полученные на OPM

Прекрасный пример того, как Zero Trust может работать на благо организаций, пришел от бывшего ИТ-директора федерального правительства США. На саммите Zero Trust доктор Тони Скотт, который занимал должность директора по информационным технологиям США с 2015 по 2017 год, описал серьезное нарушение данных, произошедшее в Управлении персонала США (OPM) в 2014 году. Это нарушение произошло из-за иностранного шпионажа в котором личная информация и информация о допуске к безопасности были украдены у 22, 1 миллиона человек, а данные о отпечатках пальцев - у 5, 6 миллиона человек. Скотт описал, как не только сочетание цифровой и физической безопасности было бы необходимо для предотвращения этого нарушения, но также и эффективное применение политики Zero Trust.

Когда люди подали заявку на работу в OPM, они заполнили исчерпывающую стандартную анкету (SF) 86, и данные будут охраняться в пещере вооруженными охранниками и танками, сказал он. «Если бы вы были иностранным лицом и хотели украсть эту информацию, вам пришлось бы проникнуть в эту пещеру в Пенсильвании и пройти мимо вооруженных охранников. Тогда вам пришлось бы уехать с грузовиками с бумагой или иметь очень быструю машину ксерокса или что-то в этом роде». "Скотт сказал.

«Было бы монументально пытаться сбежать с 21 миллионами записей», - продолжил он. «Но постепенно, когда автоматизация вошла в процесс OPM, мы начали помещать эти вещи в компьютерные файлы на магнитные носители и т. Д. Это значительно облегчило кражу». Скотт объяснил, что OPM не смог найти тот же тип эффективной безопасности, что и вооруженные охранники, когда агентство стало цифровым. После атаки Конгресс выпустил отчет, призывающий к стратегии нулевого доверия для защиты от подобных нарушений в будущем.

«Для борьбы с передовыми постоянными угрозами, стремящимися скомпрометировать или использовать ИТ-сети федерального правительства, агентства должны перейти к модели информационной безопасности и ИТ-архитектуры« нулевого доверия », - говорится в докладе конгресса. Бывший член палаты представителей США Джейсон Чаффец (R-Юта), тогдашний председатель комитета по надзору, также написал пост о Zero Trust в то время, первоначально опубликованный Федеральным радио новостей. «Управлению по бюджету и управлению (OMB) следует разработать руководящие принципы для исполнительных департаментов и руководителей учреждений для эффективной реализации Zero Trust, а также меры по визуализации и регистрации всего сетевого трафика», - пишет Чаффец.

Нулевое доверие в реальном мире

В реальном примере реализации Zero Trust компания Google развернула внутри себя инициативу BeyondCorp, предназначенную для перемещения средств управления доступом от периметра сети к отдельным устройствам и пользователям. Администраторы могут использовать BeyondCorp как способ создания детальных политик контроля доступа для Google Cloud Platform и Google G Suite на основе IP-адреса, состояния безопасности устройства и личности пользователя. Компания под названием Luminate предоставляет безопасность Zero Trust как сервис, основанный на BeyondCorp. Luminate Secure Access Cloud аутентифицирует пользователей, проверяет устройства и предлагает механизм, который обеспечивает оценку риска, которая разрешает доступ к приложениям.

«Наша цель - обеспечить безопасный доступ для любого пользователя, с любого устройства, к любому корпоративному ресурсу независимо от того, где он находится, в облаке или в помещении, без развертывания каких-либо агентов в конечной точке или любых устройств, таких как виртуальные частные сети (VPN), брандмауэры или прокси-серверы на месте назначения », - сказал Майклу Дубински, руководитель отдела управления продуктами в Luminate, на конференции PCMag на конференции по гибридной защите идентификационных данных (HIP) 2018 (HIP2018) в Нью-Йорке.

Ключевой ИТ-дисциплиной, в которой Zero Trust набирает обороты, является управление идентификацией. Вероятно, это связано с тем, что 80 процентов нарушений вызваны неправильным использованием привилегированных учетных данных, согласно отчету «Forrester Wave: Управление привилегированными идентификационными данными, 3 квартал 2016 года». Системы, которые контролируют авторизованный доступ более детально, могут помочь предотвратить эти инциденты.

Область управления идентификацией не нова, и существует длинный список компаний, предлагающих такие решения, наиболее вероятной из которых является Microsoft и ее платформа Active Directory (AD), встроенная во все еще популярную операционную систему Windows Server (ОПЕРАЦИОННЫЕ СИСТЕМЫ). Тем не менее, существует множество новых игроков, которые могут предложить не только больше функциональных возможностей, чем AD, но также могут упростить внедрение и поддержку управления идентификацией. К таким компаниям относятся такие игроки, как Centrify, Idaptive, Okta и SailPoint Technologies.

И хотя те, кто уже вложил средства в Windows Server, могут отказаться платить больше за технологии, в которые, по их мнению, они уже вложили средства, более глубокая и лучше обслуживаемая архитектура управления идентификацией может принести большие дивиденды в предотвращенных нарушениях и аудитах соответствия. Кроме того, стоимость не является чрезмерной, хотя она может быть значительной. Например, Centrify Infrastructure Services стоит от 22 долларов в месяц за систему.

Как работает Zero Trust

«Одна из вещей, которую делает Zero Trust, - это определение сегментации сети», - сказал Киндерваг. Сегментация является ключевым понятием как в управлении сетью, так и в кибербезопасности. Он включает в себя разделение компьютерной сети на подсети, логически или физически, для повышения производительности и безопасности.

Архитектура с нулевым доверием выходит за рамки модели периметра, которая охватывает физическое местоположение сети. Это включает в себя «подталкивание периметра к сущности», сказал Каннингем.

«Объектом может быть сервер, пользователь, устройство или точка доступа», - сказал он. «Вы нажимаете на элементы управления до микроуровня, а не думаете, что построили действительно высокую стену и что вы в безопасности». Каннингем описал брандмауэр как часть типичного периметра. «Это проблема подхода, стратегии и периметра», - отметил он. «Высокие стены и одна большая вещь: они просто не работают».

По словам Дэнни Кибела (Danny Kibel), нового генерального директора Idaptive, компании по управлению идентификацией, которая выходит из Centrify, чтобы получить доступ к сети, старый аспект безопасности заключался в использовании маршрутизаторов. До Zero Trust компании проверяли, а затем доверяли. Но с Zero Trust вы «всегда проверяете, никогда не доверяете», объяснил Кибель.

Idaptive предлагает платформу доступа следующего поколения, которая включает в себя единый вход (SSO), адаптивную многофакторную аутентификацию (MFA) и управление мобильными устройствами (MDM). Такие сервисы, как Idaptive, предоставляют способ создания необходимого детального контроля доступа. Вы можете обеспечить или отменить предоставление в зависимости от того, кому нужен доступ к различным приложениям. «Это дает организации возможность контролировать свой доступ», - сказал Кибель. «И это очень важно для организаций, которые мы наблюдаем, потому что существует много разрастаний с точки зрения несанкционированного доступа».

Кибель определил подход Idaptive к Zero Trust в три этапа: проверить пользователя, проверить его устройство и только после этого разрешить доступ к приложениям и службам только для этого пользователя. «У нас есть несколько векторов для оценки поведения пользователя: местоположение, географическая скорость, время суток, время недели, тип приложения, которое вы используете, и даже в некоторых случаях, как вы используете это приложение», - сказал Кибель., Idaptive отслеживает успешные и неудачные попытки входа в систему, чтобы увидеть, когда ему нужно повторно проверить аутентификацию или вообще заблокировать пользователя.

30 октября Centrify представила подход кибербезопасности под названием Zero Trust Privilege, в котором компании предоставляют наименее привилегированный доступ и проверяют, кто запрашивает доступ. Четыре шага процесса Zero Trust Privilege включают в себя проверку пользователя, просмотр контекста запроса, защиту среды администратора и предоставление минимального количества необходимых привилегий. Подход Centrify Zero Trust Privilege предполагает поэтапный подход к снижению риска. Это также приводит к переходу от устаревшего Privileged Access Management (PAM), которое представляет собой программное обеспечение, которое позволяет компаниям ограничивать доступ к более новым типам сред, таким как платформы облачных хранилищ, проекты с большими данными и даже передовые проекты по разработке пользовательских приложений, работающие в сети бизнес-уровня. Хостинг.

Модель Zero Trust предполагает, что хакеры уже получают доступ к сети, сказал Тим Стейнкопф, президент Centrify. По словам Стейнкопфа, стратегия борьбы с этой угрозой заключается в ограничении бокового движения и применении МФА повсюду. «Всякий раз, когда кто-то пытается получить доступ к привилегированной среде, вам необходимо немедленно иметь правильные учетные данные и правильный доступ», - сказал Стейнкопф в интервью PCMag. «Способ обеспечить это состоит в том, чтобы объединить идентичности, и тогда вам нужен контекст запроса, то есть кто, что, когда, почему и где». После этого вы предоставляете только необходимый объем доступа, сказал Стейнкопф.

«Вы берете контекст пользователя, в этом случае это может быть врач, это может быть медсестра или какой-то другой человек, пытающийся получить доступ к данным», - сказал Дубинский. «Вы берете контекст устройства, с которого они работают, вы берете контекст файла, к которому они пытаются получить доступ, и затем вам необходимо принять решение о доступе на основе этого».

MFA, Zero Trust и лучшие практики

Ключевым аспектом модели Zero Trust является строгая аутентификация, и в нее входит возможность использования нескольких факторов аутентификации, отметил Хед Ковец, генеральный директор и соучредитель Silverfort, который предлагает решения MFA. Из-за нехватки периметров в эпоху облачных вычислений, как никогда, возникает необходимость в аутентификации. «Возможность выполнять MFA для чего-либо является почти основным требованием Zero Trust, и сегодня это невозможно сделать, потому что Zero Trust исходит из идеи, что больше нет периметров», - сказал Ковец на PCMag на HIP2018. «Итак, все связано с чем-либо, и в этой реальности у вас нет шлюза, к которому вы можете применить контроль».

Каннингем из Forrester обрисовал стратегию под названием Zero Trust eXtended (XTX), чтобы сопоставить решения о покупке технологий со стратегией Zero Trust. «Мы действительно рассмотрели семь элементов контроля, которые необходимы для безопасного управления средой», - сказал Каннингем. Семь столпов: автоматизация и оркестровка, видимость и аналитика, рабочие нагрузки, люди, данные, сети и устройства. Чтобы быть платформой ZTX, система или технология должны иметь три из этих столпов наряду с возможностями интерфейса прикладного программирования (API). Несколько поставщиков, предлагающих решения по безопасности, вписываются в различные основы платформы. По словам Каннингема, Centrify предлагает продукты для обеспечения безопасности людей и устройств, Palo Alto Networks и Cisco предлагают сетевые решения, а решения IBM Security Guardium ориентированы на защиту данных.

Модель Zero Trust также должна включать в себя зашифрованные туннели, облако трафика и шифрование на основе сертификатов, сказал Стейнкопф. Если вы отправляете данные с iPad через Интернет, то вы хотите убедиться, что получатель имеет право на доступ, пояснил он. По словам Стейнкопфа, реализация новых технологических тенденций, таких как контейнеры и DevOps, может помочь в борьбе с привилегированными злоупотреблениями учетными данными. Он также охарактеризовал облачные вычисления как находящиеся на переднем крае стратегии Zero Trust.

Luminate's Dubinsky соглашается. Для малого и среднего бизнеса обращение к облачной компании, которая предоставляет управление идентификацией или MFA в качестве службы, снимает с себя эти обязанности по обеспечению безопасности для компаний, которые специализируются в этой области. «Вы хотите максимально разгрузить компании и людей, которые несут ответственность за свою повседневную работу», - сказал Дубинский.

Потенциал структуры с нулевым доверием

Хотя эксперты признали, что компании обращаются к модели с нулевым доверием, особенно в управлении идентификацией, некоторые не видят необходимости больших изменений в инфраструктуре безопасности для принятия нулевого доверия. «Я не уверен, что это стратегия, которую я хотел бы принять на любом уровне сегодня», - сказал Шон Пайк, вице-президент по программе группы продуктов безопасности IDC. «Я не уверен, что исчисление ROI существует в сроки, которые имеют смысл. Есть ряд архитектурных изменений и кадровых проблем, которые, я думаю, делают стоимость непомерно высокой в ​​качестве стратегии».

Тем не менее, Пайк видит потенциал для Zero Trust в области телекоммуникаций и IDM. «Я действительно думаю, что есть компоненты, которые могут быть легко приняты сегодня, которые не потребуют оптовых изменений архитектуры - например, идентификация», - сказал Пайк. «Несмотря на то, что они связаны, я твердо убежден в том, что принятие не обязательно является стратегическим движением к Zero Trust, а скорее направлено на решение новых способов подключения пользователей и необходимость отойти от систем на основе паролей и улучшить управление доступом», - говорит Пайк. объяснил.

Хотя Zero Trust можно интерпретировать как некоторую маркетинговую концепцию, которая повторяет некоторые из стандартных принципов кибербезопасности, такие как недоверие участников к вашей сети и необходимость проверки пользователей, это действительно служит целью в качестве плана игры, по мнению экспертов, «Я большой сторонник Zero Trust, чтобы перейти к этой уникальной стратегической манере и отстаивать ее внутри организации», - сказал Каннингем из Forrester.

Идеи Zero Trust, представленные Forrester в 2010 году, не новы для индустрии кибербезопасности, отметил Джон Пескаторе, директор по новым тенденциям безопасности в Институте SANS, организации, занимающейся обучением и сертификацией безопасности. «Это в значительной степени стандартное определение кибербезопасности - постарайтесь сделать все безопасным, сегментировать свою сеть и управлять пользовательскими привилегиями», - сказал он.

Пескатор отметил, что примерно в 2004 году ныне не существующая организация безопасности под названием Jericho Forum представила идеи, аналогичные Forrester, в отношении «безопасности без периметра» и рекомендовала разрешать только надежные соединения. «Это все равно, что сказать:« Переезжайте туда, где нет преступников и идеальной погоды, и вам не нужны ни крыша, ни двери в вашем доме », - сказал Пескатор. «Нулевое доверие, по крайней мере, вернуло к здравому смыслу сегментирование - вы всегда сегментированы из Интернета с периметром».

• За пределами периметра: как решать многоуровневую безопасность За пределами периметра: как решать многоуровневую безопасность
• NYC Venture стремится стимулировать рабочие места, инновации в кибербезопасности NYC Venture стремится стимулировать рабочие места, инновации в кибербезопасности
• Как подготовиться к следующему нарушению безопасности Как подготовиться к следующему нарушению безопасности

В качестве альтернативы модели Zero Trust, Pescatore рекомендовал следовать Критическим мерам безопасности Центра интернет-безопасности. В конце концов, Zero Trust, безусловно, может принести пользу, несмотря на ажиотаж. Но, как отметил Пескатор, будь то Zero Trust или что-то еще, этот тип стратегии все еще требует базового контроля.

«Это не меняет того факта, что для защиты бизнеса вы должны разработать базовые процессы и средства контроля безопасности, а также иметь квалифицированный персонал, чтобы они работали эффективно и действенно», - сказал Пескаторе. Для большинства организаций это больше, чем финансовые вложения, и одной компании нужно будет сосредоточиться на том, чтобы добиться успеха.