Нулевият модел на доверие набира пара с експерти по сигурността

„Никога не се доверявайте; винаги проверявайте.“ Звучи като здрав разум, нали? Това е мотото зад стратегия, наречена Zero Trust, която набира сила в света на киберсигурността. Той включва ИТ отдел, който проверява всички потребители, преди да предостави привилегии за достъп. Ефективното управление на достъпа до акаунти е по-важно от всякога при 58 процента от малките и средни предприятия (SMBs), отчитащи нарушения на данните през 2017 г., според доклада за разследване на нарушенията на данните за Verizon за 2018 г.

Концепцията Zero Trust е основана от Джон Киндерваг, бивш анализатор в Forrester Research, а сега Field Field CTO в Palo Alto Networks. „Трябва да започнем да правим истинска стратегия и това позволява Zero Trust“, каза Киндерваг пред публиката на 30 октомври на срещата на върха SecurIT Zero Trust в Ню Йорк. Той добави, че идеята за Zero Trust се заражда, когато той седна и наистина обмисли концепцията за доверие и как злонамерените участници обикновено се възползват от компании, доверяващи се на партии, които не бива.

Д-р Чейс Кънингам стана наследник на Киндерваг като главен анализатор на Forrester в защита на подхода Zero Trust Access. „Zero Trust е това, което е заложено в тези две думи, което означава, че не вярвайте на нищо, не се доверявайте на управлението на паролата, не вярвайте на идентификационни данни, не вярвайте на потребителите и не вярвайте на мрежата“, каза Кънингам пред PCMag в Zero Trust Връх.

Kindervag използва примера на американската секретна служба, за да илюстрира как една организация трябва да следи какво трябва да защитават и кой има нужда от достъп. "Те непрекъснато наблюдават и актуализират тези контроли, за да могат да контролират това, което преминава през микро периметъра във всеки даден момент", каза Киндерваг. "Това е Zero Trust метод на изпълнителна защита. Това е най-добрият визуален пример за това, което се опитваме да направим в Zero Trust."

Уроци от нулево доверие, научени в OPM

Перфектен пример за това как Zero Trust може да работи в полза на организациите дойде от бившето CIO на федералното правителство на САЩ. На срещата на върха по въпросите на доверието доктор Тони Скот, който заемаше длъжността на CIO в САЩ от 2015 г. до 2017 г., описа сериозно нарушение на данните, което се случи в Службата за управление на персонала на САЩ (OPM) през 2014 г. Нарушението се случи поради чуждестранен шпионаж. в който личната информация и информацията за разрешение за сигурност е открадната за 22, 1 милиона души, заедно с данни за пръстови отпечатъци за 5, 6 милиона лица. Скот описа как не само комбинация от цифрова и физическа сигурност би била необходима, за да се предотврати това нарушение, но и ефективно прилагане на политиката на Zero Trust.

Когато хората ще кандидатстват за работа в OPM, те попълват изчерпателен въпросник за стандартна форма (SF) 86 и данните ще бъдат пазени в пещера от въоръжена охрана и танкове, каза той. "Ако бяхте чуждо образувание и искате да откраднете тази информация, ще трябва да нарушите тази пещера в Пенсилвания и да минете покрай въоръжената охрана. Тогава ще трябва да заминете с камиони с хартия или да имате много бърза машина Xerox или нещо подобно" ", Каза Скот.

„Би било монументално да се опита да избяга с 21 милиона записи“, продължи той. "Но бавно, когато автоматизацията влезе в процеса на OPM, ние започнахме да поставяме тези неща в компютърни файлове на магнитни носители и така нататък. Това направи много по-лесно кражбата." Скот обясни, че ОПМ не успява да намери еквивалентния тип ефективна охрана като въоръжените охранители, когато агенцията започна цифрова. След атаката Конгресът публикува доклад, в който призовава за нулева стратегия за защита на тези видове нарушения в бъдеще.

„За да се борят с напредналите постоянни заплахи, които се стремят да компрометират или използват ИТ мрежите на федералното правителство, агенциите трябва да преминат към„ нулевия тръст “модел на информационна сигурност и ИТ архитектура“, се казва в доклада на конгреса. Бившият представител на САЩ Джейсън Чафец (R-Utah), тогава председател на Комитета за надзор, също написа публикация за нулев доверие по това време, първоначално публикувана от Federal News Radio. "Службата за управление и бюджет (OMB) трябва да разработи насоки за изпълнителните отдели и ръководителите на агенции за ефективно прилагане на Zero Trust, заедно с мерки за визуализиране и регистриране на целия мрежов трафик", написа Chaffetz.

Нулево доверие в реалния свят

В реален пример за реализация на Zero Trust, Google внедри вътрешно инициатива, наречена BeyondCorp, предназначена да премести контролите за достъп от мрежовия периметър към отделни устройства и потребители. Администраторите могат да използват BeyondCorp като начин за създаване на подробни правила за контрол на достъпа за Google Cloud Platform и Google G Suite въз основа на IP адрес, състояние на защита на устройството и самоличност на потребителя. Компания, наречена Luminate, осигурява Zero Trust сигурност като услуга, базирана на BeyondCorp. Luminate Secure Access Cloud удостоверява потребителите, валидира устройствата и предлага двигател, който предоставя оценка на риска, която разрешава достъп на приложенията.

„Нашата цел е да осигурим сигурен достъп на всеки потребител, от всяко устройство, до всеки корпоративен ресурс, независимо от това къде е хостван, в облак или в помещения, без да разполагаме агенти в крайната точка или каквито и да е уреди като виртуални частни мрежи (VPN), защитни стени или прокси сървъри на сайта на местоназначение ", заяви Майкъл Дубински, ръководител на продуктовия мениджмънт в Luminate, пред PCMag на конференцията за хибридна защита на идентичността (HIP) 2018 (HIP2018) в Ню Йорк.

Основна ИТ дисциплина, в която Zero Trust печели бързо сцепление, е управлението на идентичността. Това е вероятно, защото 80 процента от нарушенията са причинени от злоупотреба с привилегировани идентификационни данни, според доклада „Forrester Wave: Privileged Identity Management, Q3 2016“. Системите, които контролират разрешения достъп до по-подробна степен, могат да помогнат за предотвратяване на тези инциденти.

Пространството за управление на идентичността не е ново и има дълъг списък от компании, които предлагат подобни решения, като вероятно най-разпространеният е Microsoft и неговата платформа Active Directory (AD), която е вградена в все още популярната операционна система Windows Server (ОПЕРАЦИОННА СИСТЕМА). Въпреки това, има редица по-нови играчи, които могат да предложат не само повече функционалност от AD, но също така могат да улеснят управлението на идентичността по-лесно за внедряване и поддържане. Такива компании включват играчи като Centrify, Idaptive, Okta и SailPoint Technologies.

И макар че тези, които вече са инвестирали в Windows Server, може да се възползват от плащането на повече за технологията, за която смятат, че вече са инвестирали, една по-дълбока и по-добре поддържана архитектура за управление на идентичността може да доведе до големи дивиденти при осуетяващи нарушения и одити за съответствие. Плюс това, цената не е прекомерна, въпреки че може да бъде значителна. Например услугите за центриране на инфраструктурата започват от $ 22 на месец на система.

Как работи Zero Trust

"Едно от нещата, които Zero Trust прави, е да дефинира мрежовата сегментация", каза Киндерваг. Сегментирането е ключово понятие както в управлението на мрежата, така и в киберсигурността. Тя включва разделяне на компютърна мрежа на подмрежи, логично или физически, за да се подобри производителността и сигурността.

Zero Trust архитектура се движи отвъд периметър модел, който обхваща физическото местоположение на мрежа. Това включва "натискане на периметъра надолу към образуванието", каза Канингам.

„Субектът може да бъде сървър, потребител, устройство или точка за достъп“, каза той. "Натискате контролите надолу до микро ниво, вместо да мислите, че сте изградили наистина висока стена и че сте в безопасност." Кънингам описа защитната стена като част от типичния периметър. "Това е проблем на подхода, стратегията и периметъра", отбеляза той. "Високите стени и едно голямо нещо: те просто не работят."

За да получи достъп до мрежа, стар аспект на сигурността е използвал рутери, според Дани Кибел, новият изпълнителен директор на Idaptive, компания за управление на идентичността, която се върти от Centrify. Преди Zero Trust компаниите биха проверили и след това се доверяват. Но със Zero Trust вие "винаги проверявате, никога не се доверявайте", обясни Кибел.

Idaptive предлага платформа за достъп от следващо поколение, която включва Single Sign-On (SSO), адаптивно многофакторно удостоверяване (MFA) и управление на мобилни устройства (MDM). Услуги като Idaptive предоставят начин за създаване на задължително подробни контроли за достъп. Можете да осигурите или премахнете предоставяне въз основа на това, кой има нужда от достъп до различни приложения. „Това дава тази фина способност на организацията да контролира достъпа си“, каза Кибел. „И това е много важно за организациите, които виждаме, тъй като има много разпространение по отношение на неоторизиран достъп.“

Kibel определи подхода на Idaptive към Zero Trust с три стъпки: проверка на потребителя, проверка на устройството му и едва след това разрешаване на достъп до приложения и услуги само за този потребител. „Имаме множество вектори за оценка на поведението на потребителя: местоположение, геоскорост, време на деня, време на седмицата, какъв тип приложение използвате и дори в някои случаи как използвате това приложение“, каза Кибел, Addaptive следи успешни и неуспешни опити за вход, за да види кога трябва да предизвика отново автентификацията или да блокира напълно потребителя.

На 30 октомври Centrify въведе подход за киберсигурност, наречен Zero Trust Privilege, при който компаниите предоставят най-малко необходимия достъп и проверяват кой иска достъп. Четирите стъпки на процеса Zero Trust Privilege включва проверка на потребителя, разглеждане на контекста на заявката, осигуряване на администраторската среда и предоставяне на най-малкото необходимо количество привилегия. Подходът Zero Trust Privilege на Centrify включва поетапен подход за намаляване на риска. Той също така носи преход от наследеното привилегировано управление на достъпа (PAM), което е софтуер, който позволява на компаниите да ограничават достъпа до по-нови видове среди, като облачни платформи за съхранение на данни, проекти за големи данни и дори усъвършенствани проекти за разработка на персонализирани приложения, работещи в бизнес класа хостинг съоръжения.

Моделът Zero Trust предполага, че хакерите вече имат достъп до мрежа, заяви Тим Щайнкофф, президент на Centrify. Стратегия за борба с тази заплаха би била ограничаването на страничното движение и прилагането на МВнР навсякъде, според Steinkopf. „Всеки път, когато някой се опитва да получи достъп до привилегирована среда, трябва незабавно да разполагате с правилните идентификационни данни и правилния достъп“, заяви Steinkopf пред PCMag. „Начинът да го наложите е да консолидирате идентичности и тогава ви е необходим контекстът на искането, което означава кой, какво, кога, защо и къде.“ След това вие предоставяте само необходимото количество достъп, каза Steinkopf.

"Вие приемате контекста на потребителя. В този случай това може да бъде лекар, може да бъде медицинска сестра или друг човек, който се опитва да получи достъп до данните", каза Дубински. "Вземете контекста на устройството, от което работят, вземете контекста на файла, до който се опитват да получат достъп, и след това трябва да вземете решение за достъп въз основа на това."

МВнР, нулево доверие и най-добри практики

Ключов аспект на модела Zero Trust е силната автентификация и допускането на множество фактори за удостоверяване е част от това, отбеляза Хед Ковец, главен изпълнителен директор и съосновател на Silverfort, който предлага решения на MFA. С липсата на периметри в ерата на облака, има по-голяма нужда от автентификация от всякога. „Способността да правите MFA на каквото и да било е почти основно изискване на Zero Trust и днес е невъзможно, защото Zero Trust идва от идеята, където вече няма периметри“, заяви Ковец пред PCMag в HIP2018. „Значи всичко се свързва с нищо и в тази реалност нямате шлюз, към който можете да приложите контрол.“

Cunningham на Forrester очерта стратегия, наречена Zero Trust eXtended (XTX), за да съпостави решенията за закупуване на технологии в стратегията на Zero Trust. „Наистина разгледахме седемте контролни елемента, от които се нуждаете, за да управлявате безопасно околната среда“, каза Кънингам. Седемте стълба са Автоматизация и оркестрация, Видимост и Анализ, Натоварвания, Хора, Данни, Мрежи и Устройства. За да бъде ZTX платформа, система или технология би имала три от тези стълбове, заедно с възможностите за интерфейс за програмиране на приложения (API). Няколко доставчици, които предлагат решения за сигурност, се вписват в различни стълбове на рамката. Centrify предлага продукти, които се занимават със сигурността на хора и устройства, Palo Alto Networks и Cisco предлагат мрежови решения, а решенията на IBM Security Guardium се фокусират върху защитата на данните, отбеляза Cunningham.

Моделът на Zero Trust също трябва да включва криптирани тунели, облак на трафика и криптиране въз основа на сертификати, заяви Steinkopf. Ако изпращате данни от iPad през интернет, тогава искате да проверите дали получателят има право на достъп, обясни той. Прилагането на нововъзникващите тенденции в технологиите като контейнери и DevOps може да помогне за борба с привилегированите злоупотреби с идентификационни данни, според Steinkopf. Той също така описа облачните изчисления като челно място в стратегията за нулево доверие.

Дубински на Luminate се съгласява. За SMBs обръщането към облачна компания, която предоставя управление на идентичността или MFA като услуга, прехвърля тези отговорности по сигурността на компании, специализирани в тази област. „Искате да разтоварите колкото се може повече на компаниите и хората, които отговарят за ежедневната им работа“, каза Дубински.

Потенциалът на Zero Trust Framework

Въпреки че експертите признаха, че компаниите се обръщат към нулевия доверителен модел, особено в управлението на идентичността, някои от тях не виждат нужда от големи промени в инфраструктурата за сигурност, за да приемат Zero Trust. "Не съм сигурен, че това е стратегия, която бих искал да приемам на всяко ниво днес", заяви Шон Пайк, вицепрезидент на програмата за групата на продуктите за сигурност на IDC. "Не съм убеден, че изчислението на възвръщаемостта на инвестициите съществува във времева рамка, която има смисъл. Има редица архитектурни промени и кадрови проблеми, които според мен правят разходите като прекомерни като стратегия."

Въпреки това, Пайк вижда потенциал за Zero Trust в телекомуникациите и IDM. "Мисля, че има компоненти, които днес могат лесно да бъдат приети, които не изискват промени в архитектурата на едро - например идентичност", каза Пайк. „Въпреки че те са свързани, моето силно чувство е, че приемането не е непременно стратегически ход към Zero Trust, а по-скоро ход за адресиране на нови начини, по които потребителите се свързват и необходимостта да се отдалечат от базирани на пароли системи и да подобрят управлението на достъпа, “ Pike обяснено.

Въпреки че Zero Trust може да бъде интерпретиран като част от маркетинговата концепция, която повтаря някои от стандартните принципи на киберсигурността, като например да не се доверявате на участниците в мрежата си и да се налага да проверявате потребителите, това служи като цел като план за игра, според експерти, „Аз съм голям привърженик на Zero Trust, да се придвижвам към този единствен, стратегически вид мантра и да застъпвам това в организацията, “ каза Кънингам на Форестър.

Идеите Zero Trust, въведени от Forrester през 2010 г., не са нови за индустрията за киберсигурност, отбеляза Джон Пескаторе, директор на възникващите тенденции в сигурността в Института SANS, организация, която осигурява обучение и сертифициране по сигурността. "Това е почти стандартното определение за киберсигурност - опитайте се да направите всичко сигурно, сегментирайте мрежата си и управлявайте потребителските привилегии", каза той.

Пескаторе отбеляза, че около 2004 г. вече несъществуващата организация за сигурност, наречена Форумът в Джерико, представи подобни идеи като Forrester относно "по-малка периметър на сигурността" и препоръча да се разрешат само надеждни връзки. "Това е нещо като да кажете:" Преместете се някъде, където няма престъпници и перфектно време и нямате нужда от покрив или врати на къщата си ", каза Пескаторе. „Нулевото доверие поне се върна в здравия смисъл на сегментирането - винаги сегментирате от интернет с периметър.“

• Отвъд периметъра: Как да се адресира слоевата сигурност отвъд периметъра: Как да се адресира слоевата сигурност
• NYC Venture се стреми да стимулира работните места, иновациите в киберсигурността NYC Venture се стреми да стимулира работни места, иновациите в киберсигурността
• Как да се подготвим за следващото си нарушение на сигурността Как да се подготвим за следващото си нарушение на сигурността

Като алтернатива на модела Zero Trust, Пескатор препоръча да се следват критичните контроли за сигурност на Центъра за интернет сигурност. В крайна сметка Zero Trust със сигурност може да донесе ползи, въпреки свръх. Но както Пескатор отбеляза, независимо дали се нарича Zero Trust или нещо друго, този тип стратегия все още изисква основен контрол.

"Това не променя този факт, че за да защитите бизнеса, трябва да развиете основни хигиенни процеси и хигиенни мерки за сигурност, както и да разполагате с квалифициран персонал, който да ги поддържа ефективно и ефикасно", каза Пескаторе. Това е повече от финансова инвестиция за повечето организации и на една компания ще трябва да се съсредоточи върху успеха.