Стратегия нулевого доверия: с чего начать?
Безопасность
Стратегия нулевого доверия воспринимается многими компаниями как панацея от проблем в области информационной безопасности. Однако, чтобы выстроить надежные оборонительные киберредуты в организации, нужно не ошибиться с первым шагом и с выбором конкретного решения.
Стандартные подходы к ИБ больше не нравятся бизнесу
Появление все более и более продвинутых угроз привело к переосмыслению многих основных подходов к информационной безопасности. Одним из последних, судя по всему, сдаст позиции традиционное восприятие организации как защищенного форпоста, в пределы периметра которого проникнуть нельзя, а потому все силы безопасников направляются именно на оборону этой воображаемой границы. Возможно, такой подход был бы основополагающим еще достаточно длительное время, но свой вклад внесла пандемия коронавируса, размывшая периметры многих компаний.
Как отмечают аналитики FortiGuard Labs, массовая удаленка спровоцировала рост активности киберпреступников. Они используют бреши в безопасности, характерные для тех или иных новых устройств, ставших частью корпоративного периметра после перехода на дистанционный формат сотрудничества. Получается, что сотрудники, работающие из дома, могут получать доступ к ресурсам организации из скомпрометированной среды. Доказательство тому — критический рост числа инцидентов, связанных с программами-вымогателями. По данным аналитиков Group-IB, только за 2021 г. их количество возросло на 200%. При этом средняя сумма выплаченного выкупа составляет 3 млн рублей, максимальная — 40 млн рублей. А рекорд по максимальной запрашиваемой сумме достиг 250 млн рублей!
Не удивительно, что на этом фоне возросла роль стратегии нулевого доверия, базовые принципы которой были сформулированы еще десятилетие назад. Нулевое доверие на практике означает, что каждую попытку доступа к сети или приложению как внутри периметра, так и из-за его пределов, ИБ-системы должны воспринимать как потенциальную угрозу.
Сторонники модели Zero Trust в последнее время вовлечены в споры о том, насколько серьезной перестройки внутренних сетевых процессов, да и самой сети, требует переход на нулевое доверие. Реализация подобной архитектуры многими руководителями воспринимается как сложная, требующая серьезной квалификации и внешней помощи, задача. Безусловно, придется пересмотреть свой образ мышления и саму культуру отношения к сетевой инфраструктуре. Но процесс построения нулевого доверия, как считают в компании Fortinet, даже в крупной организации в целом подчиняется элементарной логике и может быть расписан пошагово.
Пересмотр прав доступа и активное решение проблем с паролями
Первый шаг в разработке архитектуры нулевого доверия — решить, кому и что разрешено. Принцип ZTA (Zero Trust Access) заключается в расширении уже существующих элементов управления доступом по периметру. Реализация этой задачи может оказаться достаточно непростой, но если компания живет без подобных политик в современном стремительно цифровизирующемся мире — у нее в любом случае будут серьезные проблемы. ИБ-департаменту и бизнес-руководителям необходимо сообща распределить роли, понять, кому какой доступ необходим для выполнения своих функциональных задач, и в соответствии с этим разработать новые политики.
Небольшой, но критически важный подпункт этого шага — защита всех конечных устройств, которые имеют доступ к сетевым ресурсам организации. Иллюстрация необходимости реализации подобной меры — бесконечные новости об использовании устройств интернета вещей (и не только) в качестве элементов ботнетов или просто для разового проникновения и заражения всей сети.
Все это потребует также получения максимального контроля приложений и перехода к надежным инструментам аутентификации. И в этом вопросе не стоит полагаться на самих пользователей: они практически всегда беспечны, и это справедливо для всего мира, а для России — в особенности. Исследование HeadHunter продемонстрировало, что каждый пятый житель страны использует дома и на работе одинаковые пароли, каждый четвертый не меняет пароли никогда, каждый шестой выбирает сочетания, которые легко подобрать. Что еще критичнее, в компаниях 17% россиян практикуется использование одного пароля на команду или целый отдел для доступа к информации или ресурсу. При этом в половине из них этот пароль никогда не меняется.
ZTNA (Zero Trust Network Access) решает эту проблему, проверяя пользователей и их устройства перед каждым сеансом подключения, а также поддерживает многофакторную аутентификацию для обеспечения максимальной проверки. Важно отметить, что VPN-соединения, столь популярные на российском рынке, часто обеспечивают неограниченный доступ к сети, что позволяет скомпрометированным пользователям или вредоносным программам перемещаться по сети в поисках уязвимых ресурсов.Модель нулевого доверия для доступа к приложениям нивелирует эту угрозу. При этом, что важно в мире, ставшем жертвой коронавируса и массовой удаленки, политики применяются вне зависимости от местонахождения пользователя.
Бизнесу стоит обратить внимание на другие Zero Trust-решения, кроме чисто облачных
Разработанные политики определенно должны быть последовательными. Поэтому организациям не стоит замыкаться на решениях ZTNA, которые работают только в облаке. Например, если компания использует гибридную сеть, ей потребуется прийти к нулевому доверию не только с сотрудниками, работающими дистанционно, но и внутри офиса. Не нужно упоминать, что в России полностью облачные подходы не очень популярны, причиной чему служат как требования регуляторов, так и немного настороженное отношение к облакам.
Если смотреть на ситуацию глобально, то, как выяснили аналитики Fortinet, за последний год организации стали больше полагаться на гибридные и мультиоблачные среды: 76% организаций сообщили об использовании как минимум двух облачных провайдеров.
При этом необходимо учитывать то, что у потребляемого облака «под капотом». Каждый продукт имеет разные встроенные инструменты и функции безопасности с разными возможностями, структурами команд, синтаксисом и логикой. Кроме того, бизнес хочет быть динамичным: потреблять облачные ресурсы в разных количествах или вовсе от них отказываться, руководствуясь конкретными потребностями. Но несинхронизированные между собой предложения разных провайдеров, будучи столь привлекательными в части затрат, несут дополнительные угрозы ИБ.
Именно поэтому столь важна некая общая матрица, единые правила и общий подход, который дает полную прослеживаемость сети, обеспечивает легкий мониторинг процессов в облаках разных поставщиков, центрах обработки данных и еще и на уровне физического офиса (а иногда — еще и десятков филиалов).
Полный текст статьи читайте на CNews