Никакого доверия: что такое концепция Zero Trust и для чего она нужна?
Все последние годы с ростом уровня цифровизации бизнеса растет и ущерб от киберпреступлений. По данным Cybersecurity Ventures, потери бизнеса от киберпреступности к 2021-му году могут составить $6 триллионов.
Однако, системы обеспечения кибербезопасности, как и киберугрозы, тоже постоянно развиваются и эволюционируют. Так, еще в 2010 году Джон Киндерваг из Forrester Research впервые сформулировал концепцию Zero Trust - модель "нулевого доверия". Давайте разберемся, что лежит в ее основе.
Главная проблема в обеспечении действительно надежной защиты IТ-инфраструктуры от современных целенаправленных кибератак состоит в том, что злоумышленники не ограничены во времени, и им достаточно быть успешными всего единожды. Поэтому, логично, что от "безопасников" требуют обеспечивать 100% предотвращение угроз.
Все самое важное в Telegram
Разумеется, это просто невозможно. Уязвимости в программном обеспечении обнаруживаются постоянно, новые методы и тактики атак разрабатываются непрерывно, да и банальные ошибки и недочеты в конфигурации средств защиты из-за пресловутого человеческого фактора тоже представляют серьезную угрозу. Потому идея создания "непроходимого периметра" на самом деле скорее может навредить чем помочь.
Например, если в компании периметр сети достаточно хорошо защищен, всегда существует ненулевая вероятность, что злоумышленник проникнет внутрь при помощи взлома аккаунта какого-то сотрудника, например, с помощью таргетированной фишинговой атаки. И в этом случае хорошо защищенный периметр сети уже наоборот, может сыграть отрицательную роль для службы безопасности, потому что та будет надеяться, что у нее "все хорошо". А злоумышленник, в свою очередь, получив доступ к сети, уже не будет встречать на своем пути практически никакого сопротивления. В итоге средства, вложенные в создание "непроходимого периметра", окажутся потраченными впустую.
"Поэтому концепция Zero Trust - это не что-то новое, это просто более зрелый взгляд на то, как обеспечить надежное функционирование IT-сервисов, когда они находятся в условиях постоянной угрозы компрометации", - говорит Алексей Швачка, специалист и технический директор компании "Октава Киберзахист".
Согласно этой концепции, говорит Алексей Швачка, в корпоративной IТ-инфраструктуре необходимо реализовать подход, когда любое устройство или пользователь, который пытается получить доступ к каким-либо ресурсам, не считающимися по умолчанию безопасным, должен каждый раз проходить полную процедуру идентификации, а все его активности должны протоколироваться и находиться под постоянным мониторингом и контролем.
Да, разумеется, это требует более серьезных инвестиций в кибербезопасность, чем просто покупка межсетевого экрана и антивируса. И, главное, это требует изменения подхода к процессам работы службы безопасности. Однако, в результате бизнес не только получит повышение управляемости и прозрачности в IТ, но и сможет существенно снизить вероятность появления "Черного лебедя" - наступления условно неожиданного инцидента с тяжелыми последствиями. Почему "условно"? Потому что практически все подобного рода инциденты являются закономерным следствием недоработок и просчетов в прошлом. Самым ярким примером "Черного лебедя" в области кибербезопасности для Украины стала атака вируса-шифровальщика Petya/Nyetya в 2017 году.
Добавляет "градуса" и повсеместное размытие понятия периметра корпоративной сети. Здесь и мобильные сотрудники, и облачные сервисы и многое другое. В таких условиях, без принятия концепции Zero Trust уже просто не обойтись.
Теперь несколько слов о том, как и какими средствами ее можно реализовать на практике. Чтобы приблизиться к этому, необходимо прежде всего точно идентифицировать все имеющиеся у компании информационные активы, определить кто/что, с какими правами, в какое время из какого места может иметь к ним доступ. Сама по себе эта задача довольно сложная, и, надо сказать, не разовая. То есть поддержание в актуальном состоянии перечня информационных активов должно быть постоянным процессом. То же касается и задачи мониторинга и контроля за всеми устройствами, пользователями и получаемыми ими доступами к активам - это тоже должен быть непрерывный процесс. Очевидно, что для этого необходимы инструменты, и они есть.
Конечно, у каждой организации своя специфика, но у всех присутствуют автоматизированные рабочие места пользователей, есть администраторы, у подавляющего большинства есть понятие "внутренняя сеть", очень многие пользуются облачными сервисами (тот же Microsoft Office 365, например). Для ИТ-инфраструктуры подобного вида для приближения к реализации концепции Zero Trust вполне применимы будут такие классы решений, как:
Network Access Control (контроль доступа и микросегментация сети, например Cisco ISE),
Network Behavior Anomaly Detection (обнаружение аномалий в сетевой активности, например Cisco StealthWatch),
Cloud Access Security Broker (обеспечение видимости и контроля доступа к облачным ресурсам, например Cisco Cloudlock),
Multifactor Authentication (многофакторная аутентификация, например ESET Secure Authentication),
Endpoint Detect and Response (своего рода антивирус нового поколения, позволяющий отслеживать неизвестный вредоносный код по вторичным признакам, в том числе без сигнатур, например ESET Targeted Attack Protection),
User Entity Behavior Analysis (обнаружение аномального поведения пользователей и процессов на рабочих станциях, например Splunk User Behavior Analytics),
Privilege Access Manager (протоколирование и контроль действий администраторов, например WALLIX Admin Bastion).
Для реализации задачи комплексного мониторинга всех событий в ИТ-инфраструктуре применяются SIEM-системы, предназначенные для сбора и корреляции журналов событий от всех источников в сети - от межсетевого экрана до последней рабочей станции (например, Splunk Enterprise Security).
В идеале, более-менее полно реализовать концепцию Zero Trust в большой корпоративной инфраструктуре сможет хорошо оснащенный и с правильно выстроенными процессами Security Operation Center. Но это отдельная большая тема, и о ней - в другой раз.
Пока можно добавить только, что в последние несколько лет набирает обороты еще один класс решений по кибербезопасности, основанный на принципе активного введения в заблуждение атакующих сеть хакеров. Речь о технологии Deception, которая позволяет быстро развернуть множество ложных целей, имитирующих реальные активы организации - рабочие станции, сервера, банкоматы, SCADA-системы и другие, и реагирующие всего лишь на единственную попытку получения несанкционированного доступа к ним, сколь бы осторожной она ни была.
Примером такого рода решения может быть система TrapX Deception Grid от израильской компании TrapX Security. Подход к применению технологии обмана злоумышленников уже довольно хорошо описан американским Department of Homeland Security и называется концепция Moving Target Defence. Можно с уверенностью сказать, что она органично и бесшовно вписывается в концепцию Zero Trust.
Отдельно стоит отметить, что применение технологии Deception радикально нивелирует преимущества злоумышленника, проникшего в сеть и проводящего ее осторожную разведку. Если в сети есть заведомо ложные цели, в этом случае злоумышленник будет ни в чем не уверен никогда, даже зная о факте наличия таких "мин", и теперь уже единственный неосторожный шаг самого хакера может привести к тому, что он попадется.
И напоследок, нужно понимать, что даже при наличии продвинутых систем защиты, не стоит забывать об обычных превентивных мерах, регулярно проводить тесты на проникновение и всегда придерживаться правил безопасности.