Как мне внедрить концепцию «нулевого доверия»?

Начать работу с нулевым доверием может быть непросто; преимущества стоят затрат.

«Нулевое доверие» — важный фактор изменения подходов к кибербезопасности. Раньше мы думали, что наша организация представляет собой замок — со стенами (брандмауэры), рвом (DMZ) и разводным мостом (контроль доступа).

Однако в связи с эскалацией воинственности в Украине, усилением активности киберпреступных групп и увеличением количества поверхностей для атак, вызванных переходом предприятий в облако и удаленной работой сотрудников, Zero Trust стал самым ценным проводником изменений в кибербезопасности.

Нулевое доверие — новый фокус среди руководителей

Согласно недавнему опросу "Отчет о стратегиях нулевого доверия за 2022 год, " проведенный iSMG, все сказали, что Zero Trust имеет решающее значение для снижения риска их кибербезопасности (100 % среди всех респондентов выбрали несколько или крайне критический).

Кроме того, почти половина из них (46%) заявили, что Zero Trust является наиболее важной практикой безопасности в 2022 году. -trust) из более чем 300 крупных организаций Forrester указал, что 78% руководителей служб безопасности планируют увеличить использование Zero Trust в 2022 году.

Нет никаких сомнений в том, что Zero Trust является новым приоритетом для руководителей, отвечающих за стратегию кибербезопасности. Но если мы внимательнее посмотрим на опрос, там есть проблема с исполнением.

[Опрос Forrester] (https://www.illumio.com/resource-center/research-report/forrester-trusting-zero-trust) показывает, что полное развертывание Zero Trust составляет всего 6 %. Еще 30 % заявили о нулевом доверии при частичном развертывании или производстве, а 63 % заявили, что их проекты с нулевым доверием сейчас находятся на этапах оценки, разработки стратегии или пилотного проекта. Таким образом, в результате, несмотря на то, что C-level планируют, большинство из них только планируют.

Если вы ищете введение в архитектуру нулевого доверия:

https://hackernoon.com/introduction-to-the-zero-trust-security-architecture-a-concept-not-a-product

С небольшой помощью моих друзей (NIST, CISA, OMB)

В мае 2021 года правительство США издало ОР об улучшении национальной кибербезопасности. Важным аспектом ОР было стремление агентств перейти к нулевому доверию (упоминается 11 раз здесь. -об улучшении-кибербезопасности-наций/)).

В ответ на EO Управление по вопросам управления и бюджета (OMB) выпустило официальную федеральную стратегию, чтобы перейти к архитектуре с нулевым доверием, который включает в себя подробную дорожную карту, которую не только государственные учреждения и подрядчики, но и любые организации могут использовать в качестве модели. Кроме того, осенью прошлого года CISA выпустила [Модель зрелости нулевого доверия] (https://www.cisa.gov/zero-trust-maturity-model) — дорожную карту для агентств по переходу на архитектуру нулевого доверия.

Например, когда речь идет о нулевом доверии, NIST [Национальный центр передового опыта в области кибербезопасности (NCCoE) указал] (https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture),  сопоставляет соответствующие компоненты Zero Trust с функциями, категориями и подкатегориями CSF (т. е. NIST SP800–27). Это основные компоненты нулевого доверия, такие как системы политик, администраторы, точки принудительного применения.

Еще одним полезным ресурсом является технический документ от NIST — Планирование архитектуры с нулевым доверием, в котором описывается, как использовать CSF и NIST Risk Management Framework (RMF) (SP800–37) для перехода на Архитектура нулевого доверия.

Ниже приведены некоторые рекомендации для начала.

1. Понимание поверхности защиты (да, не поверхности атаки)

Оценка риска обычно начинается с анализа поверхности атаки. Например, специалисты по безопасности обычно начинают рассматривать потенциальную поверхность атаки:

• Где находится периметр?

• Как кто-то может взломать?

• Каков возможный способ сделать это?

С Zero Trust все немного по-другому. Согласно NIST Планирование архитектуры с нулевым доверием, начиная с данных и приложений — наивысший рекомендуются ценные и наиболее рискованные пользователи и активы. Поверхность защиты также намного меньше поверхности атаки или периметра, поэтому защищаться легче.

В ZTA вы не найдете никакого периметра для защиты, но установите «микропериметр» вокруг активов. Это лучшие области, чтобы начать применять принципы нулевого доверия. В результате у вас есть полный контроль над тем, кто получает доступ к критически важным ресурсам, как они получают к ним доступ и когда они получают к ним доступ. Закрепите каждую защитную поверхность способом, подходящим для защиты поверхности.

Расставьте приоритеты для защиты на основе критичности по отношению к вашей бизнес-цели. После внедрения Zero Trust на одной или нескольких некритических поверхностях защиты вы можете не знать все приложения в своем центре обработки данных при запуске, но вы знаете свои наиболее важные приложения. После этого перейдите к следующему набору поверхностей защиты в списке приоритетов, пока не достигнете своих целей в области кибербезопасности.

2. Максимальная видимость — вы не можете защитить то, что не видите

Согласно [Модели зрелости нулевого доверия] (https://www.cisa.gov/zero-trust-maturity-model) компании CISA, прежде чем организации смогут внедрить нулевое доверие, потребуется около четырех контрольных точек (идентификации, устройства, сети, приложений и данных), им нужна полная видимость, чтобы понять, как все соединяется со всем остальным.

Пользователи, устройства и службы подключены к центрам обработки данных. Это сложная среда, которая усложняется облаком только в том случае, если организации пытаются внедрить правоприменение, не понимая, как ведет себя эта среда, что приводит к пробелам в безопасности или нарушению рабочих процессов.

Получив полную информацию, они могут начать понимать, какие политики доверия и принудительного применения им нужны. Возможно, многие важные технологии уже используются и нуждаются в модернизации с помощью механизмов оркестрации и политик.

3. Построение новых границ: микросегментация

Центры обработки данных традиционно хорошо справляются с управлением сетями и окружающей средой. Но согласно NIST SP800-207: Архитектура нулевого доверия, дифференциальный сегмент — это то, как создать « «микрограница» в дата-центре; Могут проходить только предварительно одобренные потоки трафика. Это похоже на белый список устаревшей системы.

В случае построения архитектуры с нулевым доверием (ZTA) принцип тот же, но сегмент и граница сети будут гораздо более миниатюрными. Таким образом, политика микросегментации должна быть отделена от существующей сетевой архитектуры и иметь возможность легко масштабироваться.

Кроме того, список разрешенных основан на политике, а не на IP-адресах. Обслуживание сети, брандмауэров и правил достаточно загружены, чтобы попытаться сохранить их в микросегментах. В результате ручная работа уже не может решить эту проблему. Например, современные решения Zero Trust Network Access (ZTNA) используют машинное обучение (ML) или искусственный интеллект (AI) для понимания схемы трафика и логики доступа, чтобы помочь организациям создавать автоматизированные политики доступа.

4. Выравнивание удостоверений

Независимо от того, какую структуру или модель вы выберете, идентификация является основой безопасности Zero Trust. Для этого требуются ключевые компоненты, такие как создание удостоверений и управление доступом на основе ролей. Создание удостоверений означает знание того, откуда берутся все удостоверения. Не только идентификаторы пользователей, но и:

• служебные аккаунты

• сеансы приложений

• эфемерные личности

• облачные активы

Нулевое доверие требует аутентификации личности перед предоставлением безопасного доступа, что невозможно с устаревшими решениями, такими как VPN. Программно-определяемый периметр (SDP) или ZTNA выходит за рамки проверки IP-адреса, постоянно оценивая риски безопасности на основе состояния устройства, местоположения, времени, ролей и разрешений перед предоставлением доступа.

Более того, поскольку размер и форма нашего цифрового следа меняются, у нас больше нет «цифровой сети» или «цифровых услуг». Тем не менее, теперь у нас есть целая «цифровая экосистема», которая продолжает расширяться. Предположим, мы хотим оставаться в безопасности, реализуя эти новые каналы, эффективность или гибкость. В этом случае нам необходимо внедрить архитектуру с нулевым доверием — используя призму идентификации, чтобы увидеть потенциальные риски и сообщить, где мы проводим «периметр».

Zero Trust, основанный на идентификации, постоянно отслеживает каждый запрос доступа, сделанный всеми пользователями к любому ресурсу в системе. Модель «Нулевого доверия» обеспечивает тщательный контрольный журнал для соответствия требованиям и применения политик как локально, так и в облаке. Каждый раз, когда личность — человек или машина — пытается получить доступ к активу, выполняется анализ рисков на основе ее поведения во время сеанса и других контекстуальных параметров.

Для эффективного и действенного управления всем состоянием безопасности имеет смысл иметь единое целостное представление об организационной идентичности для определения политики, просмотра состояния, обеспечения соответствия и реагирования на риски.

5. Уменьшение поверхности атаки

Удаленные работники, получающие доступ к вашей сети, расширяют возможности для атак в новом масштабе. Прежде чем произойдет какой-либо инцидент безопасности, команда безопасности должна найти способы уменьшить поверхность атаки, чтобы свести к минимуму уязвимость. Это также ядро ​​операции по обеспечению безопасности, не основанной на угрозах (или вы можете подумать о том, что делает пожарный, когда нет огня?)

Внутри подход микросегментации обеспечивает безопасное соединение 1:1 с авторизованными ресурсами. Все, что не разрешено для рассматриваемой личности, невидимо и недоступно. Таким образом, уменьшая боковое перемещение и предотвращая внутренние угрозы».

Мы также можем применять безопасность Zero Trust за пределами организации для защиты от внешних киберугроз и атак. Например, ваша мобильная и подключенная к сети рабочая сила наводнена попытками фишинга [коренная причина большинства кибератак во время COVID] (https://www.interpol.int/News-and-Events/News/2020/INTERPOL-report-shows). -тревожный-частота-кибератак-во время-COVID-19). Мы можем дополнительно уменьшить поверхность атаки следующим образом:

• упреждающее картирование вашего цифрового следа (упомянутое выше),

• мониторинг каналов связи на наличие индикаторов атак (оптимально при использовании аналитики угроз) и

• быстрое устранение выявленных угроз (включая установку исправлений).

Заключительные слова: кибербезопасность и киберустойчивость

Среди всех моделей Zero Trust — [BeyondCorp] Google (https://cloud.google.com/beyondcorp?ref=hackernoon.com), [CARTA] Gartner (https://www.gartner.com/en/webinars/3891406). /the-7-imperatives-of-continuous-adaptive-risk-and-trust-assessme?ref=hackernoon.com), NIST SP800–207 и ZTX  компании Forrester, которая  предполагает, что компрометация неизбежна. Это приводит к идее киберустойчивости, и я хотел бы закончить эту статью этой концепцией.

Основное различие между кибербезопасностью и киберустойчивостью заключается в направленности реагирования. Что касается кибербезопасности, у нас есть DR/BCP, чтобы организации могли возобновить работу как можно быстрее. Однако основное внимание кибербезопасности по-прежнему уделяется превентивному контролю. В ответ на эту концепцию NIST выпустил специальную публикацию SP800–160, том 2, «Разработка киберустойчивых систем  — «Подход к проектированию системной безопасности».» Это первая из серии специализированных публикаций, разработанных для поддержка [NIST SP 800–160, том 1] (https://csrc.nist.gov/publications/detail/sp/800-160/vol-1/final?ref=hackernoon.com)  —  ведущее руководство по проектированию системной безопасности. .

Достижение киберустойчивости — это не конечная цель, а бесконечное путешествие. Организации должны расширять свои возможности, готовиться к худшему и, надеюсь, хотя это почти невозможно, выявлять уязвимые места раньше противников. Как боец, который столкнется с несколькими противниками, которые используют разные подходы, чтобы победить его, он будет спарринговать с теми, кто подражает его будущему сопернику.

Отказоустойчивая архитектура безопасности — это та, в которой защитники обеспечивают максимальную прозрачность своего предприятия:

• атаки обнаруживаются на ранней стадии, сдерживаются и устраняются до того, как злоумышленники осознают свои цели;

• и быстрое реагирование и восстановление после любого случайного повреждения.

Этот подход лучше адаптируется к современным динамичным бизнес-факторам современного предприятия, где цифровая и облачная трансформация, например, обычно более рентабельна.

Выполнение всего вышеперечисленного не сразу превратит вашу организацию в самую безопасную, но поможет вам реализовать цель безопасности большинства руководителей в 2023 году — архитектуру нулевого доверия. Сегодня мы должны признать, что вопрос больше не в том, как не пустить плохих актеров, хотя это остается важным. Вместо этого приоритетом должно быть как можно быстрее вернуться к «обычному бизнесу» после атаки.

Спасибо за чтение. Да пребудет с вами информационная безопасность🖖.