Как управлять инфраструктурой нулевого доверия в 2024 году
26 декабря 2023 г.В последнее десятилетие нулевое доверие стало одной из самых обсуждаемых парадигм кибербезопасности. Мантра «Никогда не доверяй, всегда проверяй», лежащая в основе концепции нулевого доверия, согласно которой никогда не доверять никакому устройству или пользователю в вашей сети и вместо этого проверять каждую попытку доступа, привела к развитию сегментации с множеством новых методов проверки, начиная от многофакторной авторизации (MFA). а также единый вход (SSO) для управления идентификационным доступом (IAM), управления привилегированным доступом (PAM) и многого другого.
Однако реализовать нулевое доверие, к сожалению, сложнее, чем просто купить и включить все сопутствующие продукты. Путь нулевого доверия требует не только интеграции с существующей инфраструктурой и каждым дополнительным продуктом, но и обновления устаревших инструментов, обеспечения безопасности расширяющихся коллекций данных и устранения пробелов в прозрачности.
В этой статье рассматриваются наиболее игнорируемые вопросы реализации нулевого доверия.
Смещение фокуса: безопасность данных важнее управления устройствами
Сосредоточение внимания на управлении устройствами означает значительные инвестиции в управление детальной инвентаризацией утвержденных устройств в сети. Значительные ресурсы тратятся на аудит, обслуживание и защиту этих устройств.
Тем не менее, в мире распределенных вычислений конфиденциальные данные легко передаются за пределы управляемых устройств конечных пользователей. Сотрудники регулярно загружают файлы в Dropbox, Google Drive, Slack, Monday.com и другие программы управления командой, находящиеся за пределами защищенной сети, а также незамеченные недостатки защищенной инфраструктуры, такие как целые озера данных, находящиеся в плохо настроенных корзинах S3. Критически важные данные могут храниться практически где угодно, что выходит за рамки традиционных моделей безопасности, ориентированных на устройства.
Чтобы по-настоящему реализовать идеалы безопасности по умолчанию, лежащие в основе нулевого доверия, необходимо расширить фокус с простого усиления защиты авторизованных устройств до непосредственной защиты самих данных. Это означает использование возможностей безопасности, ориентированных на данные, таких как постоянное шифрование файлов, контроль управления правами и повышение прозрачности всех хранилищ данных, а не только тех, которые находятся на управляемых устройствах. Это также требует обновленных предположений при моделировании угроз и рисков, чтобы учитывать реальность данных, которые потенциально могут находиться повсюду, а не только в таблицах инвентаризации устройств.
Из-за обширных слепых зон безопасности данных за пределами управляемых устройств остаются открытые бэкдоры, сводящие на нет другие средства контроля доступа с нулевым доверием на границе сети. Сообразительные злоумышленники с радостью просто обходят сложные контрольные точки и вместо этого атакуют слабозащищенные данные.
Риск устаревания устаревшей системы
Когда несколько лет назад большинство организаций начали инвестировать в наборы инструментов нулевого доверия, они представляли собой передовые достижения в области кибербезопасности. Однако с тех пор, как были совершены первые покупки, в среде поставщиков продолжались быстрые и итеративные инновации. Возможности, которые в 2020 году считались продвинутыми, теперь являются просто базовыми функциями. Интеграция и автоматизация, направленные на улучшение обнаружения, реагирования и прозрачности, также значительно расширились.
Тем не менее, время и ресурсы, необходимые для выявления лучших альтернатив и обновления архитектур нулевого доверия современными заменами, приводят к опасной тенденции простого обновления и продолжения использования быстро устаревающих устаревших инструментов. Несмотря на то, что они по-прежнему ценны, между тем, на что направлены эти устаревшие продукты, и реальным текущим ландшафтом угроз и средами бизнес-вычислений могут возникнуть и действительно возникают бреши в безопасности. Техники атак и сложность инфраструктуры значительно изменились даже за несколько лет. Устаревшие инструменты не замечают новых направлений атак и уязвимостей, которых не было на момент их приобретения.
Удобство продления в конечном итоге порождает угрозу безопасности.
Укрепление основы данных
Дискуссии вокруг архитектуры нулевого доверия в основном сосредоточены на достижениях в области сетевой безопасности, управлении идентификацией и доступом, а также на других периферийных темах, таких как микросегментация. Однако важнейшая составляющая безопасности данных по-прежнему в значительной степени игнорируется и получает недостаточное финансирование. Хотя контроль доступа обеспечивает один уровень защиты, недостаточная безопасность данных сама по себе приводит к бэкдорам, которые сводят на нет даже сложные шлюзы доступа.
Например, неправильно настроенные облачные базы данных, хранилища данных большого объема, такие как корзины S3, и устаревшие локальные файловые ресурсы продолжают способствовать громким нарушениям безопасности из-за элементарных ошибок. Несмотря на заблокированные сети и многофакторную аутентификацию, простые неверные настройки облака постоянно теряют данные. Неспособность активно управлять и инвентаризировать хранилища прямых данных оставляет эти уязвимые места для использования захватчиками. Затем нарушения распространяются по доверенным каналам доступа внутри защищенных сетей.
Чтобы полностью реализовать идеалы нулевого доверия, безопасность данных требует равного внимания наряду с идентификацией, устройствами и сетевыми компонентами. Расширение видимости и контроля непосредственно внутри и вокруг хранилищ данных закрывает упущенные из виду бреши, которые не могут устранить одни средства защиты доступа. Это означает использование таких возможностей, как постоянное шифрование, предотвращение потери данных, управление правами и управление состоянием облачной безопасности, адаптированное к рискам данных.
Трудно полностью визуализировать все данные
Фундаментальное предположение о нулевом доверии заключается в отказе в доверии любым объектам, пока не доказано обратное. Тем не менее, неуклонное угасание сетевых периметров в сочетании с внедрением BYOD и облачных технологий создает огромные «слепые зоны» в сфере безопасности данных даже среди компаний, уверенных в своей позиции.
Когда дело доходит до визуализации того, где могут находиться конфиденциальные данные, чрезмерная самоуверенность может привести к существенной переоценке фактического охвата и контроля.
Независимо от того, загружают ли сотрудники файлы в несанкционированные облачные приложения, недокументированные базы данных, созданные для разовых проектов, или важные данные, накапливающиеся в корзинах Amazon S3, конфиденциальная информация легко выходит за пределы управляемых знаний. Чем менее ограничены потоки данных за пределами традиционных защищенных каналов, тем больше появляется слепых зон. Без полной прозрачности и каталогизации того, где хранятся и перемещаются данные, полная защита становится невозможной, независимо от того, насколько надежно защищены основные системы.
Эта обширная невидимая поверхность атаки становится легкой добычей для захватчиков. Несмотря на строгий контроль доступа с нулевым доверием к известным активам, беспрепятственное перемещение данных в забытые уголки цифровой экосистемы открывает альтернативные пути для их кражи и злоупотреблений.
До тех пор, пока не будут точно отображены и учтены всесторонние объемы данных, а не просто предполагаемые управляемые экосистемы, серьезные пробелы в безопасности будут сохраняться, подрывая идеалы нулевого доверия.
Архитектура нулевого доверия может стать бесценным шагом вперед в области кибербезопасности, но она не лишена ограничений. Как и в любой сложной ИТ-инфраструктуре, успех кроется в деталях. Обновление инструментов, тщательное администрирование, усиление защиты данных и обеспечение гибкости для новых границ данных — все это является ключом к извлечению долгосрочной выгоды из нулевого доверия. Принцип нулевого доверия – это не одноразовый проект, а постоянная философия.
Оригинал