Model nulové důvěry získává páru s odborníky na bezpečnost

"Nikdy nevěř; vždy si to ověř." Zní to jako zdravý rozum, že? To je heslo, které stojí za strategií s názvem Zero Trust, která získává trakci ve světě kybernetické bezpečnosti. Zahrnuje oddělení IT ověřující všechny uživatele před udělením přístupových oprávnění. Podle Zprávy o vyšetřování porušení údajů z roku 2018 je v roce 2017 účinnější správa přístupu k účtům důležitější než kdykoli předtím. 58 procent malých a středních podniků (SMB) hlásí porušení údajů v roce 2017.

Koncept Zero Trust založil John Kindervag, bývalý analytik Forrester Research a nyní Field CTO v Palo Alto Networks. „Musíme začít dělat skutečnou strategii, a to umožňuje společnost Zero Trust, “ řekl Kindervag publiku 30. října na summitu SecurIT Zero Trust Summit v New Yorku. Dodal, že myšlenka Zero Trust vznikla, když se posadil a opravdu zvážil koncept důvěry a jak to jsou škodliví aktéři, kteří obecně profitují ze společností důvěřujících stranám, že by neměli.

Dr. Chase Cunningham se stal Kindervagovým nástupcem jako hlavní analytik ve Forresteru, který prosazoval přístup Zero Trust Access. „Zero Trust je to, co je obsaženo v těchto dvou slovech, což znamená, že nedůvěřujete ničemu, nedůvěřujete správě hesel, nedůvěřujete pověření, nedůvěřujete uživatelům a nedůvěřujete síti, “ řekl Cunningham společnosti PCMag na Zero Trust Vrchol.

Kindervag použil příklad americké tajné služby k ilustraci toho, jak by organizace měla sledovat, co musí chránit a kdo potřebuje přístup. "Neustále monitorují a aktualizují tyto ovládací prvky, aby mohli kdykoli ovládat to, co prochází mikroregionem, " řekl Kindervag. „Toto je metoda výkonné ochrany Zero Trust. Je to nejlepší vizuální příklad toho, co se snažíme v Zero Trust.“

Poučení z nulové důvěry v OPM

Dokonalý příklad toho, jak může Zero Trust pracovat ve prospěch organizací, přišel z bývalého CIO americké federální vlády. Na summitu Zero Trust popsal Dr. Tony Scott, který v letech 2015 až 2017 zastával funkci US CIO, hlavní porušení údajů, ke kterému došlo v roce 2014 na Úřadu pro správu personálu USA (OPM). K porušení došlo v důsledku zahraniční špionáže. ve kterém byly ukradeny osobní informace a bezpečnostní informace o pozadí 22, 1 milionu lidí spolu s údaji o otiscích prstů o 5, 6 milionu jednotlivců. Scott popsal, jak by k odvrácení tohoto porušení bylo nutné nejen kombinace digitální a fyzické bezpečnosti, ale také účinné uplatňování politiky Zero Trust.

Když lidé budou žádat o práci v OPM, vyplnili vyčerpávající dotazník Standardního formuláře (SF) 86 a data budou v jeskyni střežit ozbrojenými strážci a tanky, řekl. „Kdybyste byli cizí entitou a chtěli byste tyto informace ukrást, museli byste tuto jeskyni porušit v Pensylvánii a dostat se kolem ozbrojených stráží. Pak byste museli odejít s nákladem papíru nebo mít velmi rychlý stroj Xerox nebo něco, “Řekl Scott.

„Bylo by monumentální pokusit se uniknout s 21 miliony záznamů, “ pokračoval. "Ale pomalu, jak automatizace vstoupila do procesu OPM, začali jsme to vkládat do počítačových souborů na magnetickém médiu atd. To se mnohem snáze ukradlo." Scott vysvětlil, že OPM nedokázal najít rovnocenný typ účinné bezpečnosti jako ozbrojené stráže, když agentura přešla na digitální. Po útoku vydal Kongres zprávu požadující strategii Zero Trust k ochraně těchto typů porušení v budoucnu.

„V boji proti pokročilým přetrvávajícím hrozbám usilujícím o kompromitaci nebo využití IT federálních vládních sítí by agentury měly postupovat směrem k modelu bezpečnosti informací a architektury IT společnosti„ Zero Trust “, uvedla kongresová zpráva. Bývalý americký zástupce Jason Chaffetz (R-Utah), tehdejší předseda Výboru pro dohled, také napsal příspěvek o Zero Trust v té době, původně publikovaný Federal News Radio. „Úřad pro správu a rozpočet (OMB) by měl vypracovat pokyny pro výkonná oddělení a vedoucí agentur k efektivní implementaci Zero Trust spolu s opatřeními pro vizualizaci a zaznamenávání veškerého síťového provozu, “ napsal Chaffetz.

Nulová důvěra v reálný svět

V příkladu implementace Zero Trust v reálném světě implementovala společnost Google interně iniciativu nazvanou BeyondCorp, jejímž cílem bylo přesunout řízení přístupu z obvodu sítě na jednotlivá zařízení a uživatele. Správci mohou použít BeyondCorp jako způsob vytváření podrobných zásad řízení přístupu pro Google Cloud Platform a Google G Suite na základě IP adresy, stavu zabezpečení zařízení a identity uživatele. Společnost s názvem Luminate poskytuje zabezpečení Zero Trust jako službu založenou na BeyondCorp. Cloud Luminate Secure Access Cloud ověřuje uživatele, ověřuje zařízení a nabízí motor, který poskytuje skóre rizika, které opravňuje přístup k aplikacím.

„Naším cílem je bezpečně zajistit přístup pro každého uživatele, z jakéhokoli zařízení, do jakéhokoli podnikového zdroje bez ohledu na to, kde je umístěn, v cloudu nebo v prostorách, aniž by do koncového bodu nasadil agenty nebo zařízení, jako jsou virtuální soukromé sítě (VPN), firewally nebo proxy na cílovém místě, “řekl Michael Dubinsky, vedoucí produktového managementu ve společnosti Luminate, konferenci PCMag na konferenci Hybrid Identity Protection (HIP) 2018 (HIP2018) v NYC.

Klíčovou IT disciplínou, ve které Zero Trust získává rychlou trakci, je správa identity. Pravděpodobně je to proto, že 80 procent porušení je způsobeno zneužitím privilegovaných údajů, podle zprávy „Forrester Wave: Privileged Identity Management, Q3 2016“. Systémy, které kontrolují autorizovaný přístup do podrobnější míry, mohou těmto incidentům zabránit.

Prostor pro správu identit není nový a existuje dlouhý seznam společností, které taková řešení nabízejí, s největší pravděpodobností nejrozšířenější je společnost Microsoft a její platforma Active Directory (AD), která je součástí stále populárního operačního systému Windows Server (OS). Existuje však řada nových hráčů, kteří mohou nabídnout nejen více funkcí než AD, ale mohou také usnadnit implementaci a údržbu správy identit. Mezi takové společnosti patří hráči jako Centrify, Idaptive, Okta a SailPoint Technologies.

A zatímco ti, kteří již investovali do systému Windows Server, by mohli odmítnout platit více za technologii, o které mají pocit, že již investovali, hlubší a lépe udržovaná architektura správy identit může přispět k velkým dividendám v narušených auditech a auditech souladu. Navíc cena není příliš vysoká, i když může být významná. Například Centrify Infrastructure Services začíná na 22 USD měsíčně za systém.

Jak funguje nulová důvěra

„Jednou z věcí, které Zero Trust dělá, je definování segmentace sítě, “ řekl Kindervag. Segmentace je klíčovým pojmem jak v oblasti správy sítí, tak v kybernetické bezpečnosti. To zahrnuje rozdělení počítačové sítě do podsítí, ať už logicky nebo fyzicky, za účelem zlepšení výkonu a zabezpečení.

Architektura Zero Trust přesahuje obvodový model, který zahrnuje fyzické umístění sítě. To zahrnuje „tlačení obvodu dolů k entitě, “ řekl Cunningham.

„Subjektem může být server, uživatel, zařízení nebo přístupový bod, “ řekl. "Zatlačte ovládací prvky dolů na mikroúrovni, než abyste si mysleli, že jste postavili opravdu vysokou zeď a že jste v bezpečí." Cunningham popsal firewall jako součást typického obvodu. "Je to problém přístupu a strategie a obvodu, " poznamenal. "Vysoké zdi a jedna velká věc: prostě nefungují."

Podle Dannyho Kibela, nového generálního ředitele společnosti Idaptive, společnosti zabývající se správou identit, která se odděluje od Centrify, bylo pro získání přístupu k síti používáno směrování. Před Zero Trust by společnosti ověřovaly a poté důvěřovaly. Ale u společnosti Zero Trust „vždy ověřujete, nikdy nevěříte, “ vysvětlil Kibel.

Idaptive nabízí platformu Next-Gen Access, která zahrnuje Single Sign-On (SSO), adaptivní multifaktorové ověřování (MFA) a správu mobilních zařízení (MDM). Služby jako Idaptive poskytují způsob, jak vytvořit nutně granulární kontroly přístupu. Poskytování nebo zrušení poskytování můžete na základě toho, kdo potřebuje přístup k různým aplikacím. "To dává této jemnozrnné schopnosti organizace kontrolovat její přístup, " řekl Kibel. "A to je velmi důležité pro organizace, které vidíme, protože existuje mnoho roztržek, pokud jde o neoprávněný přístup."

Společnost Kibel definovala přístup společnosti Idaptive k produktu Zero Trust pomocí tří kroků: ověření uživatele, ověření jeho zařízení a teprve poté povolení přístupu k aplikacím a službám pouze pro tohoto uživatele. "Máme několik vektorů, abychom mohli posoudit chování uživatele: umístění, geo-rychlost, denní čas, čas v týdnu, jaký typ aplikace používáte, a dokonce v některých případech, jak tuto aplikaci používáte, " řekl Kibel. Idaptivní monitoruje úspěšné a neúspěšné pokusy o přihlášení, aby zjistil, kdy je třeba znovu vyzvat ověřování nebo zablokovat uživatele úplně.

30. října společnost Centrify zavedla přístup k kybernetické bezpečnosti zvaný Zero Trust Privilege, ve kterém společnosti udělují nejméně privilegovaný přístup a ověřují, kdo o přístup žádá. Čtyři kroky procesu Zero Trust Privilege zahrnují ověření uživatele, prohlédnutí do kontextu žádosti, zabezpečení administrátorského prostředí a udělení nejmenšího nezbytného oprávnění. Přístup Centrify Zero Trust Privilege zahrnuje postupný přístup ke snižování rizika. Přináší také přechod od staršího PAM (Privileged Access Management), což je software, který umožňuje společnostem omezit přístup k novějším typům prostředí, jako jsou platformy cloudových úložišť, velké datové projekty, a dokonce i pokročilé projekty vývoje vlastních aplikací běžící na podnikovém webu. hosting zařízení.

Model Zero Trust předpokládá, že hackeři již přistupují k síti, řekl Tim Steinkopf, prezident Centrify. Strategie boje proti této hrozbě by podle Steinkopfa znamenala omezit boční pohyb a aplikovat MFA všude. „Kdykoli se někdo snaží získat přístup k privilegovanému prostředí, musíte mít okamžitě správná pověření a správný přístup, “ řekl Steinkopf pro PCMag. "Způsob, jak to vynutit, je konsolidovat identity, a pak potřebujete kontext žádosti, což znamená kdo, co, kdy, proč a kde." Poté udělíte jen potřebný přístup, řekl Steinkopf.

"Berete kontext uživatele, v tom případě to může být lékař, může to být zdravotní sestra nebo to může být jiná osoba, která se pokouší získat přístup k datům, " řekl Dubinsky. "Berete kontext zařízení, ze kterého pracují, berete kontext souboru, ke kterému se pokoušejí získat přístup, a na základě toho musíte učinit rozhodnutí o přístupu."

MFA, Zero Trust a Best Practices

Klíčovým aspektem modelu Zero Trust je silná autentizace a součástí toho je umožnění více faktorů autentizace, poznamenal Hed Kovetz, generální ředitel a spoluzakladatel Silverfort, který nabízí řešení MFA. Vzhledem k tomu, že v době cloudu chybí perimetry, existuje větší potřeba ověřování než kdy jindy. „Schopnost provádět MFA cokoli je téměř základním požadavkem Zero Trust a dnes je to nemožné, protože Zero Trust vychází z myšlenky, že už neexistují žádná perimetry, “ řekl Kovetz pro PCMag na HIP2018. "Takže s čímkoli něco souvisí a v této realitě nemáte bránu, na kterou můžete aplikovat kontrolu."

Společnost Cunningham společnosti Forrester načrtla strategii nazvanou Zero Trust eXtended (XTX), která mapuje rozhodnutí o nákupu technologií na strategii Zero Trust. „Opravdu jsme se podívali na sedm prvků kontroly, které musíte skutečně bezpečně spravovat prostředí, “ řekl Cunningham. Sedm pilířů jsou automatizace a orchestrace, viditelnost a analytika, pracovní zatížení, lidé, data, sítě a zařízení. Aby byla platforma ZTX, měl by systém nebo technologie tři z těchto pilířů spolu s funkcemi API (Application Programming Interface). Několik dodavatelů, kteří nabízejí bezpečnostní řešení, se vejde do různých pilířů rámce. Společnost Centrify nabízí produkty zaměřené na bezpečnost lidí a zařízení, Palo Alto Networks a Cisco nabízejí síťová řešení a řešení IBM Security Guardium se zaměřují na ochranu dat, poznamenal Cunningham.

Model Zero Trust by měl zahrnovat také šifrované tunely, dopravní cloud a šifrování založené na certifikátech, uvedl Steinkopf. Pokud odesíláte data z iPadu přes internet, pak si chcete ověřit, že příjemce má právo přístupu, vysvětlil. Podle Steinkopf může implementace nových technologických trendů, jako jsou kontejnery a DevOps, pomoci v boji proti privilegovanému zneužívání pověřených osob. Popsal také cloud computing jako v popředí strategie Zero Trust.

Luminate's Dubinsky souhlasí. U malých a středních podniků přechází na cloudovou společnost, která poskytuje správu identit nebo MFA jako službu, tyto bezpečnostní povinnosti zatěžuje společnosti, které se specializují na tuto oblast. "Chcete, aby se co nejvíce vykládaly společnosti a lidé, kteří jsou za jejich každodenní práci odpovědní, " řekl Dubinsky.

Potenciál nulové důvěryhodnosti

Přestože odborníci uznali, že společnosti se obracejí na model Zero Trust, zejména v oblasti správy identit, někteří nevidí potřebu velkých změn v bezpečnostní infrastruktuře, aby mohli přijímat Zero Trust. „Nejsem si jistý, zda je to strategie, kterou bych dnes chtěl přijmout na jakékoli úrovni, “ řekl Sean Pike, viceprezident pro program Security Products Group společnosti IDC. „Nejsem pozitivní, že počet návratnosti investic existuje v časovém rámci, který dává smysl. Existuje řada architektonických změn a personálních problémů, které podle mého názoru činí náklady jako strategii neúnosnou.“

Pike však vidí potenciál pro nulovou důvěru v telekomunikacích a IDM. "Myslím, že existují komponenty, které lze dnes snadno přijmout a které nevyžadují změny velkoobchodní architektury - například identitu, " řekl Pike. "I když jsou spojeni, můj silný pocit je, že adopce nemusí nutně znamenat strategický krok směrem k nulové důvěře, ale spíše krok k oslovení nových způsobů, jak se uživatelé připojují, a nutnosti opustit systémy založené na heslech a zlepšit správu přístupu, " vysvětlil.

Přestože Zero Trust lze interpretovat jako kousek marketingového konceptu, který opakuje některé ze standardních principů kybernetické bezpečnosti, jako například nedůvěryhodným účastníkům vaší sítě a nutnosti ověřit uživatele, podle odborníků slouží jako účel jako herní plán.. „Jsem velkým zastáncem společnosti Zero Trust, směřující k tomuto jedinečnému strategickému druhu mantry a prosazujícím to v rámci organizace, “ řekl Cunningham z Forresteru.

Myšlenky Zero Trust představené společností Forrester v roce 2010 nejsou pro odvětví kybernetické bezpečnosti novinkou, poznamenal John Pescatore, ředitel Emerging Security Trends v institutu SANS Institute, který poskytuje školení a certifikaci v oblasti bezpečnosti. „To je do značné míry standardní definice kybernetické bezpečnosti - pokuste se vše zabezpečit, rozdělit síť a spravovat uživatelská oprávnění, “ řekl.

Pescatore poznamenal, že kolem roku 2004 nyní zaniklá bezpečnostní organizace s názvem Jericho Forum představila podobné myšlenky jako Forrester ohledně „perimetrové bezpečnosti“ a doporučila pouze povolit důvěryhodná připojení. "Je to něco jako říkat:" Pohybujte se někam, kde nejsou zločinci a perfektní počasí, a nepotřebujete střechu nebo dveře ve vašem domě, "řekl Pescatore. "Zero Trust se přinejmenším přivedl zpět do běžného smyslu pro segmentaci - vždy segmentujete z internetu po obvodu."

• Za hranicí: Jak řešit vrstvené zabezpečení Za hranicí: Jak řešit vrstvené zabezpečení
• NYC Venture usiluje o urychlení práce, inovace v kybernetické bezpečnosti NYC Venture usiluje o urychlení práce, inovace v kybernetické bezpečnosti
• Jak se připravit na další porušení zabezpečení Jak se připravit na další porušení zabezpečení

Jako alternativu k modelu Zero Trust doporučil Pescatore sledování kritických bezpečnostních prvků Centra pro internetovou bezpečnost. Nakonec může Zero Trust určitě přinést výhody i přes humbuk. Jak však poznamenal Pescatore, ať už se to nazývá Zero Trust nebo něco jiného, ​​tento typ strategie stále vyžaduje základní kontroly.

„Nemění to skutečnost, že k ochraně podniku musíte vyvinout základní bezpečnostní hygienické postupy a kontroly a také kvalifikovaný personál, který jim zajistí efektivní a efektivní provoz, “ řekl Pescatore. To je více než finanční investice pro většinu organizací a je to jedna společnost, která se bude muset soustředit, aby uspěla.