Zero Trust: новый подход к информационной безопасности

В современном мире информационных технологий кибератаки становятся все более изощренными и сложными. Традиционные методы защиты данных уже не могут гарантировать безопасность, поэтому компании все чаще обращаются к новой модели информационной безопасности – Zero Trust. Суть этой модели заключается в том, что никому нельзя доверять априори, а каждый запрос на доступ может происходить только через проверку подлинности и авторизацию. Только так возможно эффективно защищать данные от различных видов угроз и минимизировать риски операционных потерь.

Модель Zero Trust, или "Нулевого доверия", это не просто концепция, это стратегия выживания в мире, где угрозы информационной безопасности могут исходить отовсюду. Это подход, который предполагает, что ни одному пользователю или устройству нельзя доверять по умолчанию, независимо от того, находятся ли они внутри или за пределами корпоративной сети.

Традиционные подходы к информационной безопасности, которые сосредоточены на защите периметра, уже не работают. Невозможно просто построить стену вокруг рабочей сети и надеяться, что это надежно защитит. Угрозы могут прийти изнутри, от сотрудников, которые, возможно, даже не осознают, что они стали инструментом атаки. Или угрозы могут прийти извне, от хакеров, которые используют все более сложные и изощренные методы для проникновения в системы.

При этом важно подчеркнуть, что не доверять никому и ничему по умолчанию, требовать подтверждения идентичности и проверки безопасности на каждом шагу вовсе не означает, что мы не доверяем сотрудникам компании или партнерам. Это означает, что мы понимаем риски и делаем все возможное, чтобы их минимизировать.

Модель Zero Trust – это подход к созданию системы информационной безопасности, который предполагает отсутствие доверия по умолчанию. Этот подход включает в себя несколько ключевых элементов, а именно – процессы, средства защиты информации (СЗИ), персонал, ИТ-инфраструктуру.

Процессы. В основе модели Zero Trust лежат четко определенные процессы, которые обеспечивают минимальные привилегии и постоянную аутентификацию. Это означает, что каждый запрос на доступ к ресурсам должен быть проверен, и никому не предоставляется больше доступа, чем необходимо для выполнения его задач. Это позволяет значительно повысить уровень безопасности, так как злоумышленники не смогут получить доступ к ценным данным, даже если они проникнут в систему.

СЗИ. Эффективная модель Zero Trust требует использования передовых технологий защиты информации. Может включать в себя системы идентификации и управления доступом (позволяют точно определять легитимность пользователей и устройств, а также устанавливать строгие правила доступа к ресурсам), шифрование (играет важную роль в защите информации от несанкционированного доступа, даже если атакующему удается проникнуть в сеть), инструменты для анализа поведения пользователей (помогают обнаруживать потенциальные атаки и несанкционированные действия даже у легитимных пользователей) и другие меры безопасности. Особенность применения данных типов средств защиты в модели Zero Trust заключается в их интеграции и взаимодействии для создания непрерывной и многоуровневой защиты. Нельзя полагаться только на один уровень защиты, поэтому комбинирование средств и технологий становится критически важным.

Персонал. Люди играют центральную роль в модели Zero Trust. Они должны быть обучены принципам этой модели и понимать, как их действия влияют на безопасность организации. В отличие от осведомленности сотрудников в других концепциях безопасности, осведомленность в контексте Zero Trust более фокусирована на недоверии и постоянной бдительности (даже к действиям коллег внутри собственной организации). Эти знания и навыки позволяют более эффективно реализовывать принципы Zero Trust и усиливать уровень безопасности.

ИТ-инфраструктура. Инфраструктура организации должна быть спроектирована таким образом, чтобы поддерживать принципы Zero Trust. При проектировании ИТ необходимо учесть несколько важных аспектов. Во-первых, система защиты должна работать на нескольких уровнях, обеспечивая безопасность сети, приложений и данных. Это создает несколько слоев защиты, что повышает надежность. Во-вторых, важно иметь механизмы идентификации и аутентификации, чтобы убедиться в том, что пользователи и устройства действительно легитимны и имеют доступ только к тому, что им полагается. Третий аспект – системы мониторинга и реагирования. Они позволяют быстро обнаруживать подозрительную активность и атаки, что особенно важно в модели Zero Trust.

Поддержание обновленной инфраструктуры и применение патчей – четвертый аспект. Это помогает устранить уязвимости, которые могут использоваться злоумышленниками.

Переход к модели Zero Trust в организации – серьезное мероприятие, требующее тщательного планирования и выполнения.

Первым шагом является выявление объектов защиты. Эти объекты представляют собой активы и ресурсы, которые требуют особой защиты в контексте модели Zero Trust. Этот шаг является фундаментальным и определяет, какие данные и ресурсы будут наиболее уязвимыми и, следовательно, требуют дополнительных мер безопасности. При определении объектов защиты важно определить ценные активы и данные, оценить уровень их уязвимости, понимать, какие бизнес-процессы зависят от них. Также необходимо провести анализ рисков для правильной приоритизации угроз и учесть требования регуляторов.

Вторым шагом станет определение и установка сетевых контролей трафика. Так, множество систем требует доступа к базе данных с чувствительными данными, и эти зависимости следует учитывать при принятии решения о внедрении контролей сети и их размещении. Может сложиться впечатление, что для реализации модели Zero Trust достаточно качественного NGFW, но это не совсем так. Определение и установка сетевых контролей трафика в модели Zero Trust отличаются от простой установки NGFW более глубоким и детализированным контролем на всех уровнях безопасности. NGFW фокусируется на обнаружении и блокировке угроз на уровне приложений и сети, тогда как Zero Trust включает минимальные привилегии, постоянную аутентификацию, инспекцию трафика и изоляцию уязвимых устройств.

Третий шаг – создание сети Zero Trust, которая должна быть адаптирована к вашей защитной поверхности. Можно начать с использования брандмауэра нового поколения (NGFW) для сегментации части вашей сети и внедрения многофакторной аутентификации (MFA) для полной проверки подлинности пользователей перед предоставлением доступа. NGFW позволит сегментировать сеть, создавая изолированные зоны с минимальными привилегиями. Он также обеспечит глубокий анализ трафика, что соответствует принципам Zero Trust. MFA усилит проверку подлинности пользователей, что особенно важно в среде Zero Trust, где каждый доступ должен быть строго аутентифицирован.

Четвертым шагом станет составление политики Zero Trust. Это можно сделать эффективно, применив метод Киплинга, который предполагает ответы на вопросы «кто, что, когда, где, почему и как» для каждого пользователя, устройства и сети, запрашивающих доступ. Эффективность метода состоит в обеспечении глубокого и систематического понимания всех аспектов доступа в рамках модели Zero Trust, что повышает уровень безопасности и контроля.

Пятым шагом станет контроль за сетью для оптимизации ее производительности без ущерба для безопасности. Речь идет об использовании аналитики для контроля нагрузки сети, производительности ее компонентов и моделей поведения пользователей, включающих анализ действий пользователей для выявления аномалий и несанкционированных активностей. Пятый шаг становится важным после предыдущих, так как множество контролей и проверок в модели Zero Trust может замедлить сеть, создать сложности в настройке правил безопасности и повлиять на работу пользователей.

Реализация модели Zero Trust – это объективно сложная задача, и для ее успешного осуществления требуется вовлечение многих людей на разных уровнях организации. Но если сказать коротко и ясно, то основную ответственностью за внедрение Zero Trust должна нести команда по информационной безопасности. Именно специалисты ИБ обладают необходимыми знаниями и опытом, чтобы понять, как правильно применять принципы Zero Trust к существующей инфраструктуре.

Но вот что важно понять: хоть и команда ИБ и является главным драйвером этого процесса, Zero Trust – это не только вопрос технологий. Это также вопрос культуры и процессов в организации. Поэтому, успешное внедрение Zero Trust требует активного участия всего персонала – от руководителей до рядовых сотрудников. Например, отдел HR может помочь в обучении сотрудников принципам Zero Trust, а отдел управления может помочь в интеграции этих принципов в бизнес-процессы.

Начать диалог с сотрудниками лучше всего с объяснения основных принципов модели Zero Trust в простых и понятных терминах. Необходимо подчеркнуть важность Zero Trust для защиты бизнеса и сохранения репутации компании, приведя примеры крупных нарушений безопасности, которые могли бы быть предотвращены с помощью этой модели. Топ-менеджерам стоит продемонстрировать, как Zero Trust может быть интегрирован в существующие бизнес-процессы с минимальными затратами и бесперебойной работой, рассказать о возможности фазового внедрения, начиная с наиболее критических систем.

В конечном итоге, все должны понимать и принимать принципы Zero Trust. Это подразумевает изменение мышления на всех уровнях организации, а также появление понимания, что реализация концепции Zero Trust – это непрерывный процесс, а не одноразовая задача.

Выбор между самостоятельным строительством модели Zero Trust и обращением к подрядчику зависит от конкретной ситуации и потребностей организации. Если у организации есть необходимые знания и ресурсы, то самостоятельное строительство может быть более выгодным вариантом. Если же организация хочет получить профессиональную помощь и гарантию качества, то обращение к подрядчику станет более оптимальным решением. Рассмотрим каждый из вариантов подробнее.

Плюсы:

· Глубокая адаптация. Когда вы сами реализуете Zero Trust, вы тщательно приспосабливаете модель к особенностям вашей компании, интегрируя ее с процессами и инфраструктурой. Вы становитесь максимально вовлеченными в адаптацию модели под конкретные потребности и получаете глубокое знание о ее функционировании в вашей среде.

· Полный контроль. Вы имеете полный контроль над всем процессом и можете гибко управлять его ходом.

· Экономия ресурсов. Если у вас есть достаточно опытных специалистов, самостоятельная реализация может быть менее затратной с финансовой точки зрения. Однако, чаще всего, компании не имеют в штате специалистов по модели Zero Trust, которые бы обладали необходимым опытом, инструментами аналитики, заготовками организационно-распорядительной документации и т.д.

Минусы:

· Необходимость глубоких знаний. Вам нужно иметь или привлечь специалистов с достаточными знаниями и опытом.

· Время. Процесс может занять больше времени, особенно если у вас нет предварительного опыта с Zero Trust.

Плюсы:

· Экспертиза. Подрядчики обычно обладают большим опытом и знаниями в вопросах Zero Trust. Они знают общепринятые лучшие практики и могут помочь избежать распространенных ошибок.

· Скорость. Подрядчики могут быстрее внедрить Zero Trust, так как они уже знают, как это делать, какие шаги следует предпринять и где можно наткнуться на подводные камни.

· Поддержка. Подрядчик может предложить дополнительную поддержку и обучение для вашей команды.

Минусы:

· Зависимость. Вы можете стать зависимыми от подрядчика, особенно если не обладаете достаточными знаниями, чтобы управлять моделью Zero Trust самостоятельно.

· Проблемы с конфиденциальностью. Работая с подрядчиком, вы можете столкнуться с проблемами, связанными с разглашением конфиденциальной информации.

Как видите, при работе с подрядчиками есть свои положительные и свои отрицательные стороны. Однако, если выбрать правильного подрядчика, который соответствует вашим требованиям и имеет положительные отзывы от других клиентов, то это может принести значительную пользу, обеспечив безопасность организации и соблюдение лучших практик.

Критерии и параметры, которые следует учитывать при выборе подрядчика для внедрения модели Zero Trust

Во-первых, опыт и экспертиза. Это, пожалуй, самое главное. Подрядчик должен обладать солидным опытом внедрения модели Zero Trust и глубокими знаниями в области информационной безопасности. Для этого нужно изучить портфолио подрядчика и оценить успешно завершенные проекты по внедрению модели Zero Trust. Также обратите внимание на партнерский пакет подрядчика, то есть его отношения с ведущими ИБ-вендорами. Немаловажным станет и подход подрядчика к аудиту, так как грамотный и всесторонний анализ является ключевым этапом успешной реализации проекта.

Во-вторых, репутация и отзывы. Отзывы предыдущих клиентов и репутация подрядчика на рынке могут многое сказать о качестве его работы.

В-третьих, подход к работе. Профессиональный подрядчик подходит к каждому проекту индивидуально, анализируя специфику организации, ее потребности и риски. Правильный подрядчик способен предложить персонализированное решение, а не стандартный «пакет для всех».

В-четвертых, поддержка после внедрения. Важно, чтобы подрядчик предоставлял поддержку и обучение после внедрения модели Zero Trust. Это поможет вашей команде уверенно управлять и поддерживать систему в будущем.

В-пятых, ценовая политика. Хотя стоимость не должна быть единственным фактором при выборе подрядчика, она все же важна. Убедитесь, что цены соответствуют качеству услуг и вписываются в ваш бюджет.

В-шестых, соответствие стандартам безопасности. Подрядчик должен следовать строгим стандартам информационной безопасности и иметь необходимые сертификаты и лицензии. Важно, чтобы у него были сертификаты в области информационной безопасности, такие как CISSP, CISM, CISA и другие, подтверждающие его экспертизу. Также необходимо убедиться, что у подрядчика есть соответствующие лицензии для использования необходимого программного обеспечения, и что его команда специалистов также обладает необходимыми сертификациями, гарантируя тем самым их квалификацию и профессионализм в работе над проектом Zero Trust.

Организация процесса контроля за соблюдением модели Zero Trust – необходимый шаг для обеспечения успешного функционирования этой модели.

1. Мониторинг и реагирование. Мониторинг в рамках модели Zero Trust имеет свою специфику, так как он должен обнаруживать аномальные действия и потенциальные угрозы для безопасности данных и ресурсов. Обычный же мониторинг, как правило, ориентирован на обнаружение технических сбоев или проблем в сети, и он не всегда способен эффективно обнаруживать угрозы информационной безопасности, особенно те, которые могут быть неочевидными или нестандартными.

В концепции Zero Trust мониторинг может включать в себя анализ не только технических параметров, но и пользовательского поведения, чтобы выявить потенциальные аномалии. Например, можно обнаруживать несанкционированный доступ к данным, необычные попытки аутентификации или другие аномалии, которые могут свидетельствовать о нарушении безопасности. Для этого также важно использовать специализированные инструменты, такие как системы управления угрозами и инцидентами безопасности (SIEM), которые специализируются на анализе данных безопасности и выявлении аномалий. Эти инструменты позволяют анализировать большие объемы данных в реальном времени и реагировать на угрозы оперативно.

2. Аудиты. Стоит проводить регулярные аудиты для проверки соответствия модели Zero Trust. Это поможет убедиться, что все политики и процедуры выполняются должным образом и что нет пробелов в защите.

3. Обучение и осведомленность персонала. Убедитесь, что ваша команда понимает принципы модели и знает, какие действия следует предпринимать для соблюдения этих принципов.

4. Отчетность. Разработайте систему отчетности, которая будет регулярно информировать о состоянии безопасности и соблюдении политик Zero Trust. Это поможет выявить проблемные области и позволит быстро вносить необходимые коррективы. Система отчетности для модели Zero Trust должна учитывать особенности этой модели. Обычная отчетность в области информационной безопасности и системы управления угрозами может быть недостаточно информативной.

Важно учесть следующие аспекты:

- анализ аутентификации и авторизации. Отслеживание всех попыток доступа и проверка их соответствия принципам безопасности.

- мониторинг сетевого трафика. Оценка сетевых транзакций и выявление аномалий в реальном времени.

- анализ поведения пользователей. Выявление необычных или подозрительных действий сотрудников.

- проверка соответствия политикам безопасности. Обеспечение соответствия всем действиям установленным правилам.

Mодель Zero Trust в сфере информационной безопасности представляет собой надежный подход, который отказывается от доверия внутренним и внешним источникам и акцентирует внимание на проверке и защите каждой сетевой транзакции и действия пользователя. Ключевыми элементами этой модели являются многие слои аутентификации, мониторинг сетевого трафика и анализ поведения пользователей.

Успешное внедрение модели Zero Trust требует выполнения нескольких ключевых шагов, включая определение объектов защиты, установку сетевых контролей, формирование политики безопасности и контроль за соблюдением этой модели. Факторами успеха внедрения являются сознательность персонала, обучение и подготовка, а также мониторинг и адаптация системы.

При выборе между самостоятельной реализацией и привлечением подрядчика важно учесть специфику своей организации и доступные ресурсы. И наконец, организация процесса контроля за соблюдением модели Zero Trust – это ключевой шаг в обеспечении безопасности и эффективности этой модели. Отчетность, анализ данных, мониторинг событий и реагирование на угрозы должны быть организованы в соответствии с принципами Zero Trust для быстрого выявления и предотвращения потенциальных атак и инцидентов.

Автор: Сергей Пыжик, первый заместитель генерального директора Infosecurity a Softline company