Популярное
Свежее
Моя лента
Сообщения
Обзор
Курсы
Темы
Маркетинг
Деньги
Сервисы
Крипто
Личный опыт
Маркетплейсы
Образование
AI
Карьера
Путешествия
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Staffcop

Концепция «нулевого доверия», ее принципы и способы внедрения

Концепция «нулевого доверия», ее принципы и способы внедрения

«Следует больше опасаться последствий доверчивости, нежели последствий недоверия», — говорил шведский государственный деятель Аксель Оксеншерна в далеком Средневековье. Этот принцип заложен в основу концепции «нулевого доверия» (англ. Zero Trust). «Нулевое доверие» в области кибербезопасности предлагает по умолчанию считать опасными все устройства и пользователей. Каждый запрос на доступ должен быть проверен и аутентифицирован. Согласно исследованию аналитиков Statista, 80% компаний уже внедрили такую концепцию или планируют в будущем перейти к ней.

Принципы концепции Zero Trust

Почему это работает?

Каким организациям необходимо работать по принципам Zero Trust

Как внедрить концепцию «нулевого доверия»?

Вообще никому не доверять?

Этична ли концепция «нулевого доверия»?

Принципы концепции Zero Trust

Концепция «нулевого доверия», или ZTNA, появилась в 2010 году и с тех пор эволюционировала в комплексный подход к обеспечению кибербезопасности. Предыдущие модели сетевой безопасности доверяли всем пользователям, которые находились внутри сетевого периметра. Такой подход был логичным — если пользователь или сетевой компонент расположен локально, то он по определению имеет право доступа.

Но с распространением удаленки и «облаков» сетевой периметр в прежнем значении исчез. Львиная доля компаний так или иначе применяют гибридные схемы, в которых есть место и локальным, и внешним облакам, а пользователи получают доступ к ресурсам компании практически из любой точки.

В таких условиях компаниям трудно определить, кому можно доверять.

Справка
Стандартов или сертификатов в сфере Zero Trust пока не существует. Национальный институт стандартов и технологий (NIST), США, в 2020 году выпустил брошюру, в которой определены принципы концепции, ее цели, возможности и сценарии внедрения.

«Нулевое доверие» базируется на семи принципах.

  1. Все источники данных и компьютерные сервисы по умолчанию являются ресурсами. В сеть входят устройства разных классов. Если личные устройства имеют доступ к корпоративной сети, то они тоже классифицируются как ресурсы.
  2. Доступ и связь должны осуществляться так, как будто злоумышленник уже присутствует в сети компании. Все коммуникации должны быть защищены, независимо от их местоположения в сети. Запросы доступа от пользователей или устройств, расположенных в корпоративной сети, проверяются не менее тщательно, чем внешние запросы.
  3. Доступ к ресурсам предоставляют только на один сеанс. Если пользователь прошел аутентификацию и авторизацию на одном ресурсе, это не значит, что доступ к другому ресурсу для него автоматический.
  4. Вся сеть должна быть разбита на микропериметры или микросегменты. Любой запрос аутентифицируется и авторизуется только на уровне одного микросегмента. Доступ к ресурсу получают только те пользователи, которым необходим конкретный сегмент, а значит минимизируется поверхность возможной атаки.
  5. Чтобы получить доступ, требуется многофакторная аутентификация. Не только основной пароль, но и биометрические данные или одноразовые пароли. Это повышает безопасность и защищает от несанкционированного доступа.
  6. Ни одно устройство или пользователь не считаются защищенными только на основе предыдущих разрешений или расположения в сети. Доступ определяется атрибутами пользователя, контекстом подключения, идентификацией устройства. Политика доступа может меняться в зависимости от условий.
  7. Компания должна постоянно собирать и мониторить информацию о текущем состоянии сети и быстро реагировать на обнаруженные аномалии.

По сути, концепция «нулевого доверия» базируется на простом положении: ничто и никто не является безопасным и ничего нельзя разрешать, пока нет очевидных и надежных подтверждений безопасности.

Концепция Zero Trust
Концепция Zero Trust

Почему это работает?

ZTNA защищает все хранилища данных или приложения, которые хранятся в IT-инфраструктуре организации. Войти в систему могут только те пользователи, которые используют явные учетные данные, даже если сами они территориально находятся в разных местах.

Минимальный доступ для пользователей из-за микросегментации уменьшает взаимодействие между этими пользователями и корпоративной информацией. Это дает гарантию того, что пользователи не могут входить в другие сегменты без дополнительной аутентификации, а значит, в сеть не внедрятся злоумышленники.

В концепции ZTNA угрозой считается любой пользователь, поэтому требуется постоянная проверка. Кибербезопасность теперь не определяется границами корпоративной сети. Если по какой-то причине нарушается периметр, система безопасности обнаружит сбой на проверку подлинности и защитит ресурсы компании от проникновения. Применение концепции дает возможность обнаружить взлом намного быстрее и быстрее минимизировать возможный ущерб.

Каким организациям необходимо работать по принципам Zero Trust

Применять концепцию «нулевого доверия» для своих ресурсов имеет смысл для любой компании. Особенно полезной она может стать там, где до сих пор используют устаревшие системы, внешние устройства, SaaS-приложения и удаленные рабочие места. Кроме того, Zero Trust актуальна для компаний, которые:

  • выполняют требования регуляторов и отраслевые нормы;
  • уделяют внимание нивелированию рисков кибербезопасности;
  • не имеют достаточно специалистов по кибербезопасности.

При переходе к концепции ZTNA компании могут столкнуться с проблемами, которые связаны с особенностями отрасли, географическим положением, уровнем цифровизации и имеющейся в организации стратегией кибербезопасности. Zero Trust способна адаптироваться практически под любые требования в зависимости от специфики конкретной компании.

Как внедрить концепцию «нулевого доверия»?

Архитектуру системы «нулевого доверия» легче всего построить с нуля, при создании корпоративной структуры компании в целом. Но это возможно не всегда, большинство организаций вводят Zero Trust в готовую IT-структуру.

Первым шагом успешного внедрения должна стать инвентаризация компонентов системы: оцениваются пользователи, ресурсы компании, способы доступа и вероятные риски. Этот процесс должен стать постоянным, так как компания растет и меняется, вместе с этим изменяются и ее ресурсы.

Второй шаг — выявление и оценка рисков бизнес-процессов компании. Это даст возможность определить, какие процессы нужно включить в концепцию в первую очередь. Рекомендуется начать с тех, которые связаны с удаленными сотрудниками или зависят от облака, — они обычно наиболее уязвимы.

Третий шаг. Формулирование политики по каждому процессу или активу. Для этого нужно определить все ресурсы, которые завязаны на этот процесс. С помощью анализа можно будет выбрать итоговых кандидатов на первый переход к Zero Trust и гарантировать, что применяемые политики смогут обеспечить безопасность без ущерба для рабочего процесса.

Четвертый шаг. Выбор инструментов. На рынке много таких решений, но не все одинаковы. Все тот же NIST рекомендует при выборе обращать внимание на ряд аспектов, таких как способность решения работать на локальных ресурсах, обеспечение поддержки различных протоколов, служб и приложений, необходимость внесения изменений в существующие рабочие процессы.

Пятый шаг. Развертывание и мониторинг. Концепцию на старте рекомендуется запускать в режиме мониторинга. Это нужно для того, чтобы службы кибербезопасности и IT-специалисты могли обеспечить эффективность ее работы и выполнение всех процессов и политик. Как только будет установлен базовый уровень активности системы, можно переходить к следующему шагу.

Шестой шаг. Расширение архитектуры. На этом этапе происходит очередной набор кандидатов на переход. Шестой этап, по сути, является непрерывным и постоянным. Его повторяют при каждом изменении в рабочих процессах или в обработке данных.

Вообще никому не доверять?

Концепция «нулевого доверия» потому так и названа, что в ее основе лежит тотальное недоверие. Она заявляет, что хакеры есть как снаружи, так и внутри сети, а значит, ни одному устройству или пользователю нельзя доверять ни при каких условиях, кроме тотальной проверки. В рамках Zero Trust вообще нет доверенных зон: любой, кто хочет войти в систему, обязан пройти идентификацию и многофакторную аутентификацию.

В брошюре NIST отмечено, что привилегированные пользователи, такие как IT-администраторы, разработчики и офицеры безопасности, должны быть под особым контролем. Они имеют неограниченный доступ к цифровым ресурсам. Но даже привилегированные учетные записи здесь имеют наименьшие привилегии, и их действия отслеживают точно так же, как и действия рядовых пользователей.

Этична ли концепция «нулевого доверия»?

Вопрос об этичности Zero Trust пока остается открытым. Самое главное при внедрении концепции — сохранять комфортную среду для пользователей и не нарушать рабочие процессы. Грамотно выстроенная система обеспечивает быстроту всех проверок в фоновом режиме, не препятствует работе сотрудников и повышает безопасность компании.

#zerotrust #нулевоедоверие #кибербезопасность #концепциякибербезопасности #приницпыкибербезопасности

С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.

Оставить заявку
VK
Telegram
11
1 комментарий
Денис Саблин

ну я никогда никому не доверяю, так проще и так надежнее

Ответить