Nulinio pasitikėjimo modelis įgauna saugumo ekspertų patarimų

"Niekada nepasitikėkite; visada patikrinkite". Skamba kaip sveikas protas, tiesa? Tai yra strategijos, vadinamos „Zero Trust“, šūkis, kuris vis labiau traukia kibernetinio saugumo pasaulyje. Tai apima IT skyrių, kuris patikrina visus vartotojus prieš suteikdamas prieigos teises. Efektyvus prieigos prie paskyrų tvarkymas yra svarbesnis nei bet kada anksčiau, nes 58 proc. Mažų ir vidutinių įmonių (SMB) 2017 m. Pranešė apie duomenų pažeidimus, teigiama 2018 m. „Verizon“ duomenų pažeidimų tyrimo ataskaitoje.

„Zero Trust“ koncepciją įkūrė Johnas Kindervagas, buvęs „Forrester Research“ analitikas, o dabar „Palo Alto Networks“ lauko technikos vadovas. „Turime pradėti kurti realią strategiją, ir tai įgalina„ Zero Trust ““, - spalio 30 dieną Niujorko mieste „SecurIT Zero Trust“ viršūnių susitikime sakė Kindervagas. Jis pridūrė, kad „Zero Trust“ idėja kilo tada, kai jis atsisėdo ir iš tikrųjų svarstė pasitikėjimo sąvoką ir kaip piktybiniai veikėjai dažniausiai gauna naudos iš įmonių, pasitikinčių šalimis, kurių neturėtų.

Dr Chase Cunningham tapo Kindervago įpėdiniu kaip „Forrester“ vyriausiuoju analitiku, palaikydamas „Zero Trust Access“ metodą. „Nulis pasitikėjimas yra tai, kas susiję su šiais dviem žodžiais, tai reiškia, kad niekuo nepasitikėkite, nepasitikėkite slaptažodžių valdymu, nepasitikėkite kredencialais, nepasitikėkite vartotojais ir nepasitikėkite tinklu“, - Cunningham pasakojo PCMag „Zero Trust“ Viršūnių susitikimas.

Kindervagas pasinaudojo JAV slaptosios tarnybos pavyzdžiu, kad parodytų, kaip organizacija turėtų sekti, ką reikia apsaugoti ir kam reikia prieigos. „Jie nuolat stebi ir atnaujina tuos valdiklius, kad bet kuriuo metu galėtų valdyti tai, kas kertasi perimetrą“, - teigė Kindervagas. "Tai yra vykdomosios apsaugos„ Zero Trust “metodas. Tai yra geriausias vaizdinis pavyzdys to, ką bandome padaryti„ Zero Trust “.“

Nulinio pasitikėjimo pamokos, išmoktos OPM

Puikus pavyzdys, kaip „Zero Trust“ gali būti naudingas organizacijoms, buvo iš buvusio JAV federalinės vyriausybės CIO. Patikimumo be nulio patikrinimo metu dr. Tony Scott, kuris nuo 2015 m. Iki 2017 m. Ėjo JAV CIO pareigas, aprašė didelį duomenų pažeidimą, kuris 2014 m. Įvyko JAV Personalo valdymo biure (OPM). Pažeidimas įvyko dėl užsienio šnipinėjimo. kurioje pavogta 22, 1 mln. žmonių asmeninė informacija ir patikrinimo informacija, taip pat pirštų atspaudų duomenys apie 5, 6 mln. asmenų. Scotas apibūdino, kaip norint išvengti šio pažeidimo būtų reikėjęs ne tik skaitmeninio ir fizinio saugumo derinio, bet ir veiksmingo „Zero Trust“ politikos taikymo.

Kai žmonės kreipėsi dėl darbo OPM, jie užpildė išsamų standartinės formos (SF) 86 klausimyną ir duomenis urve saugotų ginkluoti sargybiniai ir tankai. "Jei jūs būtumėte užsienio subjektas ir norėtumėte pavogti tą informaciją, jums reiktų apiplėšti šį olą Pensilvanijoje ir praeiti pro ginkluotus sargybinius. Tada jums teks palikti su sunkvežimiais popierių arba turėti labai greitą" Xerox "aparatą ar dar ką nors. “, - teigė Skotas.

„Būtų nepaprasta bandyti pabėgti turint 21 milijoną įrašų“, - tęsė jis. "Bet pamažu, kai automatizavimas įsijungė į OPM procesą, mes pradėjome dėti šią medžiagą į kompiuterinius failus į magnetines laikmenas ir pan. Tai pavogti tapo daug lengviau." Skotas paaiškino, kad OPM nepavyko rasti lygiaverčio veiksmingo saugumo tipo kaip ginkluotieji sargybiniai, kai agentūra tapo skaitmenine. Po išpuolio Kongresas išleido pranešimą, kuriame raginama sukurti „Zero Trust“ strategiją, siekiant ateityje apsaugoti šių rūšių pažeidimus.

„Siekdamos kovoti su nuolatine grėsme, siekdamos kompromituoti ar išnaudoti federalinės vyriausybės IT tinklus, agentūros turėtų pereiti prie„ Zero Trust “informacijos saugumo ir IT architektūros modelio“, - teigiama kongreso pranešime. Buvęs JAV atstovas Jasonas Chaffetzas (R-Juta), tuometinis Priežiūros komiteto pirmininkas, taip pat parašė įrašą apie tuometinį „Zero Trust“, kurį iš pradžių paskelbė federalinis naujienų radijas. „Valdymo ir biudžeto tarnyba (OMB) turėtų parengti gaires vykdomiesiems departamentams ir agentūrų vadovams, kad būtų galima veiksmingai įgyvendinti„ Zero Trust “, taip pat priemones, skirtas vizualizuoti ir registruoti visą tinklo srautą“, - rašė Chaffetzas.

Nulis pasitikėjimo realiu pasauliu

Realiame „Zero Trust“ diegimo pavyzdyje „Google“ iš vidaus įdiegė iniciatyvą, vadinamą „BeyondCorp“, skirtą perkelti prieigos valdiklius iš tinklo perimetro į atskirus įrenginius ir vartotojus. Administratoriai gali naudoti „BeyondCorp“ kaip būdą sukurti išsamią „Google Cloud Platform“ ir „Google G Suite“ prieigos kontrolės politiką, pagrįstą IP adresu, įrenginio saugos būsena ir vartotojo tapatybe. Bendrovė pavadinimu „Luminate“ teikia „Zero Trust“ apsaugą kaip paslaugą, paremtą „BeyondCorp“. „Luminate“ saugios prieigos debesis autentifikuoja vartotojus, tikrina įrenginius ir siūlo variklį, pateikiantį rizikos balą, leidžiantį pasiekti programas.

„Mūsų tikslas yra saugiai suteikti prieigą bet kuriam vartotojui iš bet kurio įrenginio ir bet kokio įmonės ištekliaus, neatsižvelgiant į tai, kur jis yra talpinamas, debesyje ar patalpose, neišjungiant jokių agentų galiniame taške ar jokių prietaisų, tokių kaip virtualūs privatūs tinklai (VPN), ugniasienes arba įgaliotinius paskirties vietoje “, - sakė„ Luminate “produktų valdymo vadovas Michaelas Dubinsky PCMag 2018 m. hibridinės tapatybės apsaugos (HIP) konferencijoje (HIP2018) Niujorke.

Pagrindinė IT disciplina, kurioje „Zero Trust“ sparčiai traukia dėmesį, yra tapatybės valdymas. Tikėtina, kad 80 procentų pažeidimų atsiranda dėl netinkamo privilegijuotų duomenų naudojimo, teigiama pranešime „Forrester Wave: Privilegijuotos tapatybės valdymas, 2016 m. Trečias ketvirtis“. Sistemos, kontroliuojančios autorizuotą prieigą prie detalesnio laipsnio, gali padėti išvengti šių incidentų.

Tapatybės valdymo erdvė nėra nauja, ir yra daugybė kompanijų, siūlančių tokius sprendimus, iš kurių tikriausiai labiausiai paplitusi yra „Microsoft“ ir jos „Active Directory“ (AD) platforma, įterpta į vis dar populiarią „Windows Server“ operacinę sistemą (OS). Tačiau yra daugybė naujesnių žaidėjų, kurie gali pasiūlyti ne tik daugiau funkcijų nei AD, bet ir palengvinti tapatybės tvarkymą, įdiegimą ir palaikymą. Tokiose įmonėse yra tokie žaidėjai kaip „Centrify“, „Idaptive“, „Okta“ ir „SailPoint Technologies“.

Ir nors tie, kurie jau investavo į „Windows Server“, gali drąsiai mokėti daugiau už technologijas, į kurias, jų manymu, jau investavo, tačiau gilesnė ir geriau prižiūrima tapatybės valdymo architektūra gali duoti didelių dividendų už nesėkmingus pažeidimus ir atitikties auditus. Be to, kaina nėra pernelyg didelė, nors ji gali būti nemaža. Pavyzdžiui, „Centrifikuoti infrastruktūros paslaugas“ prasideda nuo 22 USD per mėnesį vienai sistemai.

Kaip veikia „Zero Trust“

„Vienas iš dalykų, kuriuos daro„ Zero Trust “, yra tinklo segmentų apibrėžimas“, - teigė Kindervagas. Segmentavimas yra pagrindinė tinklo valdymo ir kibernetinio saugumo sąvoka. Tai apima kompiuterio tinklo padalijimą į potinklius, tiek logiškai, tiek fiziškai, siekiant pagerinti našumą ir saugumą.

„Zero Trust“ architektūra peržengia perimetro modelį, apimantį fizinę tinklo vietą. Tai apima „perimetro stumimą žemyn prie objekto“, - teigė Cunninghamas.

„Šis subjektas gali būti serveris, vartotojas, įrenginys arba prieigos taškas“, - sakė jis. "Jūs stumiate valdiklius žemyn iki mikro lygio, o ne galvojate, kad pastatėte tikrai aukštą sieną ir esate saugūs." Cunningham apibūdino ugniasienę kaip tipinio perimetro dalį. „Tai požiūrio, strategijos ir perimetro problema“, - pažymėjo jis. "Aukštos sienos ir vienas didelis dalykas: jie tiesiog neveikia".

Kaip teigė naujasis „Idaptive“, tapatybės valdymo įmonės, besisukančios iš „Centrify“, generalinis direktorius Danny Kibelis, norėdamas prisijungti prie tinklo, naudojo maršrutizatorius. Prieš „Zero Trust“ įmonės patikrintų ir pasitikėtų. Tačiau naudodamiesi „Zero Trust“ jūs „visada tikrinatės, niekada nepasitikite“, - aiškino Kibelis.

„Idaptive“ siūlo „Next-Gen Access“ platformą, kuri apima vienkartinį prisijungimą (SSO), adaptyvųjį daugiafaktorinį autentifikavimą (MFA) ir mobiliųjų įrenginių valdymą (MDM). Tokios paslaugos kaip „Idaptive“ suteikia galimybę sukurti būtinai detalią prieigos kontrolę. Galite aprūpinti ar panaikinti paslaugų teikimą atsižvelgdami į tai, kam reikia prieigos prie įvairių programų. „Tai suteikia tą subtilų sugebėjimą organizacijai kontroliuoti savo prieigą“, - teigė Kibelis. "Ir tai yra labai svarbu organizacijoms, kurias matome, nes neteisėta prieiga yra labai išsiplėtusi."

„Kibel“ apibūdino „Idaptive“ požiūrį į „Zero Trust“ trimis etapais: patikrinkite vartotoją, patikrinkite jo įrenginį ir tik tada leiskite prieigą prie programų ir paslaugų tik tam vartotojui. „Turime kelis vektorius, skirtus įvertinti vartotojo elgesį: vietą, geografinį greitį, dienos laiką, savaitės laiką, kokio tipo programą naudojate ir net kai kuriais atvejais, kaip jūs naudojate tą programą“, - teigė Kibelis.. „Idaptive“ stebi sėkmingus ir nesėkmingus prisijungimo bandymus, kad pamatytų, kada reikia pakartotinai patvirtinti autentifikavimą ar visiškai užblokuoti vartotoją.

Spalio 30 d. „Centrify“ įdiegė kibernetinio saugumo metodą, vadinamą „Zero Trust Privilege“, pagal kurį įmonės suteikia būtiniausią privilegijuotą prieigą ir patikrina, kas prašo prieigos. Keturi „Zero Trust Privilege“ proceso veiksmai apima vartotojo tikrinimą, žvilgsnį į užklausos kontekstą, administratoriaus aplinkos apsaugą ir mažiausio reikalingų privilegijų suteikimą. „Centrify“ „Zero Trust Privilege“ metodas apima laipsnišką rizikos mažinimo metodą. Tai taip pat pereina nuo senosios privilegijuotosios prieigos valdymo (PAM), kuri yra programinė įranga, leidžianti įmonėms apriboti prieigą prie naujesnių tipų aplinkos, tokios kaip debesų saugojimo platformos, didelių duomenų projektai ir net pažangūs pasirinktinių programų kūrimo projektai, vykdomi verslo lygio žiniatinklyje. prieglobos paslaugos.

„Zero Trust“ modelis daro prielaidą, kad įsilaužėliai jau prisijungia prie tinklo, sakė Timas Steinkopfas, „Centrify“ prezidentas. Steinkopfo teigimu, kovos su šia grėsme strategija būtų apriboti šoninį judėjimą ir visur taikyti MFP. "Kai kas nors bando pasiekti privilegijuotą aplinką, turite nedelsdami turėti tinkamus kredencialus ir tinkamą prieigą", - sakė Steinkopfas PCMag. „Vykdymo būdas yra tapatybių konsolidavimas, tada reikia užklausos konteksto, ty kas, ką, kada, kodėl ir kur“. Po to jūs suteiksite tik tiek, kiek reikia prieigos, sakė Steinkopfas.

„Jūs žiūrite į vartotojo kontekstą. Tokiu atveju tai gali būti gydytojas, slaugytoja arba kitas asmuo, bandantis pasiekti duomenis“, - teigė Dubinsky. "Jūs paimate įrenginio, iš kurio jie dirba, kontekstą, jūs paimate failo, kurį jie bando pasiekti, kontekstą, tada turite priimti prieigos sprendimą remdamiesi tuo."

URM, pasitikėjimas be narystės ir geriausia praktika

Pagrindinis „Zero Trust“ modelio aspektas yra stipri autentifikacija, ir tai yra dalis įvairių autentifikavimo veiksnių, pažymėjo Hed Kovetz, MF sprendimus siūlančio „Silverfort“ generalinis direktorius ir įkūrėjas. Debesų eroje trūkstant perimetrų, labiau nei bet kada reikia autentifikuoti. „Galimybė daryti bet ką iš makrofinansinės pagalbos yra beveik pagrindinis„ Zero Trust “reikalavimas, o to šiandien neįmanoma padaryti, nes„ Zero Trust “kyla iš idėjos, kur nebėra perimetrų“, - Kovetz pasakojo PCMag HIP2018. "Taigi, kas nors prie nieko jungiasi, ir šioje tikrovėje jūs neturite vartų, kuriuos galėtumėte kontroliuoti."

„Forrester's Cunningham“ pateikė strategiją, vadinamą „Zero Trust eXtended“ (XTX), kad technologijos pirkimo sprendimus būtų galima susieti su „Zero Trust“ strategija. „Mes iš tikrųjų pažvelgėme į septynis valdymo elementus, kurių reikia norint saugiai valdyti aplinką“, - sakė Cunninghamas. Septyni ramsčiai yra automatika ir suderinimas, matomumas ir analizė, darbo krūviai, žmonės, duomenys, tinklai ir įrenginiai. Kad sistema ar technologija būtų ZTX platforma, ji turėtų tris iš šių ramsčių kartu su programų programavimo sąsajos (API) galimybėmis. Keli pardavėjai, siūlantys saugumo sprendimus, tinka įvairiems rėmams. „Centrify“ siūlo produktus, susijusius su žmonių ir įrenginių saugumu, „Palo Alto Networks“ ir „Cisco“ siūlo tinklo sprendimus, o „IBM Security Guardium“ sprendimai daugiausia dėmesio skiria duomenų apsaugai, pažymėjo Cunningham.

„Zero Trust“ modelis taip pat turėtų apimti užšifruotus tunelius, eismo debesį ir sertifikatais pagrįstą šifravimą, sakė Steinkopfas. Jei siųsite duomenis iš „iPad“ internetu, tada norėsite patikrinti, ar gavėjas turi prieigą, paaiškino jis. Steinkopfo teigimu, įgyvendinant kylančias technologijų tendencijas, tokias kaip konteineriai ir „DevOps“, galima padėti kovoti su privilegijuotu piktnaudžiavimu. Jis taip pat apibūdino debesų kompiuteriją kaip „Zero Trust“ strategijos priešakyje.

„Luminate's Dubinsky“ sutinka. Smulkioms ir vidutinėms įmonėms kreipiantis į debesies įmonę, kuri teikia tapatybės valdymą arba MFA kaip paslaugą, šios saugos pareigos perkeliamos įmonėms, kurios specializuojasi šioje srityje. „Norite kuo daugiau iškrauti įmonėms ir žmonėms, kurie atsakingi už savo dienos darbą“, - teigė Dubinsky.

„Zero Trust Framework“ potencialas

Nors ekspertai pripažino, kad įmonės kreipiasi į „Zero Trust“ modelį, ypač tvarkydamos tapatybę, kai kurios nemato poreikio imtis didelių pakeitimų saugumo infrastruktūroje, kad būtų galima įdiegti „Zero Trust“. „Nesu tikras, kad tai strategija, kurią šiandien norėčiau priimti bet kuriame lygyje“, - sakė Seanas Pike'as, IDC saugos produktų grupės viceprezidentas. "Aš nesu pozityvus, kad IG skaičiavimas egzistuoja per pagrįstą laiką. Yra daugybė architektūrinių pokyčių ir personalo problemų, kurios, mano manymu, daro strategiją draudžiančią išlaidas."

Tačiau „Pike“ mato „Zero Trust“ potencialą telekomunikacijų ir IDM srityse. "Manau, kad yra komponentų, kuriuos šiandien galima lengvai priimti, kuriems, pavyzdžiui, nereikia tapatybės didmeninių architektūros pakeitimų", - teigė Pike. "Nors jie yra asocijuojami, aš jaučiu, kad įvaikinimas nebūtinai yra strateginis žingsnis link„ Zero Trust “, o veikiau žingsnis siekiant atkreipti dėmesį į naujus vartotojų prisijungimo būdus ir poreikį atsitraukti nuo slaptažodžių pagrįstų sistemų ir pagerinti prieigos valdymą“, - sako Pike. paaiškino.

Nors „Zero Trust“ gali būti interpretuojamas kaip šiek tiek rinkodaros koncepcija, pakartojanti kai kuriuos standartinius kibernetinio saugumo principus, pvz., Nepasitikėjimas įeinančiais į jūsų tinklą ir poreikis patikrinti vartotojus, ekspertų teigimu, tai iš tikrųjų tarnauja kaip žaidimo planas.. „Aš esu didelis„ Zero Trust “šalininkas, siekiantis pereiti prie tos išskirtinės, strateginės mantros ir palaikyti tai organizacijos viduje“, - teigė „Forrester's Cunningham“ atstovas.

2010 m. „Forrester“ pristatytos „Zero Trust“ idėjos nėra naujiena kibernetinio saugumo pramonėje, pažymėjo Johnas Pescatore, SANS instituto, organizuojančio saugumo mokymus ir sertifikavimą, kylančių saugumo tendencijų direktorius. „Tai beveik yra standartinis kibernetinio saugumo apibrėžimas - stenkitės padaryti viską saugų, segmentuoti savo tinklą ir valdyti vartotojo teises“, - sakė jis.

„Pescatore“ pažymėjo, kad maždaug 2004 m. Dabar nebenaudojama saugumo organizacija, vadinama Jericho forumu, pateikė panašias idėjas kaip „Forrester“ dėl „perimetro be saugumo“ ir rekomendavo leisti tik patikimus ryšius. „Tai tarsi pasakymas:„ Persikelkite ten, kur nėra nusikaltėlių ir puikus oras. Jums nereikia namo stogo ar durų “, - teigė„ Pescatore “vadovas. "Nulinis pasitikėjimas bent jau sugrąžino sveiką prasmę segmentuoti - jūs visada segmentuojate iš interneto su perimetru".

• Už perimetro: kaip spręsti sluoksniuotą apsaugą perimetrą: kaip spręsti sluoksniuotą apsaugą
• „NYC Venture“ siekia paskatinti darbo vietas, naujoves kibernetinio saugumo srityje „NYC Venture“ siekia paskatinti darbo vietas, naujoves kibernetinio saugumo srityje
• Kaip pasiruošti kitam jūsų saugumo pažeidimui

Kaip alternatyvą „Zero Trust“ modeliui, „Pescatore“ rekomendavo sekti interneto saugumo kritinės saugos valdymo centrą. Galų gale, „Zero Trust“ tikrai gali duoti naudos, nepaisant to, kad jis yra gerai. Tačiau, kaip pažymėjo „Pescatore“, nesvarbu, ar tai vadinama „Zero Trust“, ar dar kažkuo, šios rūšies strategijai vis tiek reikia pagrindinių valdymo būdų.

"Tai nekeičia fakto, kad norėdami apsaugoti verslą, turite sukurti pagrindinius saugumo higienos procesus ir kontrolės priemones, taip pat turėti kvalifikuotų darbuotojų, kad jie dirbtų efektyviai ir efektyviai", - teigė Pescatore. Tai yra daugiau nei finansinė investicija daugumai organizacijų, ir vienai kompanijai reikės sutelkti dėmesį į sėkmę.