Zero zaupni model pridobiva paro z varnostnimi strokovnjaki

"Nikoli ne zaupajte; vedno preverite." Zveni kot zdrav razum, kajne? To je moto strategije, imenovane Zero Trust, ki postaja čedalje bolj pomembna v svetu kibernetske varnosti. Vključuje IT-oddelek, ki preverja vse uporabnike pred odobritvijo pravic dostopa. Učinkovito upravljanje dostopa do računov je bolj pomembno kot kdaj koli prej, saj 58 odstotkov malih in srednje velikih podjetij (SMB) poroča o kršitvah podatkov v letu 2017, je razvidno iz poročila o preiskavi podatkov o kršitvah podatkov Verizon 2018.

Koncept Zero Trust je ustanovil John Kindervag, nekdanji analitik pri Forrester Research in zdaj terenski CTO pri Palo Alto Networks. "Začeti moramo z resnično strategijo in to omogoča Zero Trust, " je Kindervag povedal občinstvu 30. oktobra na vrhu SecurIT Zero Trust v New Yorku. Dodal je, da je ideja Zero Trust nastala, ko je sedel in resnično preučil koncept zaupanja, in kako zlonamerni akterji imajo na splošno koristi od podjetij, ki zaupajo strankam, ki jih ne bi smele.

Dr. Chase Cunningham je postal naslednik Kindervaga kot glavni analitik v Forresterju pri uveljavljanju pristopa Zero Trust Access. "Zero Trust je tisto, kar je zajeto v teh dveh besedah, kar pomeni, da nič ne zaupate, ne zaupajte upravljanju gesla, ne zaupajte poverilnicam, ne zaupajte uporabnikom in ne zaupajte omrežju, " je Cunningham povedal za PCMag v Zero Trust Vrh.

Kindervag je primer ameriške tajne službe prikazal, kako mora organizacija slediti, kaj morajo zaščititi in do koga potrebujejo dostop. "Te kontrole nenehno spremljajo in posodabljajo, tako da lahko kadar koli nadzirajo, kaj prehaja mikro obod, " je dejal Kindervag. "To je metoda Zero Trust izvršilne zaščite. Je najboljši vizualni primer tega, kar poskušamo narediti v Zero Trust."

Lekcije iz ničesar zaupanja, pridobljene na OPM

Popoln primer, kako lahko Zero Trust deluje v prid organizacijam, je nastal iz nekdanjega direktorja ameriške zvezne vlade. Na vrhu Zero Trust je dr. Tony Scott, ki je funkcijo ameriškega direktorja CIO opravljal od leta 2015 do 2017, opisal večjo kršitev podatkov, ki se je zgodila v ameriškem uradu za upravljanje osebja (OPM) leta 2014. Do kršitve je prišlo zaradi tujega vohunjenja v katerem so bili ukradeni osebni podatki in varnostne informacije za 22, 1 milijona ljudi, skupaj s podatki o prstnih odtisih za 5, 6 milijona ljudi. Scott je opisal, kako za odpravo te kršitve ne bi bila potrebna le kombinacija digitalne in fizične varnosti, ampak tudi učinkovita uporaba politike Zero Trust.

Ko bi se ljudje prijavili na službo na OPM, so izpolnili izčrpen vprašalnik Standardni obrazec (SF) 86, podatke pa bi v jami varovali oboroženi stražarji in tanki, je dejal. "Če bi bili tuja entiteta in bi želeli ukrasti te podatke, bi morali prekršiti to jamo v Pensilvaniji in se peljati mimo oboroženih stražarjev. Potem bi morali oditi s tovornjaki papirja ali imeti zelo hiter stroj Xerox ali kaj podobnega, "Je rekel Scott.

"Monumentalno bi bilo poskusiti pobeg z 21 milijoni plošč, " je nadaljeval. "Toda počasi, ko je avtomatizacija prišla v proces upravljanja OPM, smo te stvari začeli vnašati v računalniške datoteke na magnetne medije in podobno. To je olajšalo krajo." Scott je pojasnil, da OPM ni uspel najti enakovredne vrste učinkovite zaščite kot oboroženi stražarji, ko je agencija šla v digitalno uporabo. Po napadu je Kongres izdal poročilo, v katerem poziva k strategiji Zero Trust za zaščito teh vrst kršitev v prihodnosti.

"Za boj proti naprednim vztrajnim grožnjam, ki si prizadevajo za kompromis ali izkoriščanje IT mrež zvezne vlade, bi se morale agencije premakniti na model" Zero Trust "informacijske varnosti in IT arhitekture, " je zapisano v poročilu kongresa. Nekdanji ameriški poslanec Jason Chaffetz (R-Utah), takrat predsednik nadzornega odbora, je prav tako napisal objavo o Zero Trust-u, ki jo je sprva objavil Federal News Radio. "Urad za upravljanje in proračun (OMB) bi moral razviti smernice za izvršne službe in vodje agencij za učinkovito izvajanje Zero Trust skupaj z ukrepi za vizualizacijo in beleženje vsega omrežnega prometa, " je napisal Chaffetz.

Nič zaupanja v resnični svet

V resničnem primeru implementacije Zero Trust je Google v notranjost uvedel pobudo, imenovano BeyondCorp, namenjeno premikanju nadzora dostopa z omrežnega oboda na posamezne naprave in uporabnike. Skrbniki lahko uporabljajo BeyondCorp kot način za ustvarjanje podrobnih pravil za nadzor dostopa za Google Cloud Platform in Google G Suite na podlagi IP naslova, stanja varnosti naprave in identitete uporabnika. Podjetje, imenovano Luminate, zagotavlja Zero Trust varnost kot storitev, ki temelji na BeyondCorp. Luminate Secure Access Cloud preverja pristnost uporabnikov, potrjuje naprave in ponuja motor, ki zagotavlja oceno tveganja, ki dovoljuje dostop do aplikacij.

"Naš cilj je varno zagotoviti dostop za vsakega uporabnika, iz katere koli naprave, do kakršnega koli korporativnega vira, ne glede na to, kje je gostitelj, v oblaku ali v prostorih, ne da bi v končni točki ali kakršnih koli napravah, kot so navidezna zasebna omrežja (VPN), namenili nobene agente, požarnih zidov ali pooblaščencev na ciljnem mestu, "je za PCMag na konferenci Hybrid Identity Protection (HIP) 2018 (HIP2018) v NYC povedal Michael Dubinsky, vodja upravljanja izdelkov v podjetju Luminate.

Ključna disciplina IT, v kateri Zero Trust pridobiva hitri napredek, je upravljanje identitete. To je verjetno, ker je 80 odstotkov kršitev posledica zlorabe privilegiranih poverilnic, kaže poročilo "Forrester Wave: Privileged Identity Management, Q3 2016". Sistemi, ki nadzorujejo pooblaščeni dostop do natančnejše stopnje, lahko pomagajo preprečiti te incidente.

Prostor za upravljanje identitete ni nov in obstaja dolg seznam podjetij, ki ponujajo takšne rešitve, verjetno sta najbolj razširjena Microsoft in njegova platforma Active Directory (AD), ki je vdelana v še vedno priljubljeni operacijski sistem Windows Server (OS). Vendar pa obstaja vrsta novejših predvajalnikov, ki lahko ponujajo ne le več funkcionalnosti kot AD, ampak lahko tudi upravljanje identitete olajša izvajanje in vzdrževanje. Takšna podjetja vključujejo igralce, kot so Centrify, Idaptive, Okta in SailPoint Technologies.

In čeprav lahko tisti, ki so že vložili v Windows Server, plačujejo več za tehnologijo, za katero menijo, da so že investirali, lahko globlje in bolje vzdrževana arhitektura upravljanja identitete ustvari velike dividende pri preprečenih kršitvah in revizijah skladnosti. Poleg tega stroški niso pretirani, čeprav so lahko pomembni. Centrify Infrastructure Services se na primer začne pri 22 USD na mesec.

Kako deluje Zero Trust

"Ena od stvari, ki jo počne Zero Trust, je definiranje segmentacije omrežja, " je dejal Kindervag. Segmentacija je ključni koncept tako pri upravljanju omrežja kot tudi pri kibernetski varnosti. Vključuje ločitev računalniškega omrežja na podomrežja, bodisi logično ali fizično, da se izboljšata učinkovitost in varnost.

Zero Trust arhitektura presega model oboda, ki zajema fizično lokacijo omrežja. Vključuje "potiskanje oboda navzdol do entitete, " je dejal Cunningham.

"Subjekt je lahko strežnik, uporabnik, naprava ali dostopna točka, " je dejal. "Krmilje potisnite navzdol na mikro raven, ne pa da mislite, da ste zgradili resnično visok zid in da ste varni." Cunningham je požarni zid opisal kot del tipičnega oboda. "To je problem pristopa, strategije in oboda, " je opozoril. "Visoke stene in ena velika stvar: preprosto ne delujejo."

Kot je povedal Danny Kibel, novi izvršni direktor podjetja Idaptive, podjetja za upravljanje identitete, ki se odceplja iz Centrifyja, je dostop do omrežja uporabil usmerjevalnike. Pred Zero Trust bi podjetja preverjala in nato zaupala. Toda z Zero Trust "vedno preverite, nikoli ne zaupajte, " je pojasnil Kibel.

Idaptive ponuja platformo za dostop naslednjega generacije, ki vključuje enotno prijavo (SSO), prilagodljivo večfaktorsko preverjanje pristnosti (MFA) in upravljanje mobilnih naprav (MDM). Storitve, kot je Idaptive, omogočajo ustvarjanje nujno natančnih kontrol pri dostopu. Lahko določite ali odpravite glede na to, kdo potrebuje dostop do različnih aplikacij. "To daje natančno sposobnost organizacije, da nadzoruje svoj dostop, " je dejal Kibel. "In to je zelo pomembno za organizacije, ki jih opažamo, ker je veliko širjenja v smislu nepooblaščenega dostopa."

Kibel je definiral pristop Idaptive do Zero Trust s tremi koraki: preverite uporabnika, preverite njegovo napravo in šele nato omogočite dostop do aplikacij in storitev samo za tega uporabnika. "Imamo več vektorjev za oceno uporabnikovega vedenja: lokacijo, hitrost, čas dneva, čas v tednu, kakšno vrsto aplikacije uporabljate in celo v nekaterih primerih, kako uporabljate to aplikacijo, " je dejal Kibel. Nezahtevni spremlja uspešne in neuspešne poskuse prijave, da bi videl, kdaj je treba ponovno izzvati preverjanje pristnosti ali v celoti blokirati uporabnika.

30. oktobra je Centrify uvedel pristop k kibernetski varnosti, imenovan Zero Trust Privilege, v katerem podjetja odobrijo najmanj potreben dostop in preverijo, kdo zahteva dostop. Štirje koraki postopka Zero Trust Privilege vključujejo preverjanje uporabnika, pogled v kontekst zahteve, zagotovitev skrbniškega okolja in dodelitev najmanjšega potrebnega privilegija. Pristop centra Zero Trust Privilege Centrify vključuje fazni pristop k zmanjšanju tveganja. Prinaša tudi prehod s starejše programske opreme Privileged Access Management (PAM), ki je programska oprema, ki podjetjem omogoča omejitev dostopa do novejših vrst okolij, kot so platforme za shranjevanje v oblaku, veliki projekti za prenos podatkov in celo napredni projekti za razvoj aplikacij po meri, ki se izvajajo v spletu poslovnega razreda gostovanje objektov.

Model Zero Trust predvideva, da hekerji že dostopajo do omrežja, je dejal Tim Steinkopf, predsednik Centrifyja. Kot je dejal Steinkopf, bo strategija za boj proti tej grožnji omejila stransko gibanje in uporabljala MFA povsod. "Kadarkoli nekdo poskuša dostopati do privilegiranega okolja, moraš takoj imeti prave poverilnice in pravi dostop, " je za PCMag povedal Steinkopf. "Način, kako to uveljaviti, je utrditev identitet, nato pa potrebujete kontekst zahteve, kar pomeni, kdo, kaj, kdaj, zakaj in kje." Po tem odobrite le toliko potrebnega dostopa, je dejal Steinkopf.

"Vzamete kontekst uporabnika. V tem primeru je to lahko zdravnik, medicinska sestra ali kdo drug, ki poskuša dostopati do podatkov, " je dejal Dubinski. "Vzamete kontekst naprave, iz katere delajo, vzamete kontekst datoteke, do katere poskušajo dostopati, nato pa morate na podlagi tega sprejeti odločitev o dostopu."

MFA, nič zaupanja in najboljše prakse

Ključni vidik modela Zero Trust je močna avtentikacija in dopuščanje več dejavnikov pristnosti je del tega, je opozoril Hed Kovetz, izvršni direktor in soustanovitelj podjetja Silverfort, ki ponuja rešitve MFA. S pomanjkanjem oboda v oblaku je večja potreba po pristnosti kot kdajkoli prej. "Sposobnost, da naredite MFA karkoli, je skoraj osnovna zahteva Zero Trust, danes pa je nemogoče, ker Zero Trust izhaja iz ideje, kjer ni več perimetrov, " je Kovetz povedal za PCMag na HIP2018. "Torej se karkoli povezuje s čim, in v tej resnici nimate prehoda, na katero bi lahko uporabili nadzor."

Forrester's Cunningham je začrtal strategijo, imenovano Zero Trust eXtended (XTX), s katero je odločitve o nakupu tehnologije preusmeril na strategijo Zero Trust. "Resnično smo pogledali sedem kontrol, ki jih morate dejansko varno upravljati z okoljem, " je dejal Cunningham. Sedem stebrov so avtomatizacija in orkestracija, vidnost in analitika, delovne obremenitve, ljudje, podatki, omrežja in naprave. Če bi bila platforma ZTX, bi sistem ali tehnologija imeli tri od teh stebrov, skupaj z vmesnikom API-ja za programiranje. Več ponudnikov, ki ponujajo varnostne rešitve, se prilega različnim stebrom ogrodja. Centrify ponuja izdelke, ki se ukvarjajo z varnostjo ljudi in naprav, Palo Alto Networks in Cisco ponujata rešitve za mreženje, IBM-ove rešitve Security Guardium pa se osredotočajo na varstvo podatkov, je opozoril Cunningham.

Model Zero Trust naj bi vključeval tudi šifrirane predore, prometni oblak in šifriranje na podlagi potrdil, je dejal Steinkopf. Če pošiljate podatke iz iPada po internetu, potem želite preveriti, ali je prejemnik upravičen do dostopa, je pojasnil. Steinkopf lahko v skladu z uporabo uveljavljajočih se tehnoloških trendov, kot so zabojniki in DevOps, pomaga pri boju proti privilegiranim zaupnikom. Računalništvo v oblaku je opisal tudi kot vodilno strategijo Zero Trust.

Luminatov Dubinski se strinja. Za mala in srednje velika podjetja se obrnejo na podjetje v oblaku, ki zagotavlja upravljanje identitete ali MFA kot storitev, te varnostne odgovornosti prenesejo na podjetja, specializirana za to področje. "Želite čim več pretovarjati na podjetja in ljudi, ki so odgovorni za svoje delovno mesto, " je dejal Dubinski.

Potencial Zero Trust Framework

Čeprav so strokovnjaki priznali, da se podjetja obračajo na model Zero Trust, zlasti pri upravljanju identitete, nekateri ne vidijo potrebe po velikih spremembah varnostne infrastrukture, da bi sprejeli Zero Trust. "Nisem prepričan, da gre za strategijo, ki bi jo danes rad sprejel na kateri koli ravni, " je dejal Sean Pike, podpredsednik programa za IDC-jevo varnostno skupino. "Nisem prepričan, da izračunavanje donosnosti naložbe obstaja v časovnem okviru, ki je smiseln. Obstajajo številne arhitekturne spremembe in kadrovska vprašanja, za katera menim, da stroški kot strategija niso previsoki."

Vendar pa Pike vidi potencial za Zero Trust v telekomunikacijah in IDM-u. "Mislim, da danes obstajajo komponente, ki jih je mogoče zlahka sprejeti, za katere ne bodo potrebne veleprodajne spremembe arhitekture - na primer identiteta, " je dejal Pike. "Čeprav so z njimi povezani, močno trpim, da sprejetje ni nujno strateški premik k Zero Trustu, temveč korak k obravnavi novih načinov povezovanja uporabnikov in potrebe po odmiku od sistemov, ki temeljijo na geslu in izboljšanju upravljanja dostopa, " Pike razložil.

Čeprav je mogoče Zero Trust razlagati kot del tržnega koncepta, ki ponavlja nekatera standardna načela kibernetske varnosti, na primer, da ne zaupate udeležencem v svoje omrežje in potrebujete preverjanja uporabnikov, po mnenju strokovnjakov služi kot namen načrta igre. "Jaz sem velik zagovornik Zero Trust, da se premaknem k tej edinstveni, strateški vrsti mantre in zagovarjam to znotraj organizacije, " je dejal Forresterjev Cunningham.

Ideje Zero Trust, ki jih je Forrester uvedel leta 2010, niso nove v industriji kibernetske varnosti, je opozoril John Pescatore, direktor nastajajočih varnostnih trendov na inštitutu SANS, organizaciji, ki zagotavlja varnostno usposabljanje in certificiranje. "To je v bistvu standardna definicija kibernetske varnosti - poskusite vse zaščititi, segmentirati omrežje in upravljati uporabniške privilegije, " je dejal.

Pescatore je opozoril, da je okoli leta 2004 zdaj že propadla varnostna organizacija, imenovana Jericho Forum, uvedla podobne zamisli kot Forrester glede "varnosti brez oboda" in priporočila le, da se dovolijo zaupne povezave. "To je nekako tako, kot da bi rekli:" Pomaknite se nekam, ki nima zločincev in popolnega vremena, in ne potrebujete strehe ali vrat na svoji hiši, "" je dejal Pescatore. "Zero Trust se je vsaj prinesel nazaj v običajni smisel segmentiranja - z interneta vedno segmentirate z obodom."

• Nad obodom: kako nasloniti zaščito po plasteh onkraj perimetra: kako nasloniti zaščito po plasteh
• NYC Venture si prizadeva spodbuditi delovna mesta, inovacije v kibernetski varnosti NYC Venture si prizadeva za spodbuditev delovnih mest, inovacije v kibernetski varnosti
• Kako se pripraviti na naslednjo kršitev varnosti Kako se pripraviti na naslednjo kršitev varnosti?

Kot alternativa modelu Zero Trust je Pescatore priporočil, da upoštevate kritični varnostni nadzor Centra za internetno varnost. Na koncu lahko Zero Trust kljub hypeju zagotovo prinese koristi. Kot je opozoril Pescatore, ne glede na to, ali se imenuje Zero Trust ali kaj drugega, ta vrsta strategije še vedno zahteva osnovni nadzor.

"To dejstvo ne spremeni, da moraš za zaščito podjetja razviti osnovne higienske higienske postopke in kontrole ter imeti usposobljeno osebje, ki jim omogoča učinkovito in učinkovito delovanje, " je dejal Pescatore. Za večino organizacij je to več kot finančna naložba in eno podjetje se bo moralo osredotočiti na uspeh.