Нулевое доверие
ZTNA

Нулевое доверие и управление идентификацией: никому не доверяйте и проверяйте всех

Директива ЕС о мерах по обеспечению высокого общего уровня кибербезопасности (NIS2) нависает над многими организациями, как дамоклов меч. Это связано с тем, что помимо операторов критически важной инфраструктуры (KRITI), к осени 2024 года компании с не менее чем 50 сотрудниками и десятью миллионами евро годового оборота также должны будут выполнить соответствующие требования.

Несмотря на то, что во многих местах это является серьезной проблемой, политика приходит вовремя: кибератаки на предприятия уже давно стали обычным явлением. Риск внешних атак очень высок. Но как насчет опасностей, исходящих изнутри компаний? Согласно отчету о расследовании нарушений данных за 2022 год, 13 процентов нарушений безопасности связаны с человеческими ошибками. Чтобы минимизировать этот риск, нулевое доверие и сопутствующее управление идентификацией и доступом должны быть более чем достойными рассмотрения. Но Zero Trust – это не решение, которое компании могли бы легко внедрить, а принцип безопасности, который необходимо внедрить – не только в ИТ-отделе – в масштабах всей компании.

Насколько велика и в то же время недооценена опасность, исходящая из их собственных рядов, показывает исследование „Кибербезопасность 2022“. В основе лежит вывод: существует явное несоответствие между оценкой со стороны компаний и лиц, принимающих решения в области ИТ, что кибератаки, исходящие от их собственной рабочей силы, очень опасны, и ожиданиями, что атаки со стороны внутренних злоумышленников в конце концов маловероятны. Согласно исследованию, 56 процентов опрошенных компаний уже стали жертвами инсайдерской атаки. При этом сотрудники в большинстве случаев не проявляют никаких преступных намерений, а становятся жертвами социальной инженерии: например, они передают данные компании, информацию об учетной записи или конфиденциальные коммерческие секреты неуполномоченным лицам. В большинстве случаев это происходит без ведома сотрудника – например, из-за того, что он нажимает на ссылку в совершенно поддельном электронном письме. Имея это в виду, атаки изнутри представляют собой вполне реальную угрозу. Дилемма: только 18 процентов фирм осознают эти риски.

Проверка пользователей, систем и устройств при каждом доступе

Тот факт, что все больше и больше сотрудников работают из домашнего офиса и получают удаленный доступ к веб-приложениям в облаке, продолжает повышать уязвимость к кибератакам. Потому что давно существующая линия защиты между „безопасными“ корпоративными ИТ и „небезопасным“ внешним миром давно изменилась. Компании больше не сами управляют своими сетями и центрами обработки данных для предоставления систем, данных и других ресурсов – они получают вычислительную мощность из облака и используют приложения через него. Кроме того, организации все меньше и меньше знают об отдельных пользователях и активах, к которым они обращаются. Это не только усложняет управление пользователями, но и требует переосмысления: те, кто не понимает, что с точки зрения ИТ-безопасности необходимо реагировать на изменение методов работы и организационных структур, открывают двери для хакеров. При этом Zero Trust демонстрирует свою особую силу в удаленных и гибридных сценариях. Нулевое доверие основано на руководящем принципе „Не доверяйте никому внутри и за пределами вашей организации. И проверяйте всех.“ По сути, это включает в себя проверку и соответствующую аутентификацию каждого отдельного доступа к ИТ-инфраструктуре, а также ко всем системам и устройствам, через которые осуществляется доступ. Потому что, когда данные и системы находятся в облаке, таких механизмов безопасности, как защита периметра с помощью брандмауэра, уже недостаточно. Для этого требуется безопасность на уровне сервера.

Нулевое доверие и традиционные концепции безопасности

Если сравнивать нулевое доверие и традиционные концепции безопасности, особенно бросаются в глаза два различия, а именно: доступ к сети и обработка идентификационных данных пользователей. Устаревшие концепции безопасности основаны на предположении, что внутренние сети безопасны и надежны, а внешние сети небезопасны. Отсюда проистекает опасное заблуждение, что сотрудники – почти по определению – всегда заслуживают доверия и всегда ведут себя правильно. Соответственно, после первоначального входа в сеть сотрудникам разрешается свободно перемещаться между серверами, системами и приложениями. Если хакер получит доступ к личности пользователя, он может постепенно скомпрометировать всю ИТ-инфраструктуру и нанести серьезный ущерб. Противодействие этой опасности заключается в том, что сотрудники, а также клиенты, партнеры и другие группы пользователей, которым разрешен доступ к ИТ–инфраструктуре, должны проходить аутентификацию для каждого отдельного действия в рамках многоэтапного процесса проверки: от доступа к системам до загрузки файлов и ресурсов.

Управление идентификацией пользователей

Имея это в виду, Zero Trust начинает процесс создания идентификационных данных пользователей. Для этого необходимо точно определить:

  • Кто получает доступ к данным и системам (сотрудники, фрилансеры, партнеры, клиенты, поставщики услуг и тому подобное)?
  • Какая информация известна о каждом отдельном пользователе?
  • Какие данные ему нужны для выполнения своей задачи?
  • Какие разрешения ему для этого нужны?

Эту и многие другие сведения необходимо преобразовать в соответствующую концепцию. В нем, помимо ролей, должны быть указаны права доступа различных пользователей и групп пользователей на их основе.

Обязательно: управление доступом

Основная цель Zero Trust – снизить уязвимость к утечкам данных и кибератакам. Это достигается за счет ограничения доступа организаций к конфиденциальной информации и системам для неавторизованных пользователей и устройств. Основой этого контроля доступа является программно-ориентированное управление идентификацией и доступом (IAM). Это сопровождается внедрением ряда мер контроля и контроля:

  • Многофакторная аутентификация: Важной мерой безопасности является многофакторная аутентификация (MFA). При этом пользователям необходимо пройти многократную аутентификацию, например, с помощью пароля и токена безопасности для доступа к ресурсам.
  • Наименьшая привилегия: Эта мера направлена на то, чтобы пользователи и устройства получали лишь минимальный набор прав доступа, то есть доступ только к тем данным и системам, которые необходимы для выполнения определенной задачи или выполнения определенной функции.
  • Постоянный аудит: Для реализации принципа наименьших привилегий необходимо постоянно отслеживать и оценивать доступ к системам и ресурсам: те, кто отслеживает журналы активности пользователей, могут обнаруживать и отмечать подозрительное поведение, такое как попытки доступа к ресурсам в нерабочее время. Кроме того, права доступа могут быть своевременно отозваны, например, когда сотрудники уходят из отдела.
  • Микросегментация: Микросегментация – это процесс разделения сетей на более мелкие сегменты. Это позволяет лучше контролировать каждую область и дает компаниям больший контроль над межсегментным доступом.
  • Непрерывный мониторинг и оценка: только те, кто постоянно следит за любой сетевой активностью, могут обнаруживать потенциальные угрозы и оценивать их в зависимости от их критичности. Это позволяет в случае реальной атаки предпринять адекватные действия, чтобы не допустить киберпреступника в сеть или снова удалить его.
  • Контроль доступа: Ключевой мерой является мониторинг любого доступа. Для этого необходимо внедрить соответствующие политики и процедуры, основанные на идентификации и надежности пользователей и устройств. Только те, кому доверяют, получат доступ к желаемым ресурсам.

Сопоставление проблем и рисков без платформы IAM как краеугольного камня стратегии нулевого доверия, а также преимуществ внедрения IAM

Изображение: Сопоставление проблем и рисков без платформы IAM как краеугольного камня стратегии нулевого доверия, а также преимуществ внедрения IAM. (Источник: Sivis GmbH)

Источник

admin
Author: admin