Počuli ste už o modeloch Zero Trust v oblasti kybernetickej bezpečnosti a InfoSec? Pokrok technológií a zmeny v spôsobe našej práce znamenajú, že postupujú aj hrozby kybernetickej bezpečnosti a každý deň čelíme novým hrozbám. Môžu pochádzať mimo organizácie aj zvnútra - napríklad ak zamestnanec otvorí phishingový e-mail alebo nechá svoj laptop otvorený bez uzamknutia a niekto bez oprávnenia k nemu pristupuje. V rámci boja proti zraniteľnostiam, ktoré môžu pochádzať z organizácie aj zvonka, spoločnosti využívajú bezpečnostný model Zero Trust.
Never nikomu
Podstata prístupu Zero Trust (ZT) je práve v tom - nedôverujte nikomu, aj keď je to zamestnanec. Zakaždým, keď sa niekto pokúsi získať prístup k vašej sieti, musíte mu pred poskytnutím prístupu bez ohľadu na svoju polohu overiť dôveryhodnosť pomocou informácií v reálnom čase z viacerých zdrojov. Predpokladom je, že hrozby existujú vo vnútri i mimo tradičných hraníc siete a k narušeniu je buď nevyhnutné, alebo už došlo.
Tento model ZT „s predpokladaným porušením“ vyžaduje, aby používatelia dokázali, že nie sú útočníkmi. Ak sa použije správne, prestupuje všetky aspekty infraštruktúry organizácie a umožňuje, aby sa takýto prístup s obmedzeným prístupom použil na každé rozhodnutie o prístupe. Ak chcete povoliť alebo zakázať prístup k konkrétnym zdrojom, musíte zodpovedať otázky kto, čo, kedy, kde a ako. Táto metóda sa nazýva Kiplingova metóda a zaisťuje, že cez vašu sieť je povolený iba legitímny prenos.

Národný inštitút pre štandardy a technológie USA (NIST) poskytuje niekoľko zásadalebo princípy ideálneho modelu Zero Trust. Oni sú:
- Zdrojmi sú všetky zdroje údajov a výpočtové služby. To by mohlo zahŕňať vaše pracovné notebooky, pracovné telefóny a osobné zariadenia, ak by organizácia prijala princíp BYOD.
- Bez ohľadu na umiestnenie siete je všetka komunikácia zabezpečená. Aj keď sa nachádzate v sieťovej infraštruktúre, podliehajú rovnakým bezpečnostným kontrolám ako iné zariadenia.
- Prístup k jednotlivým podnikovým zdrojom sa poskytuje na základe relácie. Prístup k prostriedku vám bude poskytnutý iba na čas nevyhnutný na dokončenie úlohy a iba s konkrétnymi oprávneniami. Autorizácia na použitie jedného zdroja vám predvolene neposkytne prístup k druhému.
- Prístup k zdrojom určuje politika, ktorá zohľadňuje atribúty správania. Politika definuje zdroje, členov a ich prístup k týmto zdrojom, ako aj atribúty, ktoré sú im priradené.
- Podnik zabezpečuje, aby všetky vlastnené a pridružené systémy boli v čo najbezpečnejšom stave a monitoruje systémy, aby zabezpečili, že im tak aj naďalej zostane. Každé aktívum je hodnotené z hľadiska rizika a podnik neustále vykonáva diagnostiku a zmiernenie rizika vďaka zavedenému monitorovaciemu systému.
- Všetky autentifikácie a autorizácie zdrojov sú dynamické a prísne vynútené
pred povolením prístupu. Identity, Credential, and Access Management (ICAM) a správa majetku sú zavedené systémy, čo pomáha stanoviť úrovne autentifikácie na prístup k špecifickým zdrojom. - Podnik zhromažďuje čo najviac informácií o aktuálnom stave majetku, sieťovej infraštruktúre a komunikáciách a používa ich na zlepšenie svojej bezpečnostnej pozície. Zber údajov pomáha získavať informácie o zlepšovaní tvorby a presadzovania politiky.
Dizajn, nie Produkt
Zero Trust nie je IT riešenie, ktoré môže poskytnúť jediný predajca na trhu. Ide skôr o systém princípov návrhu, ktorý kombinuje niekoľko bezpečnostných opatrení IT na základe konkrétnych princípov, na ktoré odkazujeme vyššie. Publikácia NIST stanovuje, že tieto princípy sú technicky agnostické, napr. ID užívateľa „môže zahŕňať niekoľko faktorov, ako napríklad používateľské meno / heslo, certifikáty a niekdajšie heslo.“
Tiež zaujímavé: Riziko InfoSec - každé rozdávanie USB môže byť vašim nebezpečenstvom
Každá zodpovedná osoba v organizácii musí pochopiť, ako ZT funguje, a musí sa jej venovať. ZT by mala preniknúť do všetkých aspektov svojej činnosti, najmä do tých, ktoré súvisia s dátami. Existuje niekoľko stratégií, ktoré možno použiť na implementáciu ZT, okrem iných faktorov v závislosti od veľkosti, štruktúry organizácie a citlivosti údajov, ktoré spracúva.
Výhody modelu Zero Trust
Ak podnik implementuje model ZT, mohol by byť schopný odhaliť hrozby, o ktorých predtým neuvažoval. To jej pomôže navrhnúť reakcie na príslušné hrozby, či už pochádzajú z toku údajov, neoprávneného prístupu alebo zastaraného softvéru. ZT môže tiež pomôcť zabrániť narušeniu údajov a umožniť lepšiu kontrolu tokov údajov. Vo veku GDPR je to obzvlášť dôležité. Nepretržité sledovanie bezpečnosti v prostredí ZT môže pomôcť okamžite reagovať na príznaky úniku alebo kompromisu.

Ak boli prihlasovacie údaje používateľa zneužité a zlomyseľný herec ich používa na cudzom zariadení, prostredie ZT bude schopné zachytiť toto zariadenie ako neoprávnené a odmietnuť mu prístup. V prípade podnikov s viacerými cloudmi môžu byť konkrétne cloudy mimo podnikovej siete LAN. Princípy spoločnosti ZT zabezpečujú, že sa nerozlišuje medzi sieťovou infraštruktúrou vlastnenou a prevádzkovanou spoločnosťou a infraštruktúrou iného poskytovateľa. Pokyny ZIST spoločnosti NIST odporúčajú umiestňovať body presadzovania politiky (PEP) do prístupových bodov každej aplikácie / služby a zdroja údajov. Týmto spôsobom môžu používatelia bezpečne pristupovať k cloudu, aj keď je mimo siete LAN.
Ďalšie čítanie a ďalšie odkazy
Národná bezpečnostná agentúra USA (NSA) odporúča model ZT pre kritické siete ako ministerstvo obrany (DoD). Ak sa chcete dozvedieť viac, môžete si tiež pozrieť video od spoločnosti Cisco nižšie, aby ste videli, ako sa môžete priblížiť k ZT bezpečnostný model.
Okrem toho si môžete v týchto knihách pozrieť aj komplexnejšie sprievodcovské informácie:
- Zero Trust Security: Enterprise Guide (Jason Garbis, Jerry W. Chapman)
- Zero Trust Networks: Budovanie bezpečných systémov v nedôveryhodných sieťach (Evan Gilman, Doug Barth)
- Zero-Trust: Od túžby po oneskorenie (John C. Checco)
YouTube: Ako pristupovať k bezpečnostnému modelu Zero Trust (Jamey Heary)
Fotografický kredit: The obrázok funkcie a fotka v tele článku boli pripravené Toto je inžinierstvo, fotka na pozadí použitý ako súčasť citácie grafiku prevzala Robynne Hu.
