A nulla megbízhatósági modell növekszik a biztonsági szakértőkkel

"Soha ne bízzon; mindig ellenőrizze." A józan észnek hangzik, igaz? Ez a mottója a Zero Trust nevű stratégia mögött, amely egyre vonzóbbá válik a kiberbiztonság világában. Ez magában foglalja egy informatikai részleget, amely minden felhasználót ellenőriz, mielőtt hozzáférési jogosultságokat biztosítana. A 2018. évi Verizon Data Breach Investigation Report jelentés szerint a számlákhoz való hozzáférés hatékony kezelése minden eddiginél fontosabb, hiszen a kis- és középvállalkozások 58 százaléka jelentette be az adatok megsértését 2017-ben.

A Zero Trust koncepciót John Kindervag, a Forrester Research korábbi elemzője és a Palo Alto Networks területén működő műszaki igazgató alapította. "El kell kezdenünk egy valódi stratégiát, és ezt lehetővé teszi a Zero Trust" - mondta Kindervag a közönségnek október 30-án a SecurIT Zero Trust csúcstalálkozón, New York City-ben. Hozzátette, hogy a Zero Trust eszme akkor jött létre, amikor leült, és valóban megfontolta a bizalom fogalmát, és hogy a rosszindulatú szereplők milyen előnyökkel járnak általában a pártokat bízó cégeknél, ha nem kellene.

Dr. Chase Cunningham lett Kindervag utódja, mint a Forrester fő elemzője a Zero Trust Access megközelítés támogatása során. "A nulla bizalom az, ami magában foglalja a két szót, vagyis semmit nem bízik, nem bízik a jelszókezelésben, ne bízzon a hitelesítő adatokban, ne bízzon a felhasználókban, és ne bízzon a hálózatban" - mondta Cunningham a Zero Trust PCMag-nak. Csúcstalálkozó.

Kindervag az Egyesült Államok Titkos Szolgálatának példáját szemléltette arról, hogy egy szervezetnek miként kell nyomon követnie azokat, amelyeket meg kell védeni és kinek kell hozzáférni. "Folyamatosan figyelemmel kísérik és frissítik ezeket a vezérlőket, hogy bármikor ellenőrizhessék, mi halad át a mikro kerületén" - mondta Kindervag. "Ez egy végrehajtásvédelem Zero Trust módszer. Ez a legjobb vizuális példa arra, amit meg akarunk csinálni a Zero Trustban."

Nulla bizalom tanulságai az OPM-nél

Az USA szövetségi kormányának korábbi CIO-tól származik egy tökéletes példa arra, hogy a Zero Trust hogyan működhet a szervezetek javára. A Zero Trust csúcstalálkozón Dr. Tony Scott, aki 2015-től 2017-ig az amerikai CIO hivatalát töltötte be, egy súlyos adatsértést írt le, amely 2014-ben az Egyesült Államok Személyzeti Igazgatóságán (OPM) történt. A jogsértés külföldi kémkedés miatt történt. amelyben 22, 1 millió ember számára ellopták a személyes információkat és a biztonsági átvilágítást, valamint az 5, 6 millió személy ujjlenyomat-adatait. Scott leírta, hogy nemcsak a digitális és a fizikai biztonság kombinációjára lett volna szükség a megsértés elkerülésére, hanem a Zero Trust politika hatékony alkalmazására is.

Amikor az emberek állásra jelentkeztek az OPM-nél, kitöltöttek egy kimerítő 86-os formanyomtatványt (SF), és az adatokat egy barlangban fegyveres őrök és tankok őrzik - mondta. "Ha külföldi személy lenne, és el akarja lopni ezt az információt, akkor meg kell tönkretennie ezt a barlangot Pennsylvaniában, és el kell mennie a fegyveres őröknél. Akkor teherkocsi-papírral kell távoznia, vagy nagyon gyors Xerox-gépe van, vagy valami. - mondta Scott.

"Hihetetlen lett volna megpróbálni menekülni 21 millió lemezzel" - folytatta. "De lassan, amikor az automatizálás bekerült az OPM folyamatba, elkezdtük ezeket a cuccokat számítógépes fájlokba helyezni a mágneses adathordozókra és így tovább. Ez sokkal könnyebbé tette a lopást." Scott elmondta, hogy az OPM nem talált ugyanolyan típusú hatékony biztonságot, mint a fegyveres őrök, amikor az ügynökség digitális lett. A támadást követően a Kongresszus jelentést tett közzé, amely Zero Trust stratégiát szorgalmazott az ilyen típusú jogsértések jövőbeni védelme érdekében.

"A szövetségi kormányzati informatikai hálózatok veszélyeztetését vagy kiaknázását célzó, folyamatos fenyegetések leküzdése érdekében az ügynökségeknek az információbiztonság és az informatikai architektúra" Zero Trust "modellje felé kell haladniuk" - nyilatkozta a kongresszusi jelentés. Jason Chaffetz (R-Utah), az Egyesült Államok volt képviselője, az akkori Felügyeleti Bizottság elnöke szintén egy hozzászólást írt az akkori Zero Trustról, amelyet eredetileg a Szövetségi Rádió publikált. "A Vezetési és Költségvetési Hivatalnak (OMB) iránymutatásokat kell kidolgoznia a végrehajtó osztályok és az ügynökségek vezetői számára a Zero Trust hatékony végrehajtása érdekében, valamint az összes hálózati forgalom megjelenítésére és naplózására vonatkozó intézkedéseket" - írta Chaffetz.

Nulla bizalom a való világban

A Zero Trust megvalósításának valós példájában a Google belsõként egy BeyondCorp nevû kezdeményezést telepített, amelynek célja a hozzáférés-vezérlések áthelyezése a hálózati kerületrõl az egyes eszközökre és a felhasználókra. A rendszergazdák a BeyondCorp eszközeként granulált hozzáférési ellenőrzési irányelveket hozhatnak létre a Google Cloud Platform és a Google G Suite számára az IP-cím, az eszköz biztonsági állapota és a felhasználói identitás alapján. A Luminate nevű vállalat a Zero Trust biztonságot nyújtja a BeyondCorp alapú szolgáltatásként. A Luminate Secure Access Cloud hitelesíti a felhasználókat, hitelesíti az eszközöket, és egy olyan motort kínál, amely kockázati pontszámot biztosít az alkalmazáshoz való hozzáféréshez.

"Célunk, hogy biztonságosan hozzáférést biztosítsunk minden felhasználónak, bármilyen eszközről, bármilyen vállalati erőforráshoz, függetlenül attól, hogy melyik helyen üzemeltetjük, felhőben vagy helyiségben, a végpontban lévő ügynökök vagy olyan eszközök, mint például a virtuális magánhálózatok (VPN) telepítése nélkül, tűzfalak vagy proxyk a rendeltetési helyen "- mondta Michael Dubinsky, a Luminate termékmenedzsment vezetője a PCMag-nak a Hybrid Identity Protection (HIP) konferencián (HIP2018), New York-i New Yorkban.

Az identitáskezelés egy kulcsfontosságú informatikai tudományág, amelyben a Zero Trust gyors tapadást szerez. Valószínűleg azért, mert a "Forrester Wave: Privileged Identity Management, Q3 2016" jelentés szerint a jogsértések 80% -át a privilegizált hitelesítő adatokkal való visszaélés okozza. Azok a rendszerek, amelyek részletesebben meghatározzák az engedélyezett hozzáférést, elősegíthetik ezeket az eseményeket.

Az identitáskezelő tér nem új, és létezik egy hosszú lista a vállalatokat, amelyek ilyen megoldásokat kínálnak, valószínűleg a legátfogóbb a Microsoft és annak Active Directory (AD) platformja, amelyet a még mindig népszerű Windows Server operációs rendszer (OS). Van azonban egy csomó újabb lejátszó, amelyek nemcsak az AD funkcióknál több funkcionalitást kínálnak, hanem megkönnyítik az identitáskezelés megvalósítását és karbantartását. Ilyen társaságok között szerepelnek olyan játékosok, mint a Centrify, Idaptive, Okta és SailPoint Technologies.

És bár azok, akik már beruháztak a Windows Serverbe, valószínűleg inkább fizetnek a technológiáért, és úgy érzik, hogy már beruháztak, mélyebb és jobban karbantartott identitáskezelési architektúra nagy haszonnal járhat a megtámadott jogsértések és a megfelelőségi ellenőrzések során. Ráadásul a költség nem megfizethetetlen, bár jelentős is lehet. Például a Centrify Infrastructure Services rendszer havonta 22 dollárral kezdődik.

Hogyan működik a nulla bizalom

"A Zero Trust egyik dolga a hálózati szegmentálás meghatározása" - mondta Kindervag. A szegmentálás kulcsfontosságú fogalom mind a hálózatkezelés, mind a kiberbiztonság szempontjából. Ez magában foglalja a számítógépes hálózat felosztását alhálózatokba, akár logikai, akár fizikai szempontból, a teljesítmény és a biztonság javítása érdekében.

A Zero Trust architektúra meghaladja a kerületi modellt, amely magában foglalja a hálózat fizikai helyét. Ez magában foglalja "a kerület lenyomását az entitás felé" - mondta Cunningham.

"Az entitás lehet szerver, felhasználó, eszköz vagy hozzáférési pont" - mondta. "A vezérlőket mikroszkópig nyomja le, ahelyett, hogy azt gondolja, hogy egy igazán magas falot építettél fel és biztonságban vagy. Cunningham a tűzfalat egy tipikus kerület részeként írta le. "Ez a megközelítés, a stratégia és a kerület problémája" - jegyezte meg. "A magas falak és az egyetlen nagy dolog: egyszerűen nem működnek."

Danny Kibel, az Idaptive, az identitáskezelő cég új vezérigazgatója szerint, amely a Centrify-tól szökött ki, a hálózathoz való hozzáférés érdekében a biztonság egyik régi aspektusa az útválasztók használata volt. A Zero Trust előtt a vállalatok ellenőriznék, majd bíznának. De a Zero Trustnál "mindig ellenőrizsz, soha ne bízz" - magyarázta Kibel.

Az Idaptive egy Next-Gen hozzáférési platformot kínál, amely magában foglalja az egyszeri bejelentkezés (SSO), az adaptív multifaktoros hitelesítés (MFA) és a mobil eszközkezelés (MDM). Az olyan szolgáltatások, mint az Idaptive, biztosítják a hozzáférés szükségszerűen részletezett vezérlésének létrehozását. Kialakíthat vagy szüntethet meg azt, hogy kinek kell hozzáférnie a különféle alkalmazásokhoz. "Ez lehetővé teszi a szervezetnek a finom képességű képességét, hogy ellenőrizze hozzáférését" - mondta Kibel. "És ez rendkívül fontos azoknak a szervezeteknek, amelyeket látunk, mert az illetéktelen hozzáférés szempontjából sok szó esik ki."

Kibel három lépésben határozta meg az Idaptive Zero Trust megközelítését: ellenőrizze a felhasználót, ellenőrizze eszközét, és csak ezután engedje meg az alkalmazásokhoz és szolgáltatásokhoz való hozzáférést csak az adott felhasználó számára. "Több vektorunk van a felhasználó viselkedésének felmérésére: hely, geo-sebesség, napszak, heti idő, milyen típusú alkalmazást használ, sőt, bizonyos esetekben is, hogyan használja ezt az alkalmazást" - mondta Kibel. Az Idaptive figyeli a sikeres és sikertelen bejelentkezési kísérleteket, hogy megtudja, mikor kell újra hitelesítenie vagy teljesen blokkolni a felhasználót.

Október 30-án a Centrify bevezette a Zero Trust Privilege nevű kiberbiztonsági megközelítést, amelyben a vállalatok megadják a szükséges legkevésbé privilegizált hozzáférést, és ellenőrzik, ki kéri a hozzáférést. A Zero Trust Privilege folyamat négy lépése magában foglalja a felhasználó ellenőrzését, a kérés kontextusának vizsgálatát, az adminisztrációs környezet védelmét és a szükséges legkevesebb jogosultság megadását. A Centrify Zero Trust Privilege megközelítése fokozatos megközelítést foglal magában a kockázat csökkentésére. Emellett áttér az örökölt privilegizált hozzáférés-menedzsmentre (PAM) is, amely olyan szoftver, amely lehetővé teszi a vállalatok számára, hogy korlátozza a hozzáférést az újabb típusú környezetekhez, például felhőalapú tároló platformokhoz, nagy adatprojektekhez és még üzleti szintű weben futó fejlett egyedi alkalmazásfejlesztési projektekhez. tárhely szolgáltatások.

A Zero Trust modell feltételezi, hogy a hackerek már hozzáférnek a hálózathoz - mondta Tim Steinkopf, a Centrify elnöke. Steinkopf szerint ennek a fenyegetésnek a leküzdésére irányuló stratégia az oldalirányú mozgás korlátozása és az MFA mindenhol érvényesítése lenne. "Ha valaki privilégiumokhoz próbál hozzáférni, azonnal rendelkeznie kell a megfelelő hitelesítő adatokkal és a megfelelő hozzáféréssel" - mondta Steinkopf a PCMag-nak. "A végrehajtás módja az identitások megszilárdítása, és akkor szükség van a kérelem környezetére, vagyis arra, hogy ki, mi, mikor, miért és hol." Ezután megadja a szükséges hozzáférési mennyiséget - mondta Steinkopf.

"Ön a felhasználói kontextust veszi körül; ebben az esetben orvos lehet, ápoló vagy más személy, aki megpróbálja hozzáférni az adatokhoz" - mondta Dubinsky. "Ön figyelembe veszi annak az eszköznek a kontextusát, amelytől dolgoznak, átveszi annak a fájlnak a kontextusát, amelyhez megpróbálnak hozzáférni, és ennek alapján meg kell határoznia a hozzáférési döntést."

MFA, nulla bizalom és bevált gyakorlatok

A Zero Trust modell kulcsfontosságú eleme az erős hitelesítés, és ennek része a hitelesítés több tényezőjének elfogadása - jegyezte meg Hed Kovetz, az MFA-megoldásokat kínáló Silverfort vezérigazgatója és társalapítója. Mivel a felhők korában hiányzik a kerület, minden eddiginél nagyobb szükség van a hitelesítésre. "A Zero Trust szinte alapvető követelménye, hogy bármi is elvégezhető MFA-val, és ma ezt nem lehet megtenni, mert a Zero Trust azon az elképzelésen alapszik, ahol már nincs perem" - mondta Kovetz a PCMag-nak a HIP2018-ban. "Tehát bármi kapcsolódik bármihez, és ebben a valóságban nincs olyan átjárója, amelyre irányítást gyakorolhat."

A Forrester Cunningham a Zero Trust eXtended (XTX) nevű stratégiát vázolt fel a technológia beszerzési döntéseinek a Zero Trust stratégiához való hozzárendelésére. "Valóban megvizsgáltuk azt a hét irányítási elemet, amelyre szükség van a környezet biztonságos kezeléséhez" - mondta Cunningham. A hét pillér az automatizálás és összehangolás, a láthatóság és az elemzés, a munkaterhelés, az emberek, az adatok, a hálózatok és az eszközök. Ahhoz, hogy egy ZTX platform legyen, egy rendszernek vagy technológiának ezeknek az oszlopoknak az alkalmazási programozási felület (API) képességeivel együtt három része van. Számos biztonsági megoldásokat kínáló gyártó illeszkedik a keret különféle pilléreibe. A Centrify olyan termékeket kínál, amelyek foglalkoznak az emberek és eszközök biztonságával, a Palo Alto Networks és a Cisco hálózati megoldásokat kínál, az IBM Security Guardium megoldásai pedig az adatvédelemre koncentrálnak - jegyezte meg Cunningham.

A Zero Trust modellnek titkosított alagutákat, forgalmi felhőt és tanúsítványalapú titkosítást kell tartalmaznia - mondta Steinkopf. Ha adatot küld iPadről az interneten keresztül, akkor ellenőriznie kell, hogy a címzett jogosult-e hozzáférésre - magyarázta. Steinkopf szerint a kialakulóban lévő technológiai trendek, például a konténerek és a DevOps végrehajtása elősegítheti a kiváltságos hitelesítésű visszaélések elleni küzdelmet. Azt is leírta, hogy a számítási felhő a Zero Trust stratégia élen jár.

A Luminate's Dubinsky egyetért. Az SMB-k számára, ha egy felhőcéghez fordul, amely szolgáltatást nyújt az identitáskezelésért vagy az MFA-ként, az ezen a területen szakosodott vállalkozások számára megterheli ezeket a biztonsági felelősségeket. "A lehető legnagyobb mértékben ki akarja tölteni azokat a vállalatokat és embereket, amelyek felelősek napi munkájáért" - mondta Dubinsky.

A nulla bizalmi keret lehetőségei

Noha a szakértők elismerték, hogy a vállalatok a Zero Trust modell felé fordulnak, különös tekintettel az identitáskezelésre, egyesek nem látják a Zero Trust átvételéhez a biztonsági infrastruktúra jelentős változásainak szükségességét. "Nem vagyok biztos benne, hogy ez egy olyan stratégia, amelyet ma bármilyen szinten el akarok fogadni" - mondta Sean Pike, az IDC biztonsági termékcsoportjának alelnöke. "Nem vagyok pozitív, hogy a megtérülési ráta számításának időben van értelme. Vannak számos építészeti változások és személyzeti kérdések, amelyek véleményem szerint stratégiaként tiltják a költségeket."

Pike azonban látja a Zero Trust potenciálját a telekommunikációban és az IDM-ben. "Úgy gondolom, hogy vannak olyan összetevők, amelyeket ma könnyen alkalmazhatunk, amelyek nem igényelnek nagykereskedelmi architektúra-változtatásokat - például az identitás" - mondta Pike. "Miközben kapcsolódnak egymáshoz, az az érzésem, hogy az örökbefogadás nem feltétlenül stratégiai lépés a Zero Trust felé, hanem inkább a felhasználók új csatlakozási módjainak kezelése, valamint a jelszó alapú rendszerektől való távolodás és a hozzáféréskezelés javításának szükségessége", Pike magyarázható.

Noha a Zero Trust úgy értelmezhető, mint egy olyan marketing koncepció, amely megismétli a kiberbiztonság néhány szokásos elvét, mint például hogy nem bíznak a hálózatba belépőkben és szükségük van a felhasználók ellenőrzésére, a szakértők szerint ez egy játékterv célját szolgálja.. "Nagyon támogatom a Zero Trustot, hogy elmozduljak a különös, stratégiai mantra felé, és meggyőzzem ezt a szervezeten belül" - mondta Forrester Cunningham.

A Forrester által 2010-ben bevezetett Zero Trust ötlet nem új a kiberbiztonsági iparágban - jegyezte meg John Pescatore, a SANS Intézet, a biztonsági képzést és tanúsítást nyújtó szervezet feltörekvő biztonsági tendenciáinak igazgatója. "Ez nagyrészt a kiberbiztonság általános meghatározása - próbáljon mindent biztonságossá tenni, szegmentálja a hálózatot, és kezelje a felhasználói jogosultságokat" - mondta.

Pescatore megjegyezte, hogy 2004 körül a Jericho Forumnak nevezett, már elmulasztott biztonsági szervezet a Forresterhez hasonló ötleteket vezetett be a „kerület nélküli biztonsággal” kapcsolatban, és csak a megbízható kapcsolatok engedélyezését javasolta. "Ez olyan, mintha azt mondnánk:" Haladj valahova, ahol nincs bűnöző és tökéletes időjárás, és nincs szüksége tetőre vagy ajtókra a házán "- mondta Pescatore. "A Zero Trust legalábbis visszahozta a szegmentálás józan értelmét - mindig szegmentál az internetről egy kerülettel."

• A kerületen túl: A rétegelt biztonság kezelése a kerületen kívül: Hogyan kezeljük a réteges biztonságot
• A NYC Venture arra törekszik, hogy ösztönözze a munkahelyeket, innováció legyen a kiberbiztonságban NYC Venture arra törekszik, hogy ösztönözze a munkát, az innováció a kiberbiztonságban
• Hogyan készüljünk fel a következő biztonsági szabálysértésre? Hogyan készüljünk fel a következő biztonsági szabálysértésre?

A Zero Trust modell alternatívájaként a Pescatore javasolta az Internet Security Kritikus Biztonsági Vezérlő Központjának követését. Végül a Zero Trust minden bizonnyal haszonnal járhat a hype ellenére. De amint azt Pescatore megjegyezte, akár Zero Trustnak, akár valami másnak hívják, az ilyen típusú stratégia továbbra is alapvető ellenőrzéseket igényel.

"Ez nem változtat azon a tényen, hogy az üzlet védelme érdekében alapvető biztonsági higiéniai folyamatokat és ellenőrzéseket kell kidolgoznia, valamint képzett személyzettel kell rendelkeznie a hatékony és eredményes működtetés érdekében" - mondta Pescatore. Ez több, mint a legtöbb pénzügyi beruházás a legtöbb szervezet számára, és az egyik vállalatnak a sikerek elérésére kell összpontosítania.