Cyberprzestępczość zagraża zarówno firmom jak i użytkownikom prywatnym. Największe straty w tym obszarze odnotowywane są jednak w różnej wielkości firm z różnych branż i lokalizacji na Świecie. Organizacje zdały sobie sprawę, że status quo jest nie do utrzymania i że konieczne jest wdrożenie podejścia w zarządzaniu, które zapewni im większą kontrolę i zerowe zaufanie – z ang. Zero Trust. W dzisiejszym artykule wyjaśniamy co to jest Zero Trust oraz jakimi zasadami powinny się kierować firmy, aby czuły się bezpieczne.
Nasilające się ataki na firmy
Pisaliśmy w zeszłym tygodniu o ataku na łańcuch dostaw , który jest największym utrapieniem wśród firm, ponieważ ciężko jest go wykryć i niesie za sobą poważne konsekwencje.
Obserwujemy coraz więcej nowych ataków na Active Directory, metod używanych w najnowszym malware związanych z pozyskiwaniem/przejęciem poświadczeń użytkowników, w tym tych uprzywilejowanych. Opisujemy je i pokazujemy dokładnie na Kapitanie Hack’u.
Microsoft twierdzi (i my się z tym zgadzamy), że ochrona przed zagrożeniami w organizacjach nie leży po stronie brzegówki (firewalli, proxy itp), lecz w środku infrastruktury IT. Dzieje się tak ze względu na zmieniające się podejście w pracy użytkowników BYOD (skrót od „Bring Your Own Device”), usługi chmurowe oraz pracę zdalną po VPN, gdzie brzegówka odsuwana jest na drugi plan. Problem coraz częściej także stanowią Insider’zy w firmie. Jaki jest zatem złoty, sprawdzony środek, dzięki któremu firmy mogłyby się czuć bezpiecznie? Jest to z pewnością koncepcja Zero Trust.
Co to jest Zero Trust?
Model Zerowego Zaufania w Bezpieczeństwie (Zero Trust) można podsumować jako „Nigdy nie ufaj, zawsze weryfikuj”. Innymi słowy, bez względu na to, czy próba połączenia z systemem lub danymi jest podejmowana z wewnątrz, czy z zewnątrz sieci organizacji, dostęp nie jest przyznawany bez weryfikacji.
Wiele firm może być zgodnych z Zero Trust, ale nie można tego osiągnąć za pomocą jednej technologii lub rozwiązania. Jest to raczej holistyczne podejście do bezpieczeństwa, które musi zostać przyjęte przez organizację jako całość, polegające na połączeniu procesów technologicznych i zarządzania w celu zabezpieczenia środowiska IT.
Aby koncepcja/podejście była skuteczna, potrzebna jest zmiana technologiczna i operacyjna na każdym poziomie organizacji.
Niemal każdy z producentów rozwiązań Security wymyśla swoje własne podejście do koncepcji Zero Trust. Potwierdza to tezę, że Zero Trust nie można osiągać za pomocą jednej technologii lub rozwiązania.
Dla przykładu największy producent oprogramowania i systemów na Świecie – Microsoft wymyślił w Zero Trust nową architekturę podziału uprawnień bazujących na warstwach Tier 0/1/2 oraz zdefiniował tak zwane PAW (Privilege Access Workstations), z której administratorzy mają wykonywać aktywności.
Jednak, aby przyjąć model Zero Trust, należy pamiętać o tych czterech zasadach:
1. Bezpieczeństwo fizyczne
W przypadku wszystkich form przetwarzania, lokalnie lub w chmurze, fizyczne centrum danych nadal stanowi epicentrum danych klientów. Co ważniejsze, stanowi również pierwszą warstwę obrony przed cyberatakami.
Pierwszy element bezpieczeństwa fizycznego obejmuje monitorowanie centrum danych (serwerowni) na miejscu, takie jak monitoring 24/7 za pomocą kamer, profesjonalne zespoły ochrony patrolujące lokalizację oraz zabezpieczenie zamków w przejściach, aby zapobiec nieautoryzowanemu dostępowi do sprzętu w szafach w serwerowni.
Następnie dostęp do wszystkich obiektów musi być kontrolowany za pomocą zatwierdzonej listy dostępu. Oznacza to, że każda osoba na liście ma w aktach zdjęcie i dane biometryczne powiązane z ich kartą dostępu. Aby wejść do hali danych, zatwierdzony użytkownik musi przeciągnąć swoją kartę dostępu i zweryfikować swoje dane biometryczne przed przyznaniem dostępu.
Należy również zabezpieczyć kluczowe elementy środowiskowe, takie jak zasilanie, chłodzenie i gaszenie pożarów, aby umożliwić systemom pozostanie w trybie online w przypadku awarii zasilania lub wywołania pożaru.
2. Bezpieczeństwo logiczne
Bezpieczeństwo logiczne odnosi się do różnych warstw konfiguracji technicznych i oprogramowania, które w połączeniu tworzą bezpieczną i stabilną podstawę. W odniesieniu do warstw zabezpieczenia logiczne są stosowane w warstwie sieci, pamięci masowej i hiperwizora.
W warstwie sieciowej żadne dwa segmenty sieci za zaporą sieciową klienta nie powinny się na siebie nakładać ani w żaden sposób oddziaływać. Łącząc bezpieczną granicę z izolacją sieci za tą granicą, ruch sieciowy organizacji jest dedykowany i niewidoczny dla żadnego innego klienta na platformie.
W przypadku platform magazynowych kontynuowane są koncepcje segmentacji, izolacji i bezpiecznej demarkacji.
Na koniec nie zapomnajmy o warstwie witalizacyjnej. Podobnie jak w przypadku sieci i pamięci masowej, zaimplementowana jest segmentacja logiczna, aby uniknąć problemów z rywalizacją, często nazywaną „hałaśliwym sąsiadem”. Zapewniając logiczną alokację zasobów do poszczególnych klientów, zasób ten jest oznaczony do wykorzystania w ich prywatnym środowisku.
3. Bezpieczeństwo procesowe
Żadne rozwiązanie bezpieczeństwa, zarówno fizyczne, jak i logiczne, nie jest skuteczne bez przeszkolonych i doświadczonych ludzi. Jeśli osoby te nie rozumieją lub nie wiedzą, jak pracować w ramach mechanizmów kontrolnych ustanowionych w celu ochrony różnych systemów, rozwiązanie zawiedzie. Analogiczną sytuacją jest zabezpieczenie własnego domu – po prostu nie wydasz tysięcy złotych na system bezpieczeństwa w domu, do którego potem zostawisz klucze wystające z zamka w drzwiach wejściowych. Ta sama zasada dotyczy również osób zarządzających infrastrukturą IT (administratorów, konsultantów zewnętrznych, serwisantów). Powinni oni znać dobre zasady higieny administracyjnej oraz działać zgodnie z najlepszymi praktykami bezpieczeństwa. Jeśli zaś firma ma ku temu obawy, powinna wdrożyć odpowiednie mechanizmy kontroli i weryfikacji działań w celu jak najlepszego wyeliminowania pomyłek lub narażania kogoś na przejęcie takiego dostępu przez osobę trzecią.
Procesy bezpieczeństwa rozpoczynają się jeszcze przed dołączeniem pracownika do firmy, sprawdzając jego przeszłość przed rozpoczęciem zatrudnienia. Po zatrudnieniu wszyscy pracownicy powinni przejść szkolenie w zakresie bezpieczeństwa i zgodności w ramach procesu wdrażania, a także szkolić się ciągle co najmniej co sześć miesięcy.
Wdrożenie mechanizmów przyznawania dostępu za pomocą modelu kontroli dostępu opartego na rolach (RBAC) i przyznawanie domyślnie odmowy dostępu „Access Denied” (chyba, że udowodnione jest, że jest inaczej) wydaje się być tutaj kluczowym rozwianiem. problemu.
Dostęp jest przyznawany za pomocą modelu kontroli dostępu opartego na rolach (RBAC), zapewniającego dostęp określonym osobom na podstawie ich funkcji. Oprócz RBAC konta uprzywilejowane są skonfigurowane do działania z uwierzytelnianiem dwuskładnikowym. Jest to podwyższony poziom autoryzacji wymagany do uzyskania dostępu do krytycznych systemów. Oprócz bieżącej autoryzacji wszyscy pracownicy podlegają regularnym przeglądom dostępu w celu ustalenia i upewnienia się, że nadal potrzebują dostępu po zmianie ról, zespołów lub działów.
Bardziej ogólne, zorientowane na proces (tj. niespecyficzne dla użytkownika) działania związane z bezpieczeństwem obejmują coroczne testy penetracyjne i regularne harmonogramy instalowania poprawek dla wszystkich systemów.
4. Bieżący audyt
Wreszcie, istniejące procesy i systemy muszą być regularnie poddawane przeglądom i audytom, aby zapewnić zgodność z przepisami i przestrzeganie standardów bezpieczeństwa firmy. Jest to szczególnie ważne w branżach silnie regulowanych, takich jak usługi finansowe i opieka zdrowotna.
Podsumowanie
Niezależnie od tego, czy Twoja firma dąży do Zero Trust teraz, czy w przyszłości, różne elementy fizyczne, logiczne, procesów i audytu opisane powyżej mogą służyć jako punkt wyjścia do zapewnienia bezpieczeństwa danych. Pamiętaj, że Zero Trust nie można osiągać za pomocą jednej technologii lub rozwiązania. Ważne jest także przeszkolenie pracowników, w tym tych których dostępy są najbardziej narażone na przejęcie kontroli nad całym środowiskiem – czyli administratorów. Wdrożenie odpowiednich aplikacji/systemów kontrolujących dostęp (fizyczny jak i logiczny), audytujących go oraz zarządzający uprawnieniami na pewno wzmocni kontrolę i zabezpieczy środowisko przed niekontrolowanymi incydentami bezpieczeństwa.