Zgodnie z zapowiedzią w naszym ostatnim opracowaniu dzisiejszy artykuł poświęcimy wyjaśnieniu założeń Zero Trust – czy współcześnie organizacje stać na domyślne zaufanie w świecie, w którym istnieje tak wiele zagrożeń cyberbezpieczeństwa?
Tradycyjny model bezpieczeństwa IT skupiał się na jednym założeniu: trzymać cyberzłoczyńców z dala od własnej sieci. Pamiętacie zapewne to powiedzenie, że jeżeli ktoś ma dostęp fizyczny do Twojego serwera, to nie jest to już Twój serwer. Można je było następnie odnieść do sieci firmowych. Stąd też ogromny nacisk kładziono na zapewnienie ochrony sieci i maksymalne utrudnienie atakującym dostępu do nich. Takie podejście prowadziło do założenia, że jeżeli nasza sieć jest odpowiednio zabezpieczona, monitorowana i chroni nas przed tymi złymi z zewnątrz, to każdy, kto już w tej sieci się znajdzie, powinien być zaufany. Historycznie rzecz ujmując, już w 2010 roku firma doradcza Forrester Research stwierdziła w jednym ze swoich raportów ), że takie podejście nie jest najlepszym rozwiązaniem. W miarę rozwoju technologii i coraz większej liczby ataków cybernetycznych organizacje zrozumiały, że tradycyjne metody zabezpieczania sieci nie są wystarczające. Wewnętrzne zagrożenia i ukierunkowane zaawansowane ataki wymusiły zmiany w podejściu do bezpieczeństwa sieciowego.
Dlaczego podejście oparte na tradycyjnym zaufaniu do pracownika jest niewystarczające?
W swoim artykule zatytułowanym No More Chewy Centers: The Zero Trust Model Of Information Security Forrester opisuje w bardzo przystępny sposób kwestie zaufania w projektowaniu zabezpieczeń sieciowych: „Model zaufania jest nieskuteczny; istnieją cztery kluczowe pułapki w dzisiejszym podejściu do bezpieczeństwa sieciowego: niemożliwe jest zidentyfikowanie zaufanych interfejsów, zasada trust, but verify jest niewystarczająca, złośliwi pracownicy wewnętrzni często zajmują pozycje zaufaną, a zaufanie nie dotyczy pakietów sieciowych”. Przykładem, gdy takie podejście może stanowić duże ryzyko dla organizacji, jest wykorzystywanie przez atakujących podatności Zero-Day, gdzie pracownik (np. zaufany administrator naszej firmowej domeny AD) może stać się ofiarą celowanego, zaawansowanego ataku i zupełnie nieświadomie doprowadzić np. do wycieku danych.
Co oznacza termin „Zero Trust”?
Przede wszystkim jest to strategia, Zero Trust nie zostanie osiągnięte poprzez zakup i wdrożenie jednej technologii. Krótko mówiąc, Zero Trust zakłada: „Nigdy nie ufaj, zawsze sprawdzaj”, co oznacza, że żaden użytkownik, urządzenie czy aplikacja nie powinny być domyślnie traktowane jako zaufane. Zamiast tego każde żądanie dostępu, bez względu na to, czy pochodzi z wewnątrz czy z zewnątrz sieci, powinno być starannie oceniane i weryfikowane. U podstaw tej strategii leżą następujące założenia:
- Nigdy nie ufaj, zawsze sprawdzaj (Never trust, always verify)
- Stosuj zasadę minimalnych uprawnień (Least Privilege)
- Załóż, że możesz zostać zaatakowany (Assume breach)
I chociaż pojęcie Zero Trust początkowo było mocno wiązane z infrastrukturą sieciową, to obecnie wydaje się naturalne, że strategię tę odnosimy do każdego rodzaju dostępu i zasobów, które powinny być chronione, niezależnie od wdrożonego modelu sieciowego.
Co oznacza „Never trust, always verify”?
Bez względu na to, kto i co próbuje uzyskać dostęp do zasobów organizacji (pracownik, aplikacja czy urządzenie), powinniśmy zakładać, że jest to połączenie niezaufane i wymagać, żeby przed jego uzyskaniem nastąpiła weryfikacja w postaci uwierzytelnienia i autoryzacji (authentication and authorization). To założenie oznacza również, że cały ruch powinien być monitorowany i zabezpieczony, czyli powinny być używane co najmniej mechanizmy szyfrujące dane w ruchu, nie zapominając o tym, że organizacje mogą pracować w różnym modelu utrzymania i przechowywać swoje dane w różnych lokalizacjach (hosting model, multicloud). Coraz częściej dane organizacji przechowywane są poza jej siecią wewnętrzną, co związane jest również z koniecznością spełnienia wymagań regulacyjnych dla danego obszaru.
Co oznacza „Least Privilege”?
W kontekście strategii Zero Trust oznacza to wdrożenie polityk kontroli dostępu, które pozwalają na uzyskanie praw do zasobów przy użyciu najmniejszego zestawu uprawnień i tylko do tych zasobów, które są niezbędne do realizacji zadań. W praktyce często sprowadza się to do implementacji zarządzania dostępem za pomocą ról. Zero Trust nie określa tutaj, że akurat RBAC jest jedynym zalecanym rozwiązaniem; to, co istotne, to zapewnienie, żeby do uzyskania dostępu wystarczył ściśle określony, minimalny zestaw uprawnień do danego zasobu. Metody mogą tutaj się zmieniać w czasie i przykładem tego jest ABAC. Coraz częściej używamy również podejścia Just-In-Time Access w celu ograniczenia ryzyka związanego z przejęciem aktywów firmy. Istnieje metoda stosowana w celu ochrony uprzywilejowanych kont administratorów przed ich przejęciem i wykorzystaniem ich uprawnień, polegająca na tym, że uprawnienia nadawane są tylko na krótki czas, gdy są potrzebne do realizacji zadań. Dla odmiany innym, znacznie popularniejszym rozwiązaniem chroniącym konta administratorów, są systemy klasy PIM\PAM, które „ukrywają” hasła kont administratorskich i zarządzają nimi, tym samym ograniczając ryzyko ich przechwycenia.
Co oznacza „Assume breach”?
Wbrew pozorom jest to bardzo ważne założenie, ponieważ oznacza ono, że cała organizacja powinna być przygotowana na odpowiedź w przypadku zaistnienia ataku. Sprowadza się to do zaprojektowania sieci w celu ograniczenia skutków incydentu, wdrożenia polityk monitorowania ruchu sieciowego i nowych zagrożeń, a przede wszystkim wymaga zaplanowania i wdrożenia procedur odpowiedzi na incydenty oraz procedur zgłaszania incydentów do odpowiednich organów. A ponieważ rzeczywistość zagrożeń cyberbezpieczeństwa cały czas ewoluuje, musi to być proces ciągłego monitorowania zmian i dostosowania procedur pod kątem nowych zagrożeń.
Czy Zero Trust to pojedynczy projekt?
Nie. Tak jak wcześniej pisaliśmy, Zero Trust jest strategią i nie może być osiągnięte i utrzymane jedną inicjatywą. Podobnie jak w przypadku budowy systemu IAM w organizacji, jest to program, który musi być na bieżąco dostosowywany do nowych realiów, program, którego celem jest zwiększenie poziomu bezpieczeństwa i przygotowanie odpowiedzi organizacji na współczesne zagrożenia. A zatem nie może być zrealizowany jednym projektem, który zakończony, nie będzie później rozwijany. Zero Trust ma na celu zmianę podejścia organizacji do tradycyjnego modelu zaufania, opartego często na relacjach czysto ludzkich, na model odporny na zagrożenia związane z wykorzystywaniem przez przestępców luk i podatności, na które nieświadomy czy niezabezpieczony użytkownik, aplikacja, urządzenie są nieodporne.