14 września Zero Trust obchodziło swoje piętnaste urodziny. Jego powstanie zostało ogłoszone wraz z publikacją przez Forrester artykułu Johna Kindervaga pt. „Koniec z miękkimi centrami: Wprowadzenie do modelu zerowego zaufania w bezpieczeństwie informacji”, wspomnianego już w 2010 roku (archiwum dostępne tutaj).

Autor: 3 min czytania

Dlaczego „miękkie centra”? Według słów Kindervaga Zero Trust uznaje, że traktowanie cyberbezpieczeństwa jak M&M‘sy (z twardą, chrupiącą skorupką, nieprzeniknioną dla hakerów, chroniącą miękkie, smakowite centrum, w którym pracownicy mogą swobodnie i bezpiecznie pracować) po prostu nie działa. „Specjaliści ds. bezpieczeństwa informacji muszą wyeliminować »miękkie centrum«, zapewniając wszechobecność bezpieczeństwa w całej sieci, a nie tylko na jej obrzeżach” – pisał twórca konceptu.

I tą cukierniczą metaforą możemy opisać podstawę koncepcji zerowego zaufania (ZT) –  porzucić stary pomysł bariery między dwiema oddzielnymi sieciami (jedną niezaufaną: Internetem i jedną zaufaną: przedsiębiorstwem). Zamiast tego nie ufać niczemu i weryfikować wszystko, niezależnie od źródła czy celu. Koncepcja ta jest rozsądna i szybko zyskała akceptację, czego najlepszym dowodem w Stanach było pojawienie się rozporządzenia EO14028, nakazującego agencjom federalnym przejście na architekturę zerowego zaufania oraz silnie rekomendujące ten krok sektorowi prywatnemu.

I tu właśnie zderzamy się z rzeczywistością. Teoria zerowego zaufania to zasadniczo koncepcja, której wdrożenie będzie zależeć od indywidualnych, zróżnicowanych ekosystemów korporacyjnych. Nie ma jednej listy wymagań dla wszystkich organizacji, nie ma możliwości, aby jakiekolwiek przepisy krajowe wymagały zerowego zaufania, ani żadnego produktu, który można by zainstalować, aby takowe zapewnić. Zamiast tego zerowe zaufanie stało się powszechnie akceptowaną „najlepszą praktyką”, po prostu zalecaną przez przepisy.

Dobrym przykładem jest dyrektywa NIS2, która stanowi: „Podmioty kluczowe i ważne powinny przyjąć szeroki zakres podstawowych praktyk higieny cybernetycznej, takich jak zasady zerowego zaufania…”. Jest to jednak dyrektywa (czyli wymóg, który państwa członkowskie powinny wdrożyć na swój własny sposób), a nie rozporządzenie, i oczywiście nie skutkuje tym, o czym mówi definicja zerowego zaufania.

Skuteczne ZT nie wyeliminuje wszystkich naruszeń – istnieje po prostu zbyt wiele dróg dostępu do sieci – ale z pewnością ograniczy kradzież danych uwierzytelniających (najczęstszy początkowy wektor dostępu) i uniemożliwi ruch boczny intruzów oraz szkodliwą aktywność osób z wewnątrz sieci przedsiębiorstwa.

Na Kapitanie Hacku pisaliśmy o koncepcji Zero Trust wielokrotnie, więc na koniec, nucąc obowiązkowe „Sto lat”, przypomnę najciekawsze publikacje:

  1. Tutaj pisaliśmy o tym, dlaczego ZT jest podstawą dzisiejszego modelu cyberbezpieczeństwa
  2. Tutaj wskazywaliśmy kontekst ZT dla zarządzania uprawnieniami.
  3. Tutaj opisywaliśmy cztery kardynalne zasady w ZT

Przyjemnej lektury!