Modelul de încredere zero câștigă abur cu experții în securitate

„Niciodată nu ai încredere; verifică întotdeauna”. Pare bun simț, nu? Acesta este motto-ul din spatele unei strategii numite Zero Trust, care câștigă tracțiune în lumea cibersecurității. Acesta implică un departament IT care verifică toți utilizatorii înainte de a acorda privilegii de acces. Gestionarea eficientă a accesului la conturi este mai importantă ca niciodată, cu 58% dintre întreprinderile mici și mijlocii (SMB) care au raportat încălcări ale datelor din 2017, potrivit Raportului de investigații privind datele privind problemele din Verizon 2018.

Conceptul Zero Trust a fost fondat de John Kindervag, fost analist la Forrester Research și acum CTO Field la Palo Alto Networks. "Trebuie să începem să realizăm o strategie reală și asta este ceea ce permite Zero Trust", a spus Kindervag în audiență pe 30 octombrie la Summit-ul SecurIT Zero Trust din New York. El a adăugat că ideea Zero Trust a luat naștere atunci când s-a așezat și a luat în considerare cu adevărat conceptul de încredere, iar modul în care, în general, aceștia nu ar trebui să beneficieze de actorii nocivi care beneficiază de companii de încredere.

Dr. Chase Cunningham a devenit succesorul lui Kindervag ca analist principal la Forrester în promovarea unei abordări Zero Trust Access. „Zero Trust este ceea ce implică aceste două cuvinte, ceea ce înseamnă încredere în nimic, nu aveți încredere în administrarea parolelor, nu aveți încredere în acreditări, nu aveți încredere în utilizatori și nu aveți încredere în rețea”, a declarat Cunningham pentru PCMag la Zero Trust Vârf.

Kindervag a folosit exemplul Serviciului Secret al SUA pentru a ilustra modul în care o organizație trebuie să țină evidența a ceea ce are nevoie pentru a proteja și cine are nevoie de acces. "Ei monitorizează continuu și actualizează acele controale, astfel încât să poată controla ce tranzitează micro perimetrul în orice moment", a spus Kindervag. „Acesta este o metodă de protecție executivă a Zero Trust. Este cel mai bun exemplu vizual de ceea ce încercăm să facem în Zero Trust”.

Lecții de încredere zero învățate la OPM

Un exemplu perfect despre modul în care Zero Trust poate lucra în beneficiul organizațiilor a venit din fostul CIO al guvernului federal al SUA. În cadrul Summit-ului Zero Trust, dr. Tony Scott, care a deținut funcția CIO a SUA din 2015 până în 2017, a descris o încălcare importantă a datelor care a avut loc la Oficiul american de gestionare a personalului (OPM) din 2014. Încălcarea s-a produs din cauza spionajului străin în care informațiile personale și informațiile de fundal privind autorizările de securitate au fost furate pentru 22, 1 milioane de persoane, împreună cu date despre amprentă la 5, 6 milioane de persoane. Scott a descris cum nu doar o combinație de securitate digitală și fizică ar fi fost necesară pentru a evita această încălcare, ci și o aplicare eficientă a politicii Zero Trust.

Când oamenii ar solicita un loc de muncă la OPM, au completat un chestionar standard complet (SF) 86, iar datele vor fi păzite la o peșteră de către gardieni și tancuri armate, a spus el. „Dacă ai fi o entitate străină și ai vrea să furi informațiile respective, ar trebui să încălci această peșteră din Pennsylvania și să treci peste paznicii înarmați. Atunci ar trebui să pleci cu camioane de hârtie sau să ai o mașină Xerox foarte rapidă sau ceva ", A spus Scott.

"Ar fi fost monumental să încerci să evadezi cu 21 de milioane de înregistrări", a continuat el. "Dar încet, pe măsură ce automatizarea a intrat în procesul OPM, am început să introducem aceste chestii în fișierele de computer pe suporturi magnetice și așa mai departe. Asta a făcut mult mai ușor să furi." Scott a explicat că OPM nu a reușit să găsească tipul echivalent de securitate eficientă ca gardienii înarmați atunci când agenția a intrat digital. În urma atacului, Congresul a publicat un raport care solicita o strategie Zero Trust pentru protejarea acestor tipuri de încălcări în viitor.

"Pentru a combate amenințările persistente avansate care încearcă să compromită sau să exploateze rețelele informatice ale guvernului federal, agențiile ar trebui să se îndrepte către un model de" Zero Trust "de securitate a informațiilor și arhitectură IT", a declarat raportul congresului. Fostul Reprezentant american Jason Chaffetz (R-Utah), apoi președintele Comitetului de Supraveghere, a scris și o postare despre Zero Trust la acea vreme, publicată inițial de Federal News Radio. "Oficiul de Management și Buget (OMB) ar trebui să elaboreze linii directoare pentru departamentele executive și șefii de agenție pentru a implementa eficient Zero Trust, împreună cu măsuri pentru vizualizarea și înregistrarea întregului trafic de rețea", a scris Chaffetz.

Încredere zero în lumea reală

Într-un exemplu real de implementare a Zero Trust, Google a implementat intern o inițiativă numită BeyondCorp, destinată mutării controalelor de acces din perimetrul rețelei către dispozitive și utilizatori individuali. Administratorii pot utiliza BeyondCorp ca o modalitate de a crea politici de control al accesului granular pentru Google Cloud Platform și Google G Suite pe baza adresei IP, a stării de securitate a dispozitivului și a identității utilizatorului. O companie numită Luminate oferă securitate Zero Trust ca un serviciu bazat pe BeyondCorp. Luminate Secure Access Cloud autentifică utilizatorii, validează dispozitivele și oferă un motor care oferă un scor de risc care autorizează accesul la aplicații.

„Scopul nostru este să oferim în siguranță acces oricărui utilizator, de pe orice dispozitiv, la orice resursă corporativă, indiferent de locul în care este găzduit, în cloud sau în spații, fără a implementa agenți din punct de vedere final sau orice aparat, cum ar fi rețelele private virtuale (VPN), firewall-uri, sau proxies pe site-ul de destinație ", a declarat pentru PCMag la Conferința Hybrid Identity Protection (HIP) 2018 (HIP2018) din New York, Michael Dubinsky, șeful Managementului produselor de la Luminate.

O disciplină IT cheie în care Zero Trust câștigă tracțiune rapidă este gestionarea identității. Acest lucru este probabil, deoarece 80 la sută din încălcări sunt cauzate de utilizarea necorespunzătoare a acredităților privilegiate, potrivit raportului „Forrester Wave: Privileged Identity Management, Q3 2016”. Sistemele care controlează accesul autorizat într-un grad mai granular pot ajuta la prevenirea acestor incidente.

Spațiul de gestionare a identității nu este nou și există o listă lungă de companii care oferă astfel de soluții, cel mai periculos fiind Microsoft și platforma sa Active Directory (AD), care este încorporată în sistemul de operare Windows Server încă popular. OS). Cu toate acestea, există o mulțime de jucători mai noi, care pot oferi nu doar mai multe funcționalități decât AD, dar pot face și gestionarea identității mai ușor de implementat și întreținut. Astfel de companii includ jucători precum Centrify, Idaptive, Okta și SailPoint Technologies.

Și, în timp ce cei care au investit deja în Windows Server s-ar putea impune să plătească mai mult pentru tehnologie, ei simt că au investit deja, o arhitectură de gestionare a identității mai profundă și mai bine întreținută poate aduce dividende mari în încălcările înfrânate și în auditurile de conformitate. În plus, costul nu este prohibitiv, deși poate fi semnificativ. De exemplu, Centrify Infrastructure Services începe de la 22 USD pe lună pe sistem.

Cum funcționează Zero Trust

„Unul dintre lucrurile pe care Zero Trust le face este definirea segmentării rețelei”, a spus Kindervag. Segmentarea este un concept cheie atât în ​​managementul rețelei, cât și în securitatea cibernetică. Implică împărțirea unei rețele de calculatoare în subrețele, logic sau fizic, pentru a îmbunătăți performanța și securitatea.

O arhitectură Zero Trust se deplasează dincolo de un model de perimetru, care cuprinde locația fizică a unei rețele. Aceasta presupune „împingerea perimetrului în jos către entitate”, a spus Cunningham.

"Entitatea ar putea fi un server, un utilizator, un dispozitiv sau un punct de acces", a spus el. "Împingeți controalele până la nivelul micro în loc să credeți că ați construit un zid cu adevărat înalt și că sunteți în siguranță." Cunningham a descris un firewall ca parte a unui perimetru tipic. "Este o problemă de abordare, strategie și perimetru", a menționat el. "Zidurile înalte și singurul lucru: pur și simplu nu funcționează."

Pentru a avea acces la o rețea, un aspect vechi al securității folosea routere, potrivit lui Danny Kibel, noul CEO al Idaptive, o companie de administrare a identității care se abate de la Centrify. Înainte de Zero Trust, companiile ar verifica și apoi aveau încredere. Dar, cu Zero Trust, „verificați întotdeauna, nu aveți încredere niciodată”, a explicat Kibel.

Idaptive oferă o platformă de acces Next-Gen care include Single Sign-On (SSO), autentificare multifactor adaptivă (MFA) și gestionarea dispozitivelor mobile (MDM). Serviciile precum Idaptive oferă o modalitate de a crea controale de acces neapărat granulare. Puteți furniza sau desconserva în funcție de cine are nevoie de acces la diverse aplicații. "Oferă această abilitate cu grăunte fine a organizației de a-și controla accesul", a spus Kibel. "Și asta este foarte important pentru organizații pe care le vedem, deoarece există o mulțime de extinderi în ceea ce privește accesul neautorizat."

Kibel a definit abordarea Idaptive a Zero Trust cu trei pași: verificați utilizatorul, verificați dispozitivul și numai apoi permiteți accesul la aplicații și servicii doar pentru acel utilizator. "Avem mai mulți vectori pentru a evalua comportamentul utilizatorului: locație, geo-viteză, ora zilei, ora săptămânii, ce tip de aplicație utilizați și chiar în unele cazuri cum utilizați aplicația respectivă", a spus Kibel. Idaptive monitorizează încercările de autentificare reușite și eșuate pentru a vedea când este nevoie să reconfigureze autentificarea sau să blocheze un utilizator cu totul.

La 30 octombrie, Centrify a introdus o abordare de securitate cibernetică denumită Zero Trust Privilege în care companiile acordă cel mai puțin privilegiat necesar necesar și verifică cine solicită accesul. Cele patru etape ale procesului Zero Trust Privilege includ verificarea utilizatorului, analizarea contextului cererii, securizarea mediului de administrare și acordarea celui mai mic nivel de privilegiu necesar. Abordarea Centrify Zero Trust Privilege implică o abordare în etape pentru reducerea riscurilor. De asemenea, aduce o tranziție de la GAM Privileged Access Management (PAM), care este un software care permite companiilor să restricționeze accesul la tipuri mai noi de medii, cum ar fi platforme de stocare în cloud, proiecte de date mari și chiar proiecte avansate de dezvoltare a aplicațiilor personalizate care rulează pe web de calitate business facilitati de gazduire

Un model Zero Trust presupune că hackerii accesează deja o rețea, a declarat Tim Steinkopf, președintele Centrify. O strategie de combatere a acestei amenințări ar fi limitarea mișcărilor laterale și aplicarea MFA peste tot, potrivit Steinkopf. "Ori de câte ori cineva încearcă să acceseze un mediu privilegiat, trebuie să aveți imediat datele de acreditare și accesul potrivit", a spus Steinkopf pentru PCMag. "Modul de aplicare a acestui lucru este de a consolida identitățile, și atunci aveți nevoie de contextul cererii, adică cine, ce, când, de ce și de unde." După aceea, acordați doar accesul necesar, a spus Steinkopf.

„Luați contextul utilizatorului, caz în care ar putea fi medic, ar putea fi o asistentă sau ar putea fi o altă persoană care încearcă să acceseze datele”, a spus Dubinsky. "Luați contextul dispozitivului de pe care lucrează, luați contextul fișierului pe care încearcă să îl acceseze, și atunci trebuie să luați o decizie de acces pe baza asta."

MFA, Zero Trust și cele mai bune practici

Un aspect esențial al unui model Zero Trust este autentificarea puternică și care permite mai mulți factori de autentificare este o parte din acesta, a menționat Hed Kovetz, CEO și co-fondator al Silverfort, care oferă soluții MFA. Cu lipsa de perimetre în epoca norului, este mai mare nevoie de autentificare ca niciodată. "Abilitatea de a face MFA de orice este aproape o cerință de bază a Zero Trust și este imposibil de făcut astăzi, deoarece Zero Trust vine de la ideea în care nu mai există perimetre", a spus Kovetz pentru PCMag la HIP2018. "Deci orice se conectează la orice și, în această realitate, nu aveți o poartă către care puteți aplica controlul."

Cunningham de la Forrester a conturat o strategie numită Zero Trust eXtended (XTX) pentru maparea deciziilor de cumpărare a tehnologiei la o strategie Zero Trust. „Ne-am uitat cu adevărat la cele șapte controluri de care aveți nevoie pentru a gestiona într-adevăr un mediu în siguranță”, a spus Cunningham. Cei șapte piloni sunt automatizare și orchestrare, vizibilitate și analiză, sarcini de lucru, oameni, date, rețele și dispozitive. Pentru a fi o platformă ZTX, un sistem sau o tehnologie ar avea trei dintre acești piloni împreună cu capabilitățile interfeței de programare a aplicațiilor (API). Mai mulți furnizori care oferă soluții de securitate se încadrează în diferiți piloni ai cadrului. Centrify oferă produse care se adresează securității persoanelor și dispozitivelor, Palo Alto Networks și Cisco oferă soluții de rețea, iar soluțiile IBM Guardium Security se concentrează pe protecția datelor, a menționat Cunningham.

Un model Zero Trust ar trebui să implice, de asemenea, tunele criptate, un nor de trafic și criptare bazată pe certificate, a spus Steinkopf. Dacă trimiteți date de pe un iPad pe internet, atunci doriți să verificați dacă destinatarul are dreptul de acces, a explicat el. Punerea în aplicare a tendințelor tehnologice emergente, cum ar fi containerele și DevOps, poate ajuta la combaterea abuzului privilegiat acreditat, potrivit Steinkopf. El a mai descris cloud computing-ul ca fiind în fruntea unei strategii Zero Trust.

Dubinsky a lui Luminate este de acord. Pentru IMM-uri, apelând la o companie cloud care furnizează gestionarea identității sau MFA ca serviciu descarcă aceste responsabilități de securitate companiilor specializate în acea zonă. „Vrei să descarci cât poți de bine companiilor și persoanelor responsabile pentru munca lor de zi”, a spus Dubinsky.

Potențialul cadrului de încredere zero

Deși experții au recunoscut că companiile apelează la un model Zero Trust, în special în managementul identității, unii nu văd necesitatea unor mari schimbări în infrastructura de securitate pentru a adopta Zero Trust. „Nu sunt sigur că este o strategie pe care aș vrea să o adopt la orice nivel astăzi”, a declarat Sean Pike, vicepreședinte al programului pentru IDC's Security Products Group. "Nu sunt sigur că calculul ROI există într-un interval de timp care are sens. Există o serie de schimbări arhitecturale și probleme de personal, care cred că face ca costurile să fie prohibitive ca strategie."

Cu toate acestea, Pike vede potențialul pentru Zero Trust în telecomunicații și IDM. "Cred că există componente care pot fi adoptate cu ușurință astăzi, care nu vor necesita schimbări de arhitectură en-gros - identitate, de exemplu", a spus Pike. "În timp ce sunt asociați, sentimentul meu puternic este că adopția nu este neapărat o mișcare strategică către Zero Trust, ci mai degrabă o mișcare pentru a aborda noi modalități în care utilizatorii se conectează și nevoia de a se îndepărta de sistemele bazate pe parolă și de a îmbunătăți gestionarea accesului", a adăugat Pike. a explicat.

Deși Zero Trust poate fi interpretat ca un pic al unui concept de marketing care repetă unele dintre principiile standard ale securității cibernetice, cum ar fi faptul că nu au încredere pe participanții la rețeaua dvs. și trebuie să verifice utilizatorii, dar servește un scop ca un plan de joc, potrivit specialiștilor. "Sunt un mare susținător pentru Zero Trust, să mă îndrept spre acest tip de mantră singulară și strategică și să favorizez acest lucru în cadrul organizației", a spus Cunningham Forrester.

Ideile Zero Trust introduse de Forrester în 2010 nu sunt noi pentru industria cibersecurității, a menționat John Pescatore, directorul Tendințelor de securitate emergente la Institutul SANS, o organizație care oferă instruire și certificare în domeniul securității. „Aceasta este practic definiția standard a cibersecurității - încercați să faceți totul sigur, să segmentați rețeaua dvs. și să gestionați privilegiile utilizatorilor”, a spus el.

Pescatore a menționat că, în jurul anului 2004, o organizație de securitate acum defunctă, numită Forumul Jericho, a introdus idei similare ca Forrester în ceea ce privește „securitatea cu perimetru” și a recomandat să permită doar conexiuni de încredere. "Este un fel de a spune:„ Mutați-vă undeva care nu are criminali și vreme perfectă și nu aveți nevoie de un acoperiș sau de uși pe casa dvs. ", a spus Pescatore. "Zero Trust măcar readus în sensul comun de segmentare - întotdeauna segmentați de pe internet cu un perimetru."

• Dincolo de perimetru: Cum să abordați securitatea stratificată dincolo de perimetru: cum să abordați securitatea stratificată
• NYC Venture caută să stimuleze locuri de muncă, inovația în securitate cibernetică NYC Venture caută să stimuleze locuri de muncă, inovație în cybersecurity
• Cum să vă pregătiți pentru următoarea dvs. încălcare de securitate Cum să vă pregătiți pentru următoarea dvs. încălcare de securitate

Ca o alternativă la modelul Zero Trust, Pescatore a recomandat urmarea controalelor critice de securitate ale Centrului pentru Internet Security. În final, Zero Trust poate aduce cu siguranță beneficii în ciuda exageratului. Dar, după cum a menționat Pescatore, indiferent dacă se numește Zero Trust sau altceva, acest tip de strategie necesită în continuare controale de bază.

„Nu schimbă faptul că pentru a proteja afacerea, trebuie să dezvolți procese de bază și controale de igienă de securitate, precum și personalul calificat pentru a le menține funcționând eficient și eficient”, a spus Pescatore. Aceasta este mai mult decât o investiție financiară pentru majoritatea organizațiilor și este una dintre companii care va trebui să se concentreze pentru a avea succes.