Model Zero Trust získává Steam s odborníky na bezpečnost

'Nikdy nevěř; vždy ověřit.“ Zní to jako zdravý rozum, že? To je motto strategie zvanéNulová důvěra, která se ve světě kybernetické bezpečnosti prosazuje . Zahrnuje IT oddělení, které ověřuje všechny uživatele před udělením přístupových oprávnění. Efektivní správa přístupu k účtům je důležitější než kdy dříve, protože 58 procent malých a středních podniků (SMB) vytváří přehledy.úniky datv roce 2017, podle Zpráva Verizon o vyšetřování narušení dat za rok 2018 .



The Nulová důvěra koncept byl založen Johnem Kindervagem, bývalým analytikem společnosti Forrester Research a nyní provozním ředitelem Palo Alto Networks . „Musíme začít dělat skutečnou strategii, a to je to, co Zero Trust umožňuje,“ řekl Kindervag publiku 30. října na Summitu SecurIT Zero Trust v New Yorku. Dodal, že myšlenka nulové důvěry vznikla, když se posadil a skutečně zvážil koncept důvěry a jak jsou to zákeřní aktéři, kteří obecně těží z toho, že společnosti důvěřují stranám, které by neměly.

Dr. Chase Cunningham se stal Kindervagovým nástupcem jako hlavní analytik společnosti Forrester v prosazování přístupu nulové důvěry. 'Nulová důvěra je to, co v těchto dvou slovech znamená nevěřit ničemu, nedůvěřovat správě hesel, nevěřit přihlašovacím údajům, nedůvěřovat uživatelům a nedůvěřovat síti,' řekl Cunningham Garonovi na Zero Trust. Summit.





Kindervag použil příklad americké tajné služby k ilustraci toho, jak by organizace měla sledovat, co musí chránit a kdo potřebuje přístup. 'Neustále monitorují [ochranný povrch] a aktualizují tyto ovládací prvky, aby mohli kontrolovat, co v kteroukoli dobu prochází mikroobvodem, ' řekl Kindervag. „Toto je metoda nulové důvěry pro výkonnou ochranu. Je to nejlepší vizuální příklad toho, o co se v Zero Trust snažíme.“

John Kindervag



John Kindervag, provozní technický ředitel v Palo Alto Networks (kredit: Centrify)

Lekce nulové důvěry získané na OPM

Dokonalý příklad toho, jak může Zero Trust fungovat ve prospěch organizací, přišel od bývalého ředitele IT federální vlády USA. Dr. Tony Scott, který zastával úřad amerického CIO v letech 2015 až 2017, popsal na summitu Zero Trust Summit velké narušení dat, ke kterému došlo v roce 2014 v americkém Úřadu pro personální management (OPM). K porušení došlo v důsledku zahraniční špionáže. ve kterých byly osobní údaje a základní informace o bezpečnostní prověrce ukradeno pro 22,1 milionů lidí spolu s údaji o otiscích prstů na 5,6 milionu jednotlivců. Scott popsal, jak by k odvrácení tohoto narušení byla nezbytná nejen kombinace digitálního a fyzického zabezpečení, ale také účinné uplatňování zásady nulové důvěry.

dotykový lenovo y70-70

Když se lidé ucházeli o práci v OPM, vyplnili vyčerpávající dotazník Standard Form (SF) 86 a data by byla střežena v jeskyni ozbrojenými strážemi a tanky, řekl. „Kdybys byl cizí entita a chtěl bys ukrást ty informace, musel bys proniknout do této jeskyně v Pensylvánii a dostat se přes ozbrojené stráže. Pak byste museli odjet s náklaďáky papíru nebo mít velmi rychlý stroj Xerox nebo tak něco,“ řekl Scott.

'Bylo by monumentální pokusit se o útěk s 21 miliony záznamů,' pokračoval. „Ale pomalu, jak automatizace vstoupila do procesu OPM, začali jsme tyto věci vkládat do počítačových souborů na magnetická média a tak dále. Díky tomu bylo mnohem snazší krást.“ Scott vysvětlil, že OPM nedokázala najít ekvivalentní typ účinného zabezpečení jako ozbrojené stráže, když agentura přešla na digitální vysílání. Po útoku Kongres zveřejnil zprávu vyzývající ke strategii Zero Trust na ochranu těchto typůporušenív budoucnu.

elipsa 8 tipů a triků

„Aby agentury bojovaly s pokročilými přetrvávajícími hrozbami, které se snaží kompromitovat nebo zneužít federální vládní IT sítě, měly by přejít k modelu informační bezpečnosti a architektury IT s „nulovou důvěrou,“ pošta o Zero Trust v té době, původně zveřejněné Federal News Radio. „Úřad pro řízení a rozpočet (OMB) by měl vyvinout pokyny pro výkonná oddělení a vedoucí agentur, aby efektivně implementovali Zero Trust spolu s opatřeními pro vizualizaci a protokolování veškerého síťového provozu,“ napsal Chaffetz.

Nulová důvěra ve skutečný svět

V reálném příkladu implementace Zero Trust společnost Google interně nasadila iniciativu s názvem BeyondCorp určené k přesunu řízení přístupu z perimetru sítě na jednotlivá zařízení a uživatele. Administrátoři mohou použít BeyondCorp jako způsob, jak vytvořit podrobné zásady řízení přístupu pro Google Cloud Platform a Google G Suite na základě IP adresy, stavu zabezpečení zařízení a identity uživatele. Společnost s názvem Luminate poskytuje zabezpečení Zero Trust jako službu založenou na BeyondCorp. Luminate Secure Access Cloud ověřuje uživatele, ověřuje zařízení a nabízí motor, který poskytuje skóre rizika, které autorizuje přístup aplikací.

„Naším cílem je bezpečně poskytnout přístup každému uživateli, z jakéhokoli zařízení, k jakémukoli podnikovému prostředku bez ohledu na to, kde je hostován, v cloudu nebo v prostorách, aniž by bylo nutné nasazovat agenty do koncového bodu nebo zařízení, jako je např.virtuální privátní sítě(VPN),firewallynebo servery proxy na cílovém webu,“Michael Dubinsky, vedoucí produktového managementu společnosti Luminate, řekl Garonovina Konference Hybrid Identity Protection (HIP) 2018 (HIP2018) v NYC.

Klíčovou IT disciplínou, ve které se Zero Trust rychle prosazuje, je správa identit. Je to pravděpodobně proto, že 80 procent porušení je způsobeno zneužitím privilegovaných přihlašovacích údajů, podle ' Forrester Wave: Privileged Identity Management, Q3 2016 ' zpráva. Systémy, které řídí autorizovaný přístup do podrobnějšího stupně, mohou pomoci těmto incidentům předejít.

Prostor pro správu identit není novinkou a existuje dlouhý seznam společností, které taková řešení nabízejí, přičemž pravděpodobně nejrozšířenější je Microsoft a jeho platforma Active Directory (AD), která je zabudována do stále oblíbeného operačního systému Windows Server ( OS). Existuje však spousta novějších přehrávačů, které mohou nabídnout nejen více funkcí než AD, ale mohou také usnadnit implementaci a údržbu správy identit. Mezi takové společnosti patří hráči jako Centrify, Idaptive, Okta a SailPoint Technologies.

A zatímco ti, kteří již investovali do systému Windows Server, se možná zdráhají zaplatit více za technologii, do které se domnívají, že již investovali, hlubší a lépe udržovaná architektura správy identit může přinést velké dividendy v podobě zmařených porušení a auditů dodržování předpisů. Navíc náklady nejsou příliš vysoké, i když mohou být značné. Například, Centrify Infrastructure Services začíná na 22 $ měsíčně za systém.

Přístup k privilegiím s nulovou důvěrou – Centrify

Jak funguje nulová důvěra

'Jednou z věcí, které Zero Trust dělá, je definování segmentace sítě,' řekl Kindervag. Segmentace je klíčovým pojmem jak ve správě sítě, tak v kybernetické bezpečnosti. Zahrnuje rozdělení počítačové sítě do podsítí, ať už logicky nebo fyzicky, za účelem zlepšení výkonu a zabezpečení.

Architektura Zero Trust se posouvá za rámec a obvod model, který zahrnuje fyzické umístění sítě. Zahrnuje to 'posunutí perimetru dolů k entitě,' řekl Cunningham.

'Entitou může být server, uživatel, zařízení nebo přístupový bod,' řekl. 'Spíšeš stlačíš ovládání na mikroúroveň, než abys si myslel, že jsi postavil opravdu vysokou zeď a že jsi v bezpečí.' Cunningham popsal firewall jako součást typického perimetru. 'Je to problém přístupu, strategie a perimetru,' poznamenal. 'Vysoké zdi a jedna velká věc: prostě nefungují.'

Podle Dannyho Kibela, nového generálního ředitele společnosti, bylo k získání přístupu k síti starým aspektem zabezpečení používání směrovačů. Adaptivní , společnost pro správu identit, která se odštěpuje od Centrify. Před Zero Trust by společnosti ověřovaly a poté důvěřovaly. Ale s nulovou důvěrou „vždy ověřujete, nikdy nedůvěřujte,“ vysvětlil Kibel.

Idaptive nabízí platformu Next-Gen Access, která zahrnuje Sjednotné přihlášení(SSO), adaptivní vícefaktorové ověřování (MFA) a správa mobilních zařízení (MDM). Služby, jako je Idaptive, poskytují způsob, jak vytvořit nezbytně podrobné kontroly přístupu. Můžete zřídit nebo zrušit poskytování podle toho, kdo potřebuje přístup k různým aplikacím. 'Dává organizaci jemnou schopnost kontrolovat svůj přístup,' řekl Kibel. 'A to je velmi důležité pro organizace, se kterými se setkáváme, protože v oblasti neoprávněného přístupu dochází k velkému rozrůstání.'

Business - Statista - Celosvětové výdaje na zabezpečení v segmentu správy přístupu k identitám

Lenovo Tab A8-50

Kibel definoval přístup společnosti Idaptive k Zero Trust se třemi kroky: ověření uživatele, ověření jeho zařízení a teprve poté povolení přístupu k aplikacím a službám pouze tomuto uživateli. „Máme několik vektorů pro posouzení chování uživatele: poloha, geo-rychlost [vzdálenost mezi vaší aktuální polohou a místem, kde jste se naposledy přihlásili], denní doba, čas v týdnu, jaký typ aplikace používáte, a dokonce v některých případech, jak tu aplikaci používáte,“ řekl Kibel. Idaptive monitoruje úspěšné a neúspěšné pokusy o přihlášení, aby zjistil, kdy je třeba znovu aktivovat ověření nebo zcela zablokovat uživatele.

30. října společnost Centrify představila přístup k kybernetické bezpečnosti tzv Privilegium nulové důvěry ve kterých společnosti poskytují nejméně privilegovaný přístup a ověřují, kdo o přístup žádá. Čtyři kroky procesu Zero Trust Privilege zahrnují ověření uživatele, nahlédnutí do kontextu požadavku, zabezpečení administrátorského prostředí a udělení co nejmenšího množství oprávnění. Přístup Zero Trust Privilege společnosti Centrify zahrnuje postupný přístup ke snižování rizika. Přináší také přechod ze staršího Privileged Access Management (PAM), což je software, který společnostem umožňuje omezit přístup k novějším typům prostředí, jako jsou cloudové úložné platformy, projekty velkých dat a dokonce pokročilé projekty vývoje vlastních aplikací běžící na podnikové úrovni. web hosting zařízení.

Model Zero Trust předpokládá, že hackeři již přistupují k síti, řekl Tim Steinkopf, prezident Centrify. Strategie boje proti této hrozbě by podle Steinkopfa spočívala v omezení bočního pohybu a aplikaci MFA všude. „Kdykoli se někdo pokouší získat přístup k privilegovanému prostředí, musíte mít okamžitě správné přihlašovací údaje a správný přístup,“ řekl Steinkopf Garonovi. 'Způsob, jak to vynutit, je konsolidovat identity, a pak potřebujete kontext žádosti, což znamená kdo, co, kdy, proč a kde.' Poté udělíte pouze nezbytně nutné množství přístupu, řekl Steinkopf.

'Berete kontext uživatele, v takovém případě to může být lékař, sestra nebo to může být jiná osoba, která se pokouší získat přístup k datům,' řekl Dubinský. 'Vezmete kontext zařízení, ze kterého pracují, vezmete kontext souboru, ke kterému se snaží získat přístup, a na základě toho musíte učinit rozhodnutí o přístupu.'

Michael Dubinsky, vedoucí produktového managementu, Luminate

Michael Dubinsky, vedoucí produktového managementu společnosti Luminate (kredit: Semperis )

MFA, Zero Trust a Best Practices

Klíčovým aspektem modelu Zero Trust je silná autentizace, jejíž součástí je umožnění více faktorů autentizace, poznamenala Hed Kovetz, generální ředitelka a spoluzakladatelka společnosti Silverfort , která nabízí MFA řešení. Vzhledem k nedostatku perimetrů v éře cloudu je potřeba autentizace větší než kdy jindy.„Schopnost dělat MFA čehokoli je téměř základním požadavkem Zero Trust a dnes je to nemožné, protože Zero Trust vychází z myšlenky, kde už neexistují žádné perimetry,“ řekl Kovetz Garonovi na HIP2018. 'Takže cokoli je spojeno s čímkoli a v této realitě nemáte bránu, na kterou byste mohli aplikovat kontrolu.'

Dr. Chase Cunningham

videa ke shlédnutí na lsd

Doporučeno našimi redaktory

Beyond the Perimeter – Jak řešit vrstvené zabezpečení Beyond the Perimeter: Jak řešit vrstvené zabezpečení IT Watch – Hack proti kyberzločinuJak se připravit na další narušení bezpečnosti Zero Trust - Data BreachNYC Venture se snaží podnítit pracovní místa, inovace v kybernetické bezpečnosti

Dr. Chase Cunningham, hlavní analytik společnosti Forrester Research (Úvěr: Centrify)

Forrester's Cunningham nastínil strategii tzv Zero Trust eXtended (XTX) k mapování rozhodnutí o nákupu technologií na strategii Zero Trust. 'Skutečně jsme se podívali na sedm ovládacích prvků, které potřebujete k bezpečnému řízení prostředí,' řekl Cunningham. Těmito sedmi pilíři jsou automatizace a organizace, viditelnost a analýza, pracovní zátěž, lidé, data, sítě a zařízení. Aby byl systém nebo technologie platformou ZTX, měly by spolu tři z těchto pilířůrozhraní pro programování aplikacíschopnosti (API). Několik dodavatelů, kteří nabízejí bezpečnostní řešení, zapadá do různých pilířů rámce. Centrify nabízí produkty, které řeší bezpečnost lidí a zařízení, Palo Alto Networks a Cisco nabízejí síťová řešení a řešení IBM Security Guardium se zaměřují na ochranu dat, poznamenal Cunningham.

Model Zero Trust by měl také zahrnovat šifrované tunely, dopravní cloud a šifrování založené na certifikátech, řekl Steinkopf. Pokud odesíláte data z iPadu přes internet, pak chcete ověřit, zda má příjemce oprávnění k přístupu, vysvětlil. Implementace nových technologických trendů, jako jsou kontejnery a DevOps, může podle Steinkopfa pomoci v boji proti zneužívání privilegovaných pověření. Popsal také cloud computing jako v popředí strategie Zero Trust.

Dubinsky z Luminate souhlasí. Pro malé a střední podniky, když se obrátí na cloudovou společnost, která poskytuje správu identit nebo MFA jako službu, přenese tyto bezpečnostní odpovědnosti na společnosti, které se na danou oblast specializují.'Chcete přeložit co nejvíce peněz společnostem a lidem, kteří jsou odpovědní za [bezpečnost] jako svou každodenní práci,' řekl Dubinsky.

kryt moshi sense na iphone 6

Potenciál rámce nulové důvěry

I když odborníci uznali, že společnosti přecházejí na model Zero Trust, zejména v oblasti správy identit, někteří nevidí potřebu velkých změn v bezpečnostní infrastruktuře, aby bylo možné přijmout Zero Trust. 'Nejsem si jistý, že je to strategie, kterou bych dnes chtěl přijmout na jakékoli úrovni,' řekl Sean Pike, programový viceprezident skupiny bezpečnostních produktů IDC. „Nejsem si jistý, že kalkul ROI [návratnost investic] existuje v časovém rámci, který dává smysl. Existuje řada architektonických změn a personálních problémů, které podle mě činí náklady jako strategii neúměrné.“

Pike však vidí potenciál pro Zero Trust v telekomunikacích a IDM. 'Myslím si, že existují komponenty, které lze dnes snadno převzít a které nebudou vyžadovat rozsáhlé změny architektury - například identitu,' řekl Pike. „I když jsou spojeni [s nulovou důvěrou], mám silný pocit, že adopce není nutně strategickým krokem k nulové důvěře, ale spíše krokem k řešení nových způsobů připojení uživatelů a potřeby opustit systémy založené na heslech a zlepšit správa přístupu,“ vysvětlil Pike.

Přestože lze nulovou důvěru interpretovat jako trochu marketingový koncept, který opakuje některé ze standardních principů kybernetické bezpečnosti, jako je nedůvěřování účastníkům vaší sítě a potřeba prověřovat uživatele, podle odborníků to slouží jako herní plán. . 'Jsem velkým zastáncem nulové důvěry, posunu k tomuto jedinečnému, strategickému druhu mantry a prosazování toho v rámci organizace,' řekl Cunningham z Forrester.

Myšlenky Zero Trust představené společností Forrester v roce 2010 nejsou v odvětví kybernetické bezpečnosti nové, poznamenal John Pescatore, ředitel pro vznikající bezpečnostní trendy BEZ Institutu , organizace, která poskytuje bezpečnostní školení a certifikace. „To je v podstatě standardní definice kybernetické bezpečnosti – snažte se vše zabezpečit, segmentovat síť a spravovat uživatelská oprávnění,“ řekl.

Pescatore poznamenal, že kolem roku 2004 dnes již neexistující bezpečnostní organizace s názvem Jericho Forum představila podobné myšlenky jako Forrester týkající se „bezpečnosti bez obvodu“ a doporučila povolit pouze důvěryhodná připojení. 'Je to něco jako říkat: 'Přestěhujte se někam, kde nejsou žádní zločinci a kde není dokonalé počasí a nepotřebujete na svém domě střechu ani dveře,' řekl Pescatore. 'Nulová důvěra se alespoň vrátila ke zdravému smyslu pro segmentaci - vždy segmentujete z internetu pomocí perimetru.'

Jako alternativu k modelu Zero Trust Pescatore doporučil následovat Centrum pro kritické bezpečnostní kontroly pro Internet Security . V konečném důsledku může Zero Trust určitě přinést výhody i přes humbuk. Ale jak poznamenal Pescatore, ať už se to nazývá Zero Trust nebo nějak jinak, tento typ strategie stále vyžaduje základní ovládání.

'To nic nemění na tom, že k ochraně podniku musíte vyvinout základní bezpečnostní hygienické procesy a kontroly a také mít kvalifikovaný personál, který zajistí jejich efektivní a efektivní provoz,' řekl Pescatore. To je pro většinu organizací více než finanční investice a je to investice, na kterou se společnosti budou muset zaměřit, aby uspěly.

Doporučená