07.10.2019

Никакого доверия: что такое концепция Zero Trust и для чего она нужна?

Zero Trust — одна из наиболее актуальных концепций по защите корпоративной ИТ-инфраструктуры. Delo.ua продолжает рассказывать о том, как уберечь себя и свой бизнес в 21 веке от кибератак

Все последние годы с ростом уровня цифровизации бизнеса растет и ущерб от киберпреступлений. По данным Cybersecurity Ventures, потери бизнеса от киберпреступности к 2021 году могут составить $6 триллионов. 

Однако системы обеспечения кибербезопасности, как и киберугрозы, тоже постоянно развиваются и эволюционируют. Так, еще в 2010 году Джон Киндерваг из Forrester Research впервые сформулировал концепцию Zero Trust — модель «нулевого доверия». Давайте разберемся, что лежит в ее основе. 

Главная проблема в обеспечении действительно надежной защиты IТ-инфраструктуры от современных целенаправленных кибератак состоит в том, что злоумышленники не ограничены во времени, и им достаточно быть успешными всего единожды. Поэтому логично, что от «безопасников» требуют обеспечивать стопроцентное предотвращение угроз. 

Разумеется, это невозможно. Уязвимости в программном обеспечении обнаруживаются постоянно, новые методы и тактики атак разрабатываются непрерывно, да и банальные ошибки и недочеты в конфигурации средств защиты из-за пресловутого человеческого фактора тоже представляют серьезную угрозу. Потому идея создания «непроходимого периметра» на самом деле, скорее, может навредить, чем помочь. 

Например, если в компании периметр сети достаточно хорошо защищен, всегда существует ненулевая вероятность, что злоумышленник проникнет внутрь при помощи взлома аккаунта какого-то сотрудника, например, с помощью таргетированной фишинговой атаки. И в этом случае хорошо защищенный периметр сети, уже наоборот, может сыграть отрицательную роль для службы безопасности, потому что та будет надеяться, что у неё «все хорошо». А злоумышленник, в свою очередь, получив доступ к сети, уже не будет встречать на своем пути практически никакого сопротивления. В итоге, средства, вложенные в создание «непроходимого периметра», окажутся потраченными впустую.

«Поэтому концепция Zero Trust — это не что-то новое, это просто более зрелый взгляд на то, как обеспечить надежное функционирование IT-сервисов, когда они находятся в условиях постоянной угрозы компрометации», — говорит Алексей Швачка, специалист и  технический директор компании «Октава Киберзахист». 

Согласно этой концепции, говорит Алексей Швачка, в корпоративной IТ-инфраструктуре необходимо реализовать подход, когда любое устройство или пользователь, который пытается получить доступ к каким-либо ресурсам, не считающимся по умолчанию безопасными, должен каждый раз проходить полную процедуру идентификации, а все его активности должны протоколироваться и находиться под постоянным мониторингом и контролем. 

Да, разумеется, это требует более серьезных инвестиций в кибербезопасность, чем просто покупка межсетевого экрана и антивируса. И, главное, это требует изменения подхода к процессам работы службы безопасности. Однако в результате бизнес не только получит повышение управляемости и прозрачности в IТ, но и сможет существенно снизить вероятность появления «Черного лебедя» — наступления условно неожиданного инцидента с тяжелыми последствиями. Почему «условно»? Потому что практически все подобного рода инциденты являются закономерным следствием недоработок и просчетов в прошлом. Самым ярким примером «Черного лебедя» в области кибербезопасности для Украины стала атака вируса-шифровальщика Petya/Nyetya в 2017 году.

Добавляет «градуса» и повсеместное размытие понятия периметра корпоративной сети. Здесь и мобильные сотрудники, и облачные сервисы, и многое другое. В таких условиях без принятия концепции Zero Trust уже просто не обойтись.

Теперь несколько слов о том, как и какими средствами ее можно реализовать на практике. Чтобы приблизиться к этому, необходимо прежде всего точно идентифицировать все имеющиеся у компании информационные активы, определить кто/что, с какими правами, в какое время, из какого места может иметь к ним доступ. Сама по себе эта задача довольно сложная, и, надо сказать, не разовая. То есть поддержание в актуальном состоянии перечня информационных активов должно быть постоянным процессом. То же касается и задачи мониторинга и контроля за всеми устройствами, пользователями и получаемыми ими доступами к активам — это тоже должен быть непрерывный процесс. Очевидно, что для этого необходимы инструменты, и они есть. 

Конечно, у каждой организации своя специфика, но у всех присутствуют автоматизированные рабочие места пользователей, есть администраторы, у подавляющего большинства есть понятие «внутренняя сеть», очень многие пользуются облачными сервисами (тот же Microsoft Office 365, например). Для ИТ-инфраструктуры подобного вида для приближения к реализации концепции Zero Trust вполне применимы будут такие классы решений, как:

➡️ Network Access Control (контроль доступа и микросегментация сети — например, Cisco ISE), 

➡️ Network Behavior Anomaly Detection (обнаружение аномалий в сетевой активности — например, Cisco StealthWatch),

➡️ Cloud Access Security Broker (обеспечение видимости и контроля доступа к облачным ресурсам — например, Cisco Cloudlock),

➡️ Multifactor Authentication (многофакторная аутентификация — например, ESET Secure Authentication),

➡️ Endpoint Detect and Response (своего рода антивирус нового поколения, позволяющий отслеживать неизвестный вредоносный код по вторичным признакам, в том числе без сигнатур — например, ESET Targeted Attack Protection),

➡️ User Entity Behavior Analysis (обнаружение аномального поведения пользователей и процессов на рабочих станциях — например, Splunk User Behavior Analytics),

➡️ Privilege Access Manager (протоколирование и контроль действий администраторов — например, WALLIX Admin Bastion). 

Для реализации задачи комплексного мониторинга всех событий в ИТ-инфраструктуре применяются SIEM-системы, предназначенные для сбора и корреляции журналов событий от всех источников в сети — от межсетевого экрана до последней рабочей станции (например, Splunk Enterprise Security). 

В идеале, более-менее полно реализовать концепцию Zero Trust в большой корпоративной инфраструктуре сможет хорошо оснащенный и с правильно выстроенными процессами Security Operation Center. Но это отдельная большая тема, и о ней — в другой раз.

Пока можно добавить только, что в последние несколько лет набирает обороты еще один класс решений по кибербезопасности, основанный на принципе активного введения в заблуждение атакующих сеть хакеров. Речь о технологии Deception, которая позволяет быстро развернуть множество ложных целей, имитирующих реальные активы организации — рабочие станции, сервера, банкоматы, SCADA-системы и другие, и  реагирующие всего лишь на единственную попытку получения несанкционированного доступа к ним, сколь бы осторожной она ни была.

Примером такого рода решения может быть система TrapX Deception Grid от израильской компании TrapX Security. Подход к применению технологии обмана злоумышленников уже довольно хорошо описан американским Department of Homeland Security, и называется концепция Moving Target Defence. Можно с уверенностью сказать, что она органично и бесшовно вписывается в концепцию Zero Trust.

Отдельно стоит отметить, что применение технологии Deception радикально нивелирует преимущества злоумышленника, проникшего в сеть и проводящего ее осторожную разведку. «Если в сети есть заведомо ложные цели, в этом случае злоумышленник будет ни в чем не уверен никогда, даже зная о факте наличия таких «мин», и теперь уже единственный неосторожный шаг самого хакера может привести к тому, что он попадется», — считает Алексей Швачка.

И напоследок. Нужно понимать, что даже при наличии продвинутых систем защиты не стоит забывать об обычных превентивных мерах, регулярно проводить тесты на проникновение и всегда придерживаться правил безопасности.