Zero Trust - czym jest i jak poprawia bezpieczeństwo?

Zero trust to termin, który definiuje zbiór zasad dotyczących współczesnych metod zabezpieczenia organizacji przed atakami cybernetycznymi. Zakłada on przeniesienie odpowiedzialności za bezpieczeństwo organizacji z tradycyjnego modelu, gdzie sieć ograniczona była za pomocą granic zaufanych lokalizacji do modelu, w którym to każde urządzenie i użytkownik czy usługa, muszą zażądać dostępu do danego zasobu i przeprowadzić uwierzytelnienie.

Głównym motorem napędowym do stworzenia zasad zero trust była odpowiedź na trendy współczesnego rynku. Organizacje coraz chętniej przechowują swoje dane w chmurach publicznych, użytkownicy coraz częściej do pracy wykorzystują swoje własne urządzenia (BYoD) i pracują z różnych lokalizacji. COVID-19 i trwające lockdowny pomogły organizacjom w przyśpieszeniu adopcji tego modelu pracy, umożliwiając pracownikom pracę ze swoich domów na swoich prywatnych komputerach.

Założenia architektury zero trust

Jednoznaczna weryfikacja – decyzje dotyczące bezpieczeństwa zawsze powinny być oparte na wszystkich możliwych danych, takich jak tożsamość, lokalizacja, stan urządzenia, klasyfikację danych i wszystkie anomalie, które zostaną wychwycone. Przykładem będzie tutaj sprawdzenie poprzez MFA, czy użytkownik próbujący otworzyć plik na zasobie sieciowym, jest tym, za kogo się podaje.

Just-in-Time/Just-enough-access – dostęp do zasobów powinien zostać przyznany do zasobów wyłącznie na czas potrzebny na wykonanie operacji na zasobach, wyłącznie na prawach potrzebnych do wykonania niezbędnych operacji. Dobrym przykładem wykorzystania takiego sposobu pracy będzie na przykład, znane z Linuxa polecenie sudo.

Załóż włamanie – Dostęp do zasobów powinien być maksymalnie ograniczany przez mikro segmentację, dane powinny być szyfrowane pomiędzy urządzeniami końcowymi, urządzenia powinny być zabezpieczone dodatkowym oprogramowaniem monitorującym zagrożenia i automatycznie je neutralizującymi.

Bezpieczeństwo organizacji jest wielowymiarowe i opiera się na uzupełniających się wzajemnie płaszczyznach. Na jakie punkty bezpieczeństwa musimy zwrócić więc szczególną ostrożność? Zdefiniujmy je więc.

Komponenty architektury Zero Trust

Tożsamość

Niezależnie, czy zdefiniujemy ją jako użytkownika, urządzenie końcowe, urządzenie IoT czy konto serwisowe, to właśnie tożsamość jest głównym punktem kontroli. Kiedy tożsamość próbuje uzyskać dostęp do zasobu, musimy zweryfikować, że nastąpiło uwierzytelnianie z wykorzystaniem silnych metod (token, klucz SSH). Musimy także sprawdzić, czy dana próba dostępu do danych nie budzi podejrzeń (logowanie z egzotycznej lokalizacji, próba dostępu do API). Należy także sprawdzić, czy wykorzystujemy do tego celu odpowiedni poziom uprawnień.

Urządzenia końcowe

Weryfikacja tożsamości i uzyskanie dostępu do zasobów wyzwala komunikację pomiędzy wieloma urządzeniami (urządzenia IoT, smartfony, urządzenia użytkowników, urządzenia sieciowe, serwery). Ze względu na tą różnorodność, musimy szyfrować komunikację i zapewnić bezpieczeństwo każdego z urządzeń. Monitorowanie kondycji urządzeń końcowych i ochrona ich przed zagrożeniami staje się kluczowa dla zapewnienia bezpiecznego dostępu do danych.

Aplikacje

Aplikacje i interfejsy API stanowią podstawowe interfejsy komunikacyjne narzędzi informatycznych. Zaliczamy tutaj zarówno aplikacje hostowane w infrastrukturze organizacji, jak i aplikacje działające w chmurze, niezależnie od ich typu. Kontrola dostępu do aplikacji jest kluczowa dla zapewnienia bezpieczeństwa organizacji, poprzez wykrywanie nieupoważnionego dostępu i dbanie o aktualność używanych aplikacji. Dodatkowo, analiza w czasie rzeczywistym informacji o wykorzystaniu aplikacji, może pomóc wykryć podejrzaną aktywność i zapobiec atakom z wykorzystaniem skradzionych poświadczeń.

Dane

Ochrona danych firmowych jest jednym z najważniejszych celi stosowania architektury zero trust. Dane przetwarzane w organizacji powinny być chronione niezależnie od miejsca, w którym są przetwarzane, a polityki kontroli dostępu powinny zabezpieczać dane nawet w przypadku wycieków. Odpowiednia klasyfikacja wykorzystywanych danych, oznaczanie poufnych danych za pomocą etykiet i szyfrowanie przechowywanych danych to wyzwanie dla współczesnych organizacji. Narzędzia typu Azure Information Protection (AIP) pomagają jednak upraszczać ten proces.

Infrastruktura

Ataki na infrastrukturę są jednymi z najczęściej spotykanymi formami ataków na firmy. Ataki przez włamania/instalację ransomware/ataki DoS/DDoS są chyba najlepszymi przykładami ataków, z jakimi możemy się spotkać w ostatnich latach. Jak możemy zmniejszyć powierzchnię takiego ataku i zminimalizować jego skutki? Podobnie jak w przypadku ataków na sieci, poprzez zastosowanie mikro segmentacji, monitorowanie maszyn z wykorzystaniem narzędzi EDR/XDR, stosowanie ograniczonych praw dostępu i dostęp do maszyn tylko wtedy, kiedy jest to konieczne. Do tego celu możemy wykorzystać narzędzia PAM, które pozwolą nam na wykorzystanie JIT/JEA.

Sieć

Wszystkie dane są przesyłane przez infrastrukturę sieciową. Zapewnienie właściwej kontroli sieci pozwala na pełną kontrolę ruchu, co może nam pomóc w zwiększeniu widoczności i chroni przed atakami. Właściwe reguły dostępu oraz mikro segmentacja są niezbędne dla ochrony krytycznych zasobów. Zastosowanie monitorowania, ochrony przed zagrożeniami w czasie rzeczywistym i analiza ruchu wspierana uczeniem maszynowym może pomóc ochronić sieć. Najczęstszymi wskaźnikami ataków mogą być skany infrastruktury, próba odpytywania najczęściej wykorzystywanych portów.

Optymalizacja polityk

Istniejące polityki bezpieczeństwa firmy powinny podlegać ciągłej ewolucji i dopasowywaniu do nowych rodzajów ataków i zagrożeń. Powinny także być optymalizowane w oparciu o istniejące procesy biznesowe, zgodność z wymaganiami regulacyjnymi i komfortem pracy użytkowników.

Wymuszanie polityk

Nawet najlepsze polityki bezpieczeństwa nie dodają organizacji żadnej wartości, jeżeli ich wykorzystanie nie jest w żaden sposób egzekwowane. Zero trust zakłada ciągłą ewaluację wykorzystania polityk bezpieczeństwa. Jego uprawnienia, lokalizacja, zgodność urządzenia z politykami bezpieczeństwa i poufność danych, nad którymi pracuje powinny być w sposób ciągły sprawdzane. Dodatkowo, zbierana telemetria z wykorzystania zasobów, analiza ryzyka przed zagrożeniami i możliwość odpowiedzi w czasie rzeczywistym na pojawiające się zagrożenia powinny być analizowane i wykorzystywane do poprawy polityk bezpieczeństwa.

Ochrona przed zagrożeniami

Telemetria i analiza danych zbieranych na każdym punkcie dostępu do danych pozwala na wykrywanie podejrzanych i niestandardowych zachowań. Duża ilość zbieranych danych, wsparta uczeniem maszynowym i sztuczną inteligencją pozwala wskazywać istniejące zagrożenia i w sposób automatyczny bądź manualny rozwiązywane. Narzędzia do analizy zagrożeń powinny tutaj działać głównie w sposób automatyczny, informując administratorów o niewielkich odchyleniach, a w przypadku poważniejszych naruszeń blokować urządzenie do czasu rozwiązania problemu.

Czy moja organizacja jest gotowa na implementację architektury zero trust?

Odpowiedź na to pytanie nie jest tak prosta, jak może się to wydawać na początku. Implementacja architektury zero trust jest długim i skomplikowanym procesem, nie tylko od strony technicznej, ale w szczególności od strony użytkowników, którzy muszą nauczyć się nowego modelu pracy.

Musimy przede wszystkim pamiętać, że wdrażanie architektury zero trust jest procesem i tak należy go traktować. Procesem rzekłbym dość długim, mogącym trwać latami.

Ponieważ temat ten jest długi i nie do końca oczywisty, zostanie to opisane w kolejnym wpisie.

Czy zero trust jest opłacalne?

Implementacja zero trust, pomimo dość sporych kosztów początkowych, jeżeli chodzi o wdrożenie i szkolenie użytkowników, ale w dłuższej perspektywie pozwala firmie zapewnić bezpieczeństwo i ochronę przed wyciekami danych, co w konsekwencji przyczynia się do szybkiego zwrotu potencjalnych inwestycji. Jak podaje raport “The Total Economic Impact™ Of Zero Trust Solutions From Microsoft”, zwrot z inwestycji (RoI) po implementacji rozwiązań zero trust wynosi aż do 92%.

Ważniejszym jednak od chwilowego bilansu kosztów jest w mojej ocenie wpływ implementacji nowoczesnych rozwiązań jako platformy umożliwiającej przyszły rozwój organizacji.

Zero Trust – czym jest i jak poprawia bezpieczeństwo?

Czym jest Zero Trust?

Założenia architektury zero trust