Zero Trust je sigurnosni koncept koji zahtjeva da se svi korisnici, čak i oni koji se nalaze unutar organizacije – autentificiraju, autoriziraju i opetovano validiraju sigurnosne konfiguracije prije nego im se odobri (ili zadrže) pristup datotekama ili aplikacijama.
Ovaj pristup zahtjeva korištenje naprednih tehnologija kao što su multifaktorska autentifikacija, upravljanje identitetom i pristupom (identity and access management – IAM) te endpoint security tehnologiju kako bi jamčile sigurnost sustava.
Zero trust predstavlja značajan odmak od tradicionalnog osiguranja mreže, koji slijedi metodu „trust but verify“ (vjeruj ali potvrdi). Tradicionalni pristup prema kojem sustav automatski vjeruje korisnicima i endpointovima unutar perimetara organizacije, dovodi organizaciju u pred rizik od malicioznih internih korisnika i dopušta neautoriziranim korisnicima širok pristup informacijama jednom kad uđu u sustav.Međutim, Zero Trust može biti uspješan jedino ako su organizacije sposobne kontinuirano i neprekidno pratiti i validirati korisnika i njegov uređaj, odnosno provjeravati da ima prave privilegije i atribute. Napraviti samo jednu validaciju i nakon toga koristiti sve resurse dostupne u mreži, jednostavno nije dovoljno. Čak i autorizirani korisnici podložni su izmjenama prava koje treba popratiti.
Kao rezultat, organizacije se moraju osigurati da se svi zahtjevi za pristup mreži i podatcima unutar nje kontinuirano prilagođavaju prije nego se korisnicima dozvoli pristup podatcima.
Upravo radi ovoga se zero trust politike odnose na vidljivosti korisničkih atributa u stvarnom vremenu i to:
- Korisničkog identiteta
- Vrsti endpoint hardvera
- Verziji firmwarea
- Verzijama operativnog sustava
- Razini patcheva (zakrpa)
- Ranjivostima
- Instaliranim aplikacijama
- Korisničkom loginu
- Detekciji sigurnosti i incidenata
Osim toga, organizacija bi trebala dobro poznavati svoju mrežnu strukturu i privilegije pristupa kako bi uspješno zauzdala potencijalne napade i smanjila štetu ako do proboja ipak dođe.
Odakle termin „Zero Trust“
John Kindervag, industrijski analitičar tvrtke Forrester (tvrtke koja se bavi istraživanjem i izradom tehnoloških izvještaja) ponovno je popularizirao termin „zero trust“. Prva osoba koja ga je osmislila bio je Stephen Paul Marsh i to 1994. godine u svojoj doktorskoj tezi na temu računalne sigurnosti. Ova pretpostavka se temeljila na činjenici da tradicionalni sigurnosni modeli funkcioniraju po zastarjeloj pretpostavci da bi se svim članovima organizacije automatski trebalo vjerovati.Moto „zero trust“ arhitekture tako je postao „never trust, always verify“ (nikad ne vjeruj, uvijek verificiraj).
Koja je važnost Zero Trusta
Zero Trust je jedan od najefikasnijih načina na koji organizacije mogu kontrolirati pristup svojoj mreži, aplikacijama i podatcima. Kombinira širok spektar preventivnih tehnika uključjući: verifikaciju identiteta, mikrosegmentaciju, endpoint security kako bi odbio potencijalne napadače i ograničio njihov pristup u slučaju malicioznog proboja.
Ovaj dodatni aspekt osiguranja kritičan je, kako tvrtke povećavaju broj endpointova unutar svojih mreža te šire svoje infrastrukture na aplikacije i servere bazirane na cloud tehnologiji. Oba ova trenda otežavaju uspostavljanje, praćenje i održavanje sigurnosnih perimetara. Osim toga, ovakve sigurnosne strategije posebno su važne tvrtkama koje imaju globalnu radnu snagu te nude mogućnost remote rada.
Segmentiranjem mreže i ograničavanjem korisničkih pristupa, zero trust osiguranje pomaže organizacijama da upravljaju potencijalnim sigurnosnim probojima. Ovo je važna sigurnosna mjera jer su upravo neki od najsofisticiranijih i bili orkestrirani od strane internih korisnika.
Stvarni primjer krađe povjerljivih podataka od strane zaposlenika – General Electric i krađa radi postizanja poslovne prednosti
Što se dogodilo? Dva zaposlenika tvrtke General Electric ukrali su podatke o naprednim računalnim modelima za kalibraciju turbina koje tvrtka proizvod. Također su ukrali i marketinške i informacije o formiranju cijena za promoviranje ove usluge.S ukradenim intelektualnim vlasništvom, jedan od zaposlenika pokrenuo je novu tvrtku koja je ulazila u iste tendere za kalibraciju turbina kao i GE.
Koje su bile posljedice?General Electric izgubio je nekoliko tendera koji su se odnosili na kalibraciju turbina i to od novog konkurenta. Kad su shvatili da je taj novi konkurent njihov bivši zaposlenik, prijavili su incident FBI-u. U 2020. godini i nakon nekoliko godina opsežne istrage, bivši zaposlenici su osuđeni na kaznu zatvora i plaćanje 1,4 milijuna USD odštete bivšoj tvrtki.
Niti jedan od ovih malicioznih napada nije uzrokovao nikakav odgovor sigurnosnog sustava General Electrica. Pokretanje zero trusta, odnosno upravljanjem pristupu i aktivnostima korisnika – pomogao bi General Electricu da: onemogući ili u slučaju proboja puno brže detektira ovaj sigurnosni propust i tako skrati istragu brzim prikupljanjem podataka.
Prevencija kibernetičkih napada
Multifaktorska autentifikacija (MFA) jedan je od najčešćih načina potvrde identiteta korisnika i unapređenja sigurnosti mreže. MFA se oslanja na dva ili više dokaza (sigurnosna pitanja, e-mail/sms konfirmacija..) putem kojih se korisnik validira. Količina autentifikacijskih faktora koje neka organizacija koristi direktno je proporcionalna mrežnoj sigurnosti. U prijevodu – inkorporacija više autentifikacijskih točaka pomoći će jačanju generalne sigurnosti organizacije.Zero Trust također sprečava napade kroz korištenje principa najniže privilegije pristupa. To znači da organizacija dopušta najnižu moguću razinu pristupa svakom pojedinom korisniku. U slučajevima proboja, ovaj pristup pomaže u ograničavanju latelarnih kretnji kroz mrežu i minimizira obujam napada.
Zero trust model također koristi mikrosegmentaciju – sigurnosnu tehniku koja uključuje podjelu parametara u male zone kako bi se održao odvojeni pristup svakom dijelu mreže. Na ovaj način potencijalni maliciozni napadi lakše se ograničavaju. Ako i dođe do proboja, hakeru nije toliko jednostavno istraživati sustav izvan mikrosegmenta.
Omogućavanje real-time monitoringa kako bi se maliciozna aktivnost brzo identificirala
Zero trust model u svojoj prirodi vrlo je preventivan i organizacije bi također trebale inkorporirati nadzor u stvarnom vremenu. Na taj način smanjuju svoj „breakout time“ odnosno vremenski period između trenutka kad napadač provali u sustav i trenutka kad može prijeći na druge sustave mreže. Monitoring u stvarnom vremenu ključan je za sposobnost organizacije da detektira, istraži i brzo sanira upade.
Primjena šire strategije osiguranja
Zero trust arhitektura samo je jedan aspekt sveobuhvatne sigurnosne strategije. Iako tehnologija igra važnu ulogu u zaštiti organizacije, same digitalne sposobnosti nisu dovoljne da spriječe proboje. Tvrtke bi trebale osmisliti holistička sigurnosna rješenja koja uključuju spektre endpoint monitoringa, detekcije i mogućnosti odgovora koja jamče sigurnost njihovih mreža.
Kako postići Zero Trust?
Svaka organizacija ima svoje jedinstvene potrebe. Kako bi razvila i pokrenula zero trust model, preporučuje se sljedeće:
1.Pristup organizacijiDefinicija površine koja se štiti i identifikacija osjetljivih podataka, aplikacija i usluga unutar ovog frameworka. Potrebno je procijeniti trenutni sigurnosni pristup organizaciji i identificirati bilo kakve probleme u infrastrukturi. Također je potrebno osigurati da je najkritičnijim podatcima dodijeljen najviši nivo zaštite unutar sigurnosne infrastrukture.
2.Stvaranje direktorija svih korištenih sredstava i mapiranje tijeka transakcijaDefinirajte gdje se nalaze osjetljive informacije i koji im korisnici moraju pristupiti. Razmotrite načine na koje razne komponente komuniciraju jedna s drugom kako biste osigurali kompatibilnost u sigurnosnoj kontroli pristupa između ovih resursa.
3. Ustanovite miks preventivnih mjeraOsmislite preventivne mjere koje će odbiti napadače ili smanjiti njihov domet u slučaju proboja. Ove mjere mogu uključivati:
- Multifaktorsku autentifikaciju: MFA. 2FA ili trofaktorska autentifikacija koje su ključne za postizanje zero trusta. Ove kontrole omogućavaju još jedan sloj verifikacije za svakog korisnika unutar i izvan organizacije.
- Princip najmanje privilegije: jednom kad organizacija utvrdi gdje se nalaze njezini povjerljivi podatci – korisniku se omogućava pristup najniže moguće razine za njihovu ulogu
- Mikrosegmentacija: mikro-perimetri ponašaju se kao granična kontrola unutar sustava i sprečavaju bilo kakav neautorizirani lateralni pomak. Organizacija može napraviti segmentaciju temeljenu na korisničkim grupama, lokaciju ili logički grupiranim aplikacijama.
Saznajte gdje se događa neuobičajena aktivnost i pratite sve oko nje. Istražite, analizirajte i zabilježite sav promet i podatke bez prekida.
Izazovi Zero Trusta
Za istinsko shvaćanje zero trusta, moramo shvatiti i izazove na koje organizacije nailaze pri implementaciji zero trust frameworka.
Ovo su neki od primjera:
- Zastarjeli sustavi, administrativni alati i protokoli dio su mrežnih operacija organizacija. Primjerice Mainframe I HR sustavi često su isključeni iz zero trust arhitekture. Bez obzira na to, oni su esencijalni alati za protokole kao što je NTLM (koji je zastario i trebao je odavno nestati, ali i dalje egzistira.)
Tradicionalno ne mogu se ovi svi sustavi štititi putem verifikacije identiteta što predstavlja potencijalnu skupu prepreku (često je preskupo arhitektonski mijenjati ove sustave). U puno slučajeva, ovakvi zastarjeli sustavi isključeni su iz zero trust pristupa što ih čini najslabijom karikom. U ostalim slučajevima, sigurnosni timovi kreiraju nekonzistentno korisničko iskustvo ili u nekim slučajevima brane korištenje alata, što posljedično smanjuje produktivnost zaposlenika.
- Vidljivost i kontrola unutar mreža često su neke od glavnih faktora izazovnih implementacija zero trusta. Većina organizacija nemaju mogućnost postavljanja protokola za svakog pojedinog korisnika njihovih mreža. Na ovaj način postaju ranjivi za prijetnje koje predstavljaju zastarjeli sustavi i korisnici s većim nivoima autorizacije nego što im je realno potrebna.
Mnogo je primjera prednosti implementacije zero trust arhitekture, ali i dalje je dalek put dok organizacije ne postanu 100% Zero Trust.
U ovom trenutku, za neke organizacije to znači velike zahvate na organizacijskoj IT infrastrukturi. U bližoj se budućnosti ipak očekuje hibridni pristup zero trustu.
Koje su prednosti hibridne zero trust arhitekture
Najveći rizik koji bilo koja okolina može podnijeti je pogrešno usmjereno povjerenje prema krajnjem korisniku, što je otprilike izvor svih uspješnih hakerskih napada koji dolaze s javne mreže. Ovo je mjesto gdje zaštita svake tvrtke mora započeti.
Ako započnete kontrolu korisničkih operacija i razine povjerenja, blokirat ćete napade „na vašem kućnom pragu“ na način da vaše web sesije ostanu dalje od endpointova.
Dok neki vjeruju da je web gateway odlična zaštita jer jednostavno dopušta ili brani pristup, važno je istaknuti da kao ni život – ni zaštita nije crno-bijela i mora dopuštati nijanse sive. Dodavanjem anti-malware komponente endpointu pomaže se u hvatanju te sive nijanse.
Malo je vjerojatno da će organizacija preko noći postati istinski zero trust jer to zahtjeva potpunu rekonstrukciju IT infrastrukture i mnogostruke cikluse revizije. Čak i tada, neke kritične aplikacije možda nikada neće podržavati zero trust.
Ključ je obrane leži u dubinskom obrambenom pristupu i hibridnom zero trust sigurnosnom modelu. Whitlisting (ili omogućavanje pristupa provjereno sigurnim izvorima) blokira pristup lošim izvorima informacijama kao što su neprovjerene stranice za oglašavanje.
Izolacijom potencijalno malicioznih stranica, hibridni zero trust pomaže organizacijama da manje vode brigu o primjerice:
- Svojem CEO-u koji je kliknuo na maliciozni e-mail link koji sadrži metodu kibernetičkog napada koji je direktno usmjeren na zaposlenika s najvišim nivoom autorizacije i pristupu podatcima
- Vašem timu ljudskih resursa koji je downloadao novu nesigurnu aplikaciju čiji link također vodi korisnike na malicioznu web stranicu
- Vašem pravnom odjelu koji je preusmjeren na malicioznu stranicu tijekom istraživanja specifičnog slučaja
Kako započeti put prema zero trustu?
Još jedna velika prednost hibridne zero trust zaštite je da potencijalno organizaciji štedi vrijeme i novac. Korisnik nikada ne može znati kada će doći do iskorištavanja zero-day ranjivosti. Vjerujemo velikim sustavima i browserima, ali nam je nedavni slučaj Microsoft Exchange Servera pokzao da možda i ne bismo trebali.
Ako je napad uspješan, može proći i pola godine dok ne bude otkriven. Pitanje je – znajući da postoje alati koji takve napade mogu spriječiti - mogu li si tvrtke i organizacije uistinu dopustiti da do njih i dođe?
Organizacije mogu slijediti osnovne principe kako bi migrirali prema zero trust metodologiji. Jedan od najvažnijih koraka je poznavanje svoje okoline. Imati ispravan i ažuran inventar svih resursa, aplikacija i korisnika od ključne je važnosti.
Jednom kad shvatite čime raspolažete, možete započeti promišljati na koji način ćete to i standardizirati. Treba imati na umu da se ne mogu svi proizvodi niti procesi standardizirati ili integrirati.
Revizijom i upravljanjem čemu i kome vjerujete značajno može unaprijediti vaše izlaganje svim vrstama rizika.
DuplicoIT informatička podrška
Vjerujemo da se nije jednostavno snaći u širokom spektru digitalnih prijetnji, ali i prozvoda i usluga namijenjenih da se iste spriječe.
Stoga svim potencijalnim korisnicima DuplicoIT informatičke podrške pružamo uslugu procjene trenutnue informatičke kurentnosti i infrastrukture.
- Nakon procjene, dostavljamo prilagođeno izvješće sa preporukama za unapređenjem IT infrastrukture.
- Svjesni ste važnosti informacijske sigurnosti i želite se osigurati protiv malicioznih napada i potencijalnih krađa podataka?
- Potrebno vam je potpuno informatičko savjetovanje kako biste unaprijedili svoje poslovanje?
- Ne želite sami razmišljati o ažuriranjima i popravcima svoje IT opreme i potrebna vam je potpuna profesionalna IT podrška?
- Niste zadovoljni s trenutnim pružateljem usluga informatičke podrške?
Obratite nam se s povjerenjem i još danas saznajte kako efektivno zaštititi i unaprijediti svoje poslovanje.