Всe пoслeдниe гoды с рoстoм урoвня цифрoвизaции бизнeсa рaстeт и ущeрб oт кибeрпрeступлeний. Пo дaнным Cybersecurity Ventures, пoтeри бизнeсa oт кибeрпрeступнoсти к 2021-му гoду мoгут сoстaвить $6 триллиoнoв.
Oднaкo, систeмы oбeспeчeния кибeрбeзoпaснoсти, кaк и кибeругрoзы, тoжe пoстoяннo рaзвивaются и эволюционируют. Так, еще в 2010 году Джон Киндерваг из Forrester Research впервые сформулировал концепцию Zero Trust — модель «нулевого доверия». Давайте разберемся, что лежит в ее основе.
Главная проблема в обеспечении действительно надежной защиты IТ-инфраструктуры от современных целенаправленных кибератак состоит в том, что злоумышленники не ограничены во времени, и им достаточно быть успешными всего единожды. Поэтому, логично, что от «безопасников» требуют обеспечивать 100% предотвращение угроз.
Разумеется, это просто невозможно. Уязвимости в программном обеспечении обнаруживаются постоянно, новые методы и тактики атак разрабатываются непрерывно, да и банальные ошибки и недочеты в конфигурации средств защиты из-за пресловутого человеческого фактора тоже представляют серьезную угрозу. Потому идея создания «непроходимого периметра» на самом деле скорее может навредить чем помочь.
Например, если в компании периметр сети достаточно хорошо защищен, всегда существует ненулевая вероятность, что злоумышленник проникнет внутрь при помощи взлома аккаунта какого-то сотрудника, например, с помощью таргетированной фишинговой атаки. И в этом случае хорошо защищенный периметр сети уже наоборот, может сыграть отрицательную роль для службы безопасности, потому что та будет надеяться, что у неё «все хорошо». А злоумышленник, в свою очередь, получив доступ к сети, уже не будет встречать на своем пути практически никакого сопротивления. В итоге средства, вложенные в создание «непроходимого периметра», окажутся потраченными впустую.
«Поэтому концепция Zero Trust — это не что-то новое, это просто более зрелый взгляд на то, как обеспечить надежное функционирование IT-сервисов, когда они находятся в условиях постоянной угрозы компрометации», — говорит Алексей Швачка, специалист и технический директор компании «Октава Киберзахист».
Согласно этой концепции, говорит Алексей Швачка, в корпоративной IТ-инфраструктуре необходимо реализовать подход, когда любое устройство или пользователь, который пытается получить доступ к каким-либо ресурсам, не считающимися по умолчанию безопасным, должен каждый раз проходить полную процедуру идентификации, а все его активности должны протоколироваться и находиться под постоянным мониторингом и контролем.
Да, разумеется, это требует более серьезных инвестиций в кибербезопасность, чем просто покупка межсетевого экрана и антивируса. И, главное, это требует изменения подхода к процессам работы службы безопасности. Однако, в результате бизнес не только получит повышение управляемости и прозрачности в IТ, но и сможет существенно снизить вероятность появления «Черного лебедя» — наступления условно неожиданного инцидента с тяжелыми последствиями. Почему «условно»? Потому что практически все подобного рода инциденты являются закономерным следствием недоработок и просчетов в прошлом. Самым ярким примером «Черного лебедя» в области кибербезопасности для Украины стала атака вируса-шифровальщика Petya/Nyetya в 2017 году.
Добавляет «градуса» и повсеместное размытие понятия периметра корпоративной сети. Здесь и мобильные сотрудники, и облачные сервисы и многое другое. В таких условиях, без принятия концепции Zero Trust уже просто не обойтись.
Теперь несколько слов о том, как и какими средствами ее можно реализовать на практике. Чтобы приблизиться к этому, необходимо прежде всего точно идентифицировать все имеющиеся у компании информационные активы, определить кто/что, с какими правами, в какое время из какого места может иметь к ним доступ. Сама по себе эта задача довольно сложная, и, надо сказать, не разовая. То есть поддержание в актуальном состоянии перечня информационных активов должно быть постоянным процессом. То же касается и задачи мониторинга и контроля за всеми устройствами, пользователями и получаемыми ими доступами к активам — это тоже должен быть непрерывный процесс. Очевидно, что для этого необходимы инструменты, и они есть.
Конечно, у каждой организации своя специфика, но у всех присутствуют автоматизированные рабочие места пользователей, есть администраторы, у подавляющего большинства есть понятие «внутренняя сеть», очень многие пользуются облачными сервисами (тот же Microsoft Office 365, например). Для ИТ-инфраструктуры подобного вида для приближения к реализации концепции Zero Trust вполне применимы будут такие классы решений, как:
➡️ Network Access Control (контроль доступа и микросегментация сети, например Cisco ISE),
➡️ Network Behavior Anomaly Detection (обнаружение аномалий в сетевой активности, например Cisco StealthWatch),
➡️ Cloud Access Security Broker (обеспечение видимости и контроля доступа к облачным ресурсам, например Cisco Cloudlock),
➡️ Multifactor Authentication (многофакторная аутентификация, например ESET Secure Authentication),
➡️ Endpoint Detect and Response (своего рода антивирус нового поколения, позволяющий отслеживать неизвестный вредоносный код по вторичным признакам, в том числе без сигнатур, например ESET Targeted Attack Protection),
➡️ User Entity Behavior Analysis (обнаружение аномального поведения пользователей и процессов на рабочих станциях, например Splunk User Behavior Analytics),
➡️ Privilege Access Manager (протоколирование и контроль действий администраторов, например WALLIX Admin Bastion).
Для реализации задачи комплексного мониторинга всех событий в ИТ-инфраструктуре применяются SIEM-системы, предназначенные для сбора и корреляции журналов событий от всех источников в сети — от межсетевого экрана до последней рабочей станции (например, Splunk Enterprise Security).
В идеале, более-менее полно реализовать концепцию Zero Trust в большой корпоративной инфраструктуре сможет хорошо оснащенный и с правильно выстроенными процессами Security Operation Center. Но это отдельная большая тема, и о ней — в другой раз.
Пока можно добавить только, что в последние несколько лет набирает обороты еще один класс решений по кибербезопасности, основанный на принципе активного введения в заблуждение атакующих сеть хакеров. Речь о технологии Deception, которая позволяет быстро развернуть множество ложных целей, имитирующих реальные активы организации — рабочие станции, сервера, банкоматы, SCADA-системы и другие, и реагирующие всего лишь на единственную попытку получения несанкционированного доступа к ним, сколь бы осторожной она ни была.
Примером такого рода решения может быть система TrapX Deception Grid от израильской компании TrapX Security. Подход к применению технологии обмана злоумышленников уже довольно хорошо описан американским Department of Homeland Security и называется концепция Moving Target Defence. Можно с уверенностью сказать, что она органично и бесшовно вписывается в концепцию Zero Trust.
Отдельно стоит отметить, что применение технологии Deception радикально нивелирует преимущества злоумышленника, проникшего в сеть и проводящего ее осторожную разведку. «Если в сети есть заведомо ложные цели, в этом случае злоумышленник будет ни в чем не уверен никогда, даже зная о факте наличия таких «мин», и теперь уже единственный неосторожный шаг самого хакера может привести к тому, что он попадется», — считает Алексей Швачка.
И напоследок, нужно понимать, что даже при наличии продвинутых систем защиты, не стоит забывать об обычных превентивных мерах, регулярно проводить тесты на проникновение и всегда придерживаться правил безопасности.
