Насколько реалистична модель «нулевого доверия»?

(Русский) Почему принципы Zero trust почти недостижимы на практике

Sorry, this entry is only available in Russian. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Модель «нулевого доверия», которую считают чуть ли не панацеей от всех проблем информационной безопасности, на практике почти невозможно реализовать. Для этого, по сути, требуется выстроить корпоративную сеть предприятия с нуля.

«Никому не доверяй, всегда перепроверяй» – этот принцип порядочных девушек стал девизом специалистов по информационной безопасности по всему миру. Модель Zero Trust исходит из убеждения, что никому и ничему в рамках внутренней или внешней сети нельзя доверять по умолчанию.

Штука в том, что Zero Trust – это не программный продукт, не система, которую можно установить и расслабиться. Это, по большому счету, лишь набор требований к организации процессов защиты корпоративной сети, что дает простор для разных его толкований.

Суть концепции в том, что любое устройство, в том числе то, которое меняет свою локацию, должно заново проходить процедуру проверки. Она подразумевает проведение сегментации сети, создание мирокпериметров для контроля ИТ-ресурсов, развертывание системы мониторинга, управления и взаимодействия между зонами.

Любопытный факт.

В Китае Zero Trust называется относительно недавно запущенная система искусственного интеллекта для борьбы с коррупцией. Система имеет доступ к государственным базам и статистике, установлена в государственных банках и страховых компаниях. Она обрабатывает Big Data и распознает признаки нарушения закона чиновниками, например, сомнительные транзакции. Сейчас работу системы приостановили, поскольку она оказалась «слишком эффективной». С 2012 года более 1,2 миллионов чиновников подверглись дисциплинарному взысканию.

 

5 шагов реализации Zero Trust

Аналитическое агентство Forrester, которое в 2010 году и запустило термин «модель нулевого доверия», предлагает следующую дорожную карту для успешного внедрения Zero Trust на предприятии, состоящую из 5 шагов:

  1. Определение чувствительных данных в «движении и покое».

Производительность данных, их классификация.

Выделение сегментов и зон сети на основе классификации.

  1. Картографирование подходящих путей для доступа к чувствительным данным и их распространения.

Классификация всех ресурсов, вовлеченных в обмен чувствительными данными.

Оценка рабочих процессов и их редизайн при необходимости.

Верификация существующих рабочих процессов, например, PCI архитектуры.

  1. Создание микропериметров «нулевого доверия».

Определение мирокпериметров, зон, сегментов вокруг чувствительных данных.

Проведение сегментации с использованием физического и виртуального контроля безопасности.

Установление параметров доступа на основе сегментации и контрольных точек.

Автоматизация правил и политики базового доступа.

Аудит и запись в логах всех точек контроля доступа.

  1. Мониторинг окружения zero trust с использованием аналитических инструментов безопасности.

Оптимизация и интеграция уже существующих решений ИБ в компании.

Определение логической архитектуры и распределение внутри нее аналитических инструментов безопасности.

Приобретение дополнительных аналитических решений, если нужно. Выбор правильного вендора.

  1. Адаптация и автоматизация работы системы.

Автоматизация бизнес-процессов.

Документация и тесты политики центра безопасности, процедур «быстрого реагирования».

Интеграция новых стандартов безопасности в автоматизированные системы аналитики, все, что можно вывести из ручного управления.

Проверка работоспособности системы.

 

Проблемы при развертывании системы «нулевого доверия»

Рекомендации экспертов выглядят на первый взгляд логично и убедительно. Но на практике реализовать их в компании, в которой уже есть своя рабочая система ИБ, крайне непросто, если не сказать, невозможно.

  1. Технический долг.

Если компания работает с самописным программным обеспечением, и приложения устарели (в строю несколько лет), она попадает в ситуацию технического долга. То есть накопленные за это время недостатки не позволят комфортно провести внедрение Zero Trust.

Переделка, перекодирование, и развертывание заново внутренних приложений влетит в копеечку, может быть потенциально разрушительным для работы корпоративной сети. Простое добавление новых параметров безопасности, требующихся для построения модели «нулевого доверия», не всегда автоматически выполнимо.

Вполне вероятно, что действующее ПО к этому вообще не приспособлено. Приложения могут быть не совместимы с принципами построения микропериметров. Программный интерфейс может не поддерживать нужный уровень автоматизации.

  1. Legacy-системы.

«Унаследованные» приложения, инфраструктура и операционные системы (устаревшие, неоднородные, без внятной документации) – одно из самых больших препятствий на пути развертывания модели Zero Trust.

Для таких вещей не работает основополагающий принцип организации системы защиты – принцип наименьших привилегий или бокового смещения. Они не обладают моделями аутентификации, позволяющими в динамике вносить изменения на основе контекста.

Внедрение модели «нулевого доверия» требует работы со слоями. Внешний доступ привязан к источникам и редко взаимодействует с системой целиком. В этой ситуации невозможно проводить мониторинг поведения пользователей несовместимых приложений. Можно фиксировать протоколы запросов, кейлоггеры, сетевой трафик для выявления потенциально опасных действий, однако возможности реакций на них ограничены.

Для унаследованных приложений можно лишь ограничить внешнее взаимодействие для пользователей или источников, а не время исполнения. Даже мониторинг сетевого трафика может быть невыполнимой задачей из-за требований к шифрованию, включая стандарт TLS 1.3.

  1. Пиринговые технологии.

Организация в любом случае использует сетевые технологии peer-to peer, которые есть в настройках по умолчанию Windows 10. Начиная с 2015 года, операционная система использует их для расшаривания обновлений, чтобы сэкономить сетевой трафик. Кто-то отключает эти настройки, большинство не подозревает об их наличии.

Здесь мы имеем дело с базово неконтролируемым привилегированным боковым смещением между системами. Это нарушает работу модели Zero Trust, которая требует, чтобы не было никакого неавторизованного бокового смещения, даже внутри специализированного микропериметра.

Кстати, если в компании применяется протокол ZigBee или другие замысловатые сетевые технологии, они будут мешать работе системы «нулевого доверия», поскольку требует для своей работы взаимодействия peer-to peer, при том что модель доверия основана исключительно на ключах и паролях, без возможности изменений аутентификации.

  1. Цифровая трансформация.

Даже если компания планирует ввести новый дата-центр, внедрить с нуля управления доступом на основе ролей и Zero Trust систему, дальнейшая цифровая трансформация бизнеса может столкнуться с ограничениями.

Облачные сервисы, DevOps, «интернет вещей» сами по себе не поддерживают модель «нулевого доверия». Требуется внедрение дополнительных технологий для проведения сегментации и реализации ее принципов. Для масштабных проектов цифровой трансформации это может быть весьма затратно, и даже влиять на корректную работу технических решений с доступом множества пользователей. Полезно заранее прикинуть требования к хранению данных и лицензионные косты для записи каждого события динамического доступа на всех доступных источниках.

 

Как подготовиться к внедрению модели «нулевого доверия»

Единственный способ, который может гарантировать успешное внедрение Zero Trust, это сделать все одним моментом, за один день. Вряд ли такая идеальная ситуация достижима, если только компания не выстраивает корпоративную сеть с нуля. Как подготовиться к развертыванию уровня «нулевого доверия»:

  • Система контроля привилегированных пользователей (PAM) – класс решений для анализа и контроля учетных записей и доступа «продвинутых» пользователей, администраторов, сотрудников отдела ИТ компании.
  • Удаленный доступ.
  • Системы управления уязвимостями.

Простыми словами, если в компании не внедрены концепты привилегированного доступа и минимальных привилегий, все еще поддерживаются общие учетные записи, Zero Trust не сможет эффективно работать, это обессмысливает саму модель.

Сегодня большинство вендоров, которые предлагают «Zero Trust» решения, на самом деле продают лишь стартовые технологии для ее реализации, те же системы PAM. На рынке нет «коробочных» решений, который закроют все вопросы построения модели «нулевого доверия». Многое завязано на готовности архитектуры корпоративной сети.

Начать следует с внедрения систем контроля привилегированных пользователей:

  • ликвидировать права администраторов пользователей и систем;
  • унифицировать управление учетными записями и паролями;
  • убрать общие учетные записи;
  • внедрить механизм управления сеансами пользователей;
  • оптимизировать сетевые коммуникации.

Недавнее исследование показало, что от 88% критических уязвимостей, обнаруженных за последние 5 лет, можно обезопасить себя, убрав права администраторов.

Все эти процедуры должны быть проведены до любых действий, связанных с микросегментацией, делением на зоны. Модель «нулевого доверия» требует строго контроля всех источников, чтобы микропериметры работали эффективно.

Важно понимать, что Zero Trust – крайне неудобная вещь для осуществления безопасного удаленного доступа, когда к сети подключены партнеры и контрагенты за пределами микропериметров.

Для успешного внедрения системы «нулевого доверия», необходимо обезопасить себя не только от опасных действий пользователей, но учитывать риски и надежность самих ресурсов. Этим придется заниматься вручную. Сама по себе модель Zero Trust этот момент игнорирует, ей важен лишь контроль доступа, она не вникает в проблемы софта, были ли у него критические проблемы в прошлом или нет.

Без внедрения новой стратегии, новых технологических решений безопасности для удаленного доступа, PAM, управления уязвимостями, «нулевое доверие» останется лишь теоретической концепцией. По сути, это улучшенное понимание цифровой гигиены. Все эти вещи уже многие годы реализуются, например, в стандарте PCI по защите чувствительных данных, только без продвинутой аналитики и автоматизации.