Fortra. Zero Trust 101: Ένας οδηγός για την ασφάλεια μηδενικής εμπιστοσύνης
Ο γνωστός νόμος του Μέρφι λέει ότι αν κάτι μπορεί να πάει στραβά, θα πάει στραβά. Η ασφάλεια έχει από καιρό υιοθετήσει αυτή τη προσέγγιση και έχει εφαρμόσει τη μηδενική εμπιστοσύνη ως μηχανισμό αντιμετώπισης.
Αν το παραπάνω ληφθεί υπόψη πλήρως, μπορεί να αποτελέσει μεγάλη πρόκληση. Αλλά αν αναλυθεί σε μικρότερα τμήματα, γίνεται ένα διαχειρίσιμο έργο, ειδικά όταν καθοδηγείται από έναν συνεργάτη ασφάλειας με το κατάλληλο σύνολο εργαλείων για να σας οδηγήσει σε κάθε επίπεδο ωριμότητας ασφάλειας που εξελίσσεται.
Τι είναι η μηδενική εμπιστοσύνη;
Με απλά λόγια, η μηδενική εμπιστοσύνη είναι η προσέγγιση «μην εμπιστεύεσαι ποτέ, πάντα να επαληθεύεις». Αυτό το μοντέλο υποθέτει ότι οποιοσδήποτε χρήστης μπορεί να έχει κακόβουλες προθέσεις και ότι μία κυβερνοεπίθεση μπορεί να βρίσκεται ήδη σε εξέλιξη. Με άλλα λόγια, η μηδενική εμπιστοσύνη είναι η προσέγγιση της εξάλειψης της υπονοούμενης ή εγγενούς εμπιστοσύνης και της απαίτησης συνεχών και επαναλαμβανόμενων ελέγχων ταυτότητας και εξουσιοδότησης για τους χρήστες, τις υπηρεσίες και τα συστήματα στο δίκτυο.
Οι τρεις βασικές αρχές μιας στρατηγικής μηδενικής εμπιστοσύνης είναι οι εξής:
- Πάντα να υποθέτετε ότι υπάρχει παραβίαση
- Μην εμπιστεύεστε κανέναν
- Επαληθεύστε τα πάντα
Ακόμα και μετά την επαλήθευση της ταυτότητας ενός χρήστη, ο συγκεκριμένος χρήστης εξακολουθεί πάντως να μην έχει τα «κλειδιά του βασιλείου». Η προσέγγιση μηδενικής εμπιστοσύνης αρνείται στον χρήστη την πλήρη πρόσβαση και αντ’ αυτού επιλέγει να τον κάνει να αποδείξει την ταυτότητά του από επίπεδο σε επίπεδο, βήμα προς βήμα, διαρκώς. Αξιοποιώντας την τμηματοποίηση του δικτύου και την καθιέρωση των μικρο-περιμέτρων, τα μέτρα μηδενικής εμπιστοσύνης παρέχουν πρόσβαση σε περιουσιακά στοιχεία μόνο όταν παρουσιάζεται κάποιος έγκυρος λόγος για να το κάνουν.
Πως να ξεκινήσετε
Είναι σημαντικό να αναγνωρίσετε ότι η μηδενική εμπιστοσύνη δεν είναι μια τεχνολογία, αλλά ένα ταξίδι. Περιλαμβάνει εργαλεία και διαδικασίες που είναι απαραίτητες για τη δημιουργία ενός περιβάλλοντος που απαιτεί πλήρη και διαρκή επικύρωση πριν από την παροχή πρόσβασης σε ευαίσθητα δεδομένα.
Σκέψεις γύρω από τη μηδενική εμπιστοσύνη
Η αντιμετώπιση της μηδενικής εμπιστοσύνης με μια ρεαλιστική, βήμα προς βήμα προσέγγιση μπορεί να οδηγήσει σε μεγαλύτερη επιτυχία από το να προσπαθήσετε να αναδιαμορφώσετε ολόκληρη την υποδομή σας ταυτόχρονα.
Για παράδειγμα, μπορείτε να ξεκινήσετε με το να καθορίσετε:
- Τι πρέπει να προστατευθεί. Σε αυτά τα πράγματα μπορούν να συμπεριλαμβάνονται κρίσιμης σημασίας περιουσιακά στοιχεία, συστήματα, λογισμικό και δεδομένα.
- Από τι πρέπει να προστατευτεί. Σχετίζονται τα αδύναμα ή προβληματικά σημεία σας με υπερβολικά προνομιούχους χρήστες; Με κακή υγιεινή των κωδικών πρόσβασης; Με εξωτερικοί φορείς απειλών; Όπως και αν είναι, ιεραρχήστε τις περιοχές αδυναμίας σας προτού ξεκινήσετε.
- Ένα λογικό σημείο εκκίνησης. Σκεφτείτε μια επαναληπτική προσέγγιση αντιμετώπισης του προβλήματος ανά σύστημα ή σε ομάδες.
Η μηδενική εμπιστοσύνη είναι να κάνουμε σήμερα αυτό που δεν ξέραμε ή ήμασταν πολύ αφελείς για να κάνουμε από τότε που ξεκίνησε το Διαδίκτυο: να ορίσουμε τι είναι σημαντικό και να βρίσκουμε τρόπο να το υπερασπιστούμε με το σωστό τρόπο. Επειδή μετασκευάζουμε παλιές αρχιτεκτονικές σε νέες μεθόδους ή τρόπους ασφάλειας, είναι απαραίτητο να κάνουμε πολλά μικρότερα βήματα και προσαρμογές προτού θεωρηθεί οτιδήποτε «μηδενικής εμπιστοσύνης».
Όπως και να έχει, κάθε ταξίδι ξεκινάει με ένα πρώτο βήμα.
Διαχείριση ευπαθειών ή διαχείριση τρωτότητας: Η ραχοκοκαλιά μιας στρατηγικής μηδενικής εμπιστοσύνης
Το πρώτο βήμα αυτής της «επαναληπτικής διαδικασίας» είναι ο καθορισμός των αδύναμων σημείων. Μόλις οι οργανισμοί ορίσουν τις παραμέτρους για όλα όσα χρειάζονται προστασία και ποιοι είναι οι εχθροί, η διαχείριση των ευπαθειών των τρωτών σημείων είναι το λογικό επόμενο βήμα.
Η διαχείριση ευπαθειών επικεντρώνεται στις αδυναμίες εντός της υποδομής -όχι στα σημεία πρόσβασης. Εντοπίζει και ιεραρχεί τα τρωτά σημεία/ ευπάθειες ή ακόμα και τις λανθασμένες διαμορφώσεις/ ρυθμίσεις που απαιτούν επιδιόρθωση (patching) ή που θα μπορούσαν εύκολα να γίνουν αντικείμενα εκμετάλλευσης αντίστοιχα. Όσον αφορά τη σάρωση ευπαθειών, οι περισσότεροι οργανισμοί απαιτούν μια ευέλικτη λύση που μπορεί να ανταποκριθεί στις προκλήσεις ενός υβριδικού περιβάλλοντος χωρίς να επιβαρύνει τη διαμόρφωση.
Και να θυμάστε, τα σωστά αποτελέσματα παρέχουν αξιοποιήσιμες πληροφορίες που διευκολύνουν την αποτελεσματική αποκατάσταση από την πλευρά του οργανισμού.
Εφαρμογή ενός πλαισίου μηδενικής εμπιστοσύνης
Ανεξάρτητα από το μέγεθος του οργανισμού σας, είναι καλύτερο να κινηθείτε προς τη μηδενική εμπιστοσύνη με σταθερά, μετρήσιμα βήματα. Ο John Grancarich, Εκτελεστικός Αντιπρόεδρος της Fortra, περιγράφει μια διαδικασία διαχείρισης για την επίτευξη προόδου προς την επίτευξη της μηδενικής εμπιστοσύνης:
- Προετοιμαστείτε για το ταξίδι προς ένα πλαίσιο ασφάλειας μηδενικής εμπιστοσύνης. Γνωρίστε τις αρχές της μηδενικής εμπιστοσύνης, γνωρίστε το εύρος του οργανισμού σας και των περιουσιακών του στοιχείων και δημιουργήστε μία ομάδα. Πρέπει να γνωρίζετε με τι και με ποιους δουλεύετε.
- Διαβαθμίστε τα περιουσιακά σας στοιχεία. Οργανώστε τις περιοχές ή τους τομείς προστασίας σας με βάση τη σπουδαιότητα ή τη σημασία του περιουσιακού σας στοιχείου. Αφού καθορίσετε περιουσιακά στοιχεία χαμηλού, μεσαίου και υψηλού κινδύνου/ αντίκτυπου, ξεκινήστε βάζοντας προτεραιότητες.
- Επιλέξτε ένα αρχικό σύνολο περιουσιακών στοιχείων προς διευθέτηση. Προστατέψτε πρώτα τα στοιχεία με τον υψηλότερο δείκτη κινδύνου ή αντικτύπου, διακόπτοντας τις προληπτικές εργασίες ασφάλειας μηδενικής εμπιστοσύνης σε όλα τα υπόλοιπα μέχρι να το κάνετε.
- Εφαρμόστε τους αρχικούς ελέγχους ασφαλείας. Αρχίστε με την επιλογή, την εφαρμογή και τη δοκιμή των νέων σας συμβατών με τη μηδενική εμπιστοσύνη διεργασιών, διαδικασιών, τεχνολογικών λύσεων και υπηρεσιών για την υποομάδα που έχετε προσδιορίσει.
- Αξιολογήστε την απόδοση των ελέγχων σας. Βεβαιωθείτε συνεχώς ότι οι υλοποιήσεις σας λειτουργούν όπως αναμένεται.
- Εξουσιοδότηση συστημάτων. Η ανώτερη ηγεσία εγκρίνει και εξουσιοδοτεί συστήματα ασφαλείας, σχέδια προστασίας της ιδιωτικότητας και τη μέχρι τώρα λειτουργία.
- Παρακολούθηση των αποτελεσμάτων και βελτίωση ανάλογα με τις ανάγκες. Διατηρήστε υπό την επίβλεψη σας τις εφαρμογές μηδενικής εμπιστοσύνης από την πρώτη ημέρα κιόλας. Έχετε τον νου σας για αποκλίσεις, ενεργοποιήστε ενέργειες βάσει των συνθηκών που πληρούνται και μειώστε τα ψευδώς θετικά αποτελέσματα που προκύπτουν κατά το monitoring (παρακολούθηση).
Σε αυτό το σημείο, επαναλαμβάνετε την όλη διαδικασία για τα περιουσιακά στοιχεία με την επόμενη υψηλότερη προτεραιότητα στη λίστα σας και ούτω καθεξής. Με αυτόν τον τρόπο, οι εταιρείες προχωρούν στην ολοκλήρωση της διαδικασίας σταδιακά, μαθαίνοντας πως να εφαρμόζουν τη στρατηγική μηδενικής εμπιστοσύνης με μεγαλύτερη ακρίβεια, διορατικότητα και επιτυχία κάθε φορά.
Η κατάσταση της μηδενικής εμπιστοσύνης σήμερα και μελλοντικές προβλέψεις
Η έρευνα των Cybersecurity Insiders και Fortra αποκαλύπτει το πως οι οργανισμοί υιοθετούν την ασφάλεια μηδενικής εμπιστοσύνης στις καθημερινές επιχειρηματικές ροές τους. Επί του παρόντος, μόνο το 15% των ερωτηθέντων δήλωσαν ότι έχουν προχωρήσει «ήδη σε εφαρμογή» της δικτυακής πρόσβασης μηδενικής εμπιστοσύνης (ZTNA). Ένα άλλο 9% δήλωσε ότι «δεν σχεδιάζει» να προχωρήσει στην εφαρμογή της. Αν και απέχει πολύ από το να είναι πανταχού παρούσα, μπορούμε να ισχυριστούμε ότι η μηδενική εμπιστοσύνη είναι μια τάση που αναμένεται να αποκτήσει μεγαλύτερη δημοτικότητα μεταξύ των ηγετών των επιχειρήσεων, και που συγκεντρώνει αρκετή κριτική σκέψη.
Οι προτιμώμενες αρχές ZTNA
Όταν ερωτήθηκαν, οι οργανισμοί έδειξαν ιδιαίτερο ενδιαφέρον σε αρκετές από τις αρχές της μηδενικής εμπιστοσύνης. Κατατάσσονται παρακάτω σε σειρά:
- Συνεχής έλεγχος ταυτότητας/εξουσιοδότηση (66%)
- Εμπιστοσύνη που κερδίζεται μέσω επαλήθευσης οντοτήτων, συμπεριλαμβανομένων χρηστών, συσκευών και στοιχείων υποδομής (65%)
- Προστασία δεδομένων (64%)
- Διατερματική ορατότητα πρόσβασης (από άκρο σε άκρο) και δυνατότητα ελέγχου (61%)
- Πρόσβαση με τα λιγότερα προνόμια (60%)
Και μην ξεχνάτε τις συσκευές
Πάνω στη βιασύνη μας να προστατεύσουμε την επιχείρηση, είναι εύκολο να παραβλέψουμε το σύνολο των κινδύνων, των απειλών και των ευπαθειών που εισάγουν οι φορητές συσκευές. Αν και πολλοί εξέφρασαν δηλώνοντας τη σημασία της προστασίας των δεδομένων, η διαχείριση των φορητών συσκευών (MDM) και το «φέρε τη δική σου συσκευή», γνωστό και ως BYOD ήταν χαμηλά στις λίστες των προτεραιοτήτων των συμμετεχόντων στην έρευνα. Όπως είναι κατανοητό, το BYOD είναι ένα δύσκολο στην διευθέτηση ζήτημα καθώς τίθεται θέμα προστασίας της ιδιωτικότητας με αποτέλεσμα να μπαίνουν εμπόδια στον έλεγχο του. Όπως έχει, οι φορητές συσκευές εξακολουθούν να αποτελούν ένα σημείο προβληματισμού για τις όποιες προσπάθειες πρόληψης εισβολών και απώλειας δεδομένων (DLP).
Προτεραιότητες ασφαλούς πρόσβασης
Όσον αφορά την επίτευξη της δικτυακής πρόσβασης μηδενικής εμπιστοσύνης (ZTNA), οι ερωτηθέντες εταιρείες έθεσαν τις προτεραιότητες τους ως εξής:
- Έλεγχος ταυτότητας πολλαπλών παραγόντων/ διαχείριση προνομιούχων λογαριασμών (65%)
- Ανίχνευση και αντιμετώπιση ανώμαλων δραστηριοτήτων (50%)
- Διασφάλιση της πρόσβασης από προσωπικές, μη διαχειριζόμενες συσκευές (46%)
Προστασία του δημόσιου νέφους (public cloud)
Οι παραδοσιακές λύσεις απομακρυσμένης πρόσβασης εξακολουθούν να μην ανταποκρίνονται στο έργο της δυναμικής διασφάλισης των σημερινών κατανεμημένων περιβαλλόντων νέφους (cloud). Κατά συνέπεια, η λύση αντιμετώπισης που αναφέρεται συχνότερα είναι το «hair pinning» των απομακρυσμένων και κινητών χρηστών διαμέσου των κέντρων δεδομένων για να έχουν πρόσβαση σε εφαρμογές δημόσιου νέφους (53%). Και είναι συγκλονιστικό το γεγονός ότι πάνω από το ένα τρίτο (34%) των επιχειρήσεων είναι αναγκασμένο να εκθέτει δημοσίως τις εφαρμογές cloud του για να είναι προσβάσιμες σε απομακρυσμένους και κινητούς χρήστες, αυξάνοντας δραστικά τους κινδύνους για αυτές τις επιχειρήσεις.
Τα οφέλη ενός πλαισίου ασφάλειας μηδενικής εμπιστοσύνης
Η υιοθέτηση μιας προσέγγισης μηδενικής εμπιστοσύνης ελαχιστοποιεί την επιφάνεια επίθεσης, μειώνοντας στατιστικά την πιθανότητα κάποιας εισβολής ή επίθεσης. Αν και αυτό αποτελεί το πλέον προφανές όφελος, υπάρχουν και άλλα που αξίζει να λάβετε υπόψη σας:
- Υποστήριξη για απαιτήσεις συμμόρφωση. Η αρχή της κλειστής σύνδεσης της μηδενικής εμπιστοσύνης συμβάλλει στην αποτροπή της έκθεσης των ιδιωτικών δεδομένων, βοηθώντας τον οργανισμό σας να διατηρήσει τη συμμόρφωση του με πρότυπα συμμόρφωσης όπως είναι τα NIST 800-207 (της ομοσπονδιακής κυβέρνησης), PCI DSS (της βιομηχανίας των χρεωστικών/ πιστωτικών καρτών) ή HIPAA και HITECH (της βιομηχανίας της υγειονομικής περίθαλψης).
- Καλύτερος έλεγχος πρόσβασης στο νέφος (cloud). Μπορούν να εφαρμοστούν πολιτικές ασφαλείας μηδενικής εμπιστοσύνης για να έχετε μεγαλύτερη ορατότητα και έλεγχο πρόσβασης στο νέφος(cloud). Με την προστασία να συνδέεται στο φόρτο εργασίας, τα δεδομένα σας παραμένουν ασφαλή – ακόμη και αν το περιβάλλον αλλάζει.
- Ελαχιστοποίηση του κινδύνου παραβίασης δεδομένων. Με την παραδοχή ότι όλες οι οντότητες είναι εχθρικές, επόμενο είναι ένας οργανισμός να μειώνει τις πιθανότητες να επιτρέψει ακουσίως σε έναν κυβερνοεγκληματία να εισβάλει στην υποδομή του. Και λιγότεροι επικίνδυνοι χρήστες σημαίνει λιγότερες πιθανότητες για παραβιάσεις δεδομένων. Και σε περίπτωση που καταφέρουν να εισέλθουν στο δίκτυο, οι εφαρμογές μηδενικής εμπιστοσύνης είναι σχεδιασμένες να τους σταματούν σε κάθε επόμενη κίνηση.
Ακόμα και ένα βήμα να κάνετε προς τη μηδενική εμπιστοσύνη είναι πιο επωφελές από το να περιμένετε στο περιθώριο. Κάθε ένας τομέας, κάθε μία κατηγορία περιουσιακών στοιχείων και κάθε ένα σύστημα που μεταβαίνει σε προστασία μηδενικής εμπιστοσύνης είναι ένα ακόμη που πλέον είναι πολύ πιο δύσκολο να παραβιαστεί. Οι παράγοντες απειλών αναζητούν τα… φρούτα που κρέμονται χαμηλά. Την ώρα που οι οργανισμοί οργανώνονται καθώς προχωρούν στο να επιτύχουν πλήρη μηδενική εμπιστοσύνη, ένας απρόβλεπτος αριθμός επιθέσεων θα εμποδιστεί καθιστώντας έστω και μία οντότητα δυσκολότερη στην παραβίαση από τις υπόλοιπες.
Η μηδενική εμπιστοσύνη είναι μια μεθοδολογία που σας επιτρέπει να δρέψετε καρπούς από την πρώτη κιόλας ημέρα.
Πως η Fortra υποστηρίζει το ταξίδι σας προς το Zero Trust
Η Fortra είναι υπερήφανη που ωθεί τα πράγματα προς τα εμπρός, παρέχοντας μια σειρά από λύσεις που θα σας βοηθήσουν στο ταξίδι σας προς τη μηδενική εμπιστοσύνη. Παρόλο που η αρχιτεκτονική κάθε εταιρείας είναι δική της, λειτουργούμε ως ένας ασυμβίβαστος σύμμαχος και συνεργάτης για τον προσδιορισμό των αναγκών σας σε θέματα ασφάλειας και στον εντοπισμό των ελέγχων που θα λειτουργούσαν καλύτερα με τη δική σας συγκεκριμένη περίπτωση χρήσης, λαμβάνοντας υπόψη τον κλάδο, το επίπεδο ωριμότητας και το προσωπικό στη διαδικασία.
Οι προσφορές μας περιλαμβάνουν:
- Διαβάθμιση δεδομένων. Οπτικές ετικέτες και ετικέτες μεταδεδομένων που καθοδηγούν τον τρόπο με τον οποίο θα πρέπει να γίνεται η πρόσβαση στα δεδομένα και ο διαμοιρασμός/ κοινή χρήση τους στη συνέχεια.
- Πρόληψη απώλειας δεδομένων. Μάθετε πως χρησιμοποιούνται τα δεδομένα σας και μπλοκάρετε ανεπιθύμητες ενέργειες εναντίον τους.
- Ασφαλής μεταφορά αρχείων. Κρυπτογραφήστε την αυτοματοποιημένη διαδικασία μεταφοράς αρχείων και συνδυάστε την με DRM για την πλήρη προστασία των αρχείων κατά τη μεταφορά τους.
- Ασφαλής συνεργασία. Ελέγξτε ποιος μπορεί να έχει πρόσβαση σε αρχεία -και τι μπορεί να κάνει με αυτά- ακόμη και μετά την αποστολή τους.
- Διαχείριση ταυτότητας και πρόσβασης. Διαχειριστείτε την πρόσβαση των χρηστών σε πολύτιμους πόρους και απλοποιήστε την παροχή, το PAM και τη διαχείριση των κωδικών πρόσβασης.
- Διαχείριση ακεραιότητας. Εντοπίστε λανθασμένες ρυθμίσεις/διαμορφώσεις καθώς και ενδείξεις παραβίασης με εργαλεία πολυεπίπεδης διαχείρισης.
- Διαχείριση ευπαθειών. Ανακαλύψτε αδυναμίες σε τερματικά, διακομιστές, εφαρμογές και ελέγχους ασφαλείας πριν να είναι πολύ αργά.
Αν και η εφαρμογή μηδενικής εμπιστοσύνης σε όλη την επιχείρηση αποτελεί τον πρωτεύοντα στόχο, δεν υπάρχει «γραμμή τερματισμού». Όσο οι φορείς και οι παράγοντες απειλών συνεχίζουν να βελτιώνουν την τέχνη τους, θα υπάρχουν πάντα περισσότερα exploits για να εκμεταλλευτούν και εσείς να υπερασπιστείτε. Η μηδενική εμπιστοσύνη αποτελεί διαδικασία και όχι προϊόν.
Η Fortra δίνει τη δυνατότητα στους οργανισμούς να ακολουθήσουν το ταξίδι τους προς τη μηδενική εμπιστοσύνη. Το χαρτοφυλάκιο εκτεταμένων λύσεων που διαθέτουμε λειτουργεί τόσο από κοινού όσο και ανεξάρτητα για να σας προσφέρει την καλύτερη απάντηση στην πρόκληση της μηδενικής εμπιστοσύνης – είτε με μία λύση είτε με ένα σύνολο λύσεων.
Πηγή: Fortra