Ведущий принцип нулевого доверия — «никогда не доверяй, всегда проверяй» — стал важнейшей практикой обеспечения безопасности современных сложных и разнообразных облачных сетей. Не так давно можно было запереть входную дверь своей компании, уверенную в том, что вся ваша ценная информация защищена в этих стенах. Потом появились ноутбуки, диски и карты памяти — и каждый так часто вы слышали историю о том, что кто-то где-то оставлял государственные секреты на поезде. Сегодня данные вашей компании доступны везде, где есть подключение. И с беспрецедентным ростом числа удаленных и распределенных сотрудников, «где угодно» может быть буквально «в любом месте земного шара».

В наши дни лучшие программные решения работают в облаке — не говоря уже о миллионах подключенных устройств и активов в мировых промышленных сетях Интернета вещей. И хотя облачные приложения, как правило, не менее безопасны, чем локальные, наоборот, в современном подключенном мире возникают новые риски. Цифровые и облачные технологии расширили то, что эксперты по безопасности называют поверхностью атак каждой организации.

Традиционные протоколы кибербезопасности были смоделированы на основе идеи о том, что пользователи проходят через безопасность на виртуальной входной двери компании, а затем управляют местом, как только попадают внутрь. Другими словами, они были разработаны в предоблачном мире. Но теперь есть больше точек доступа — персональный телефон сотрудника или принтер Интернета вещей может быть потенциальным порталом — и компаниям пришлось взломать стратегии безопасности. Когда кибератаки имеют рекордно высокий уровень, сетевая безопасность должна находиться в приоритетном положении в верхней части вашего списка задач. Внедрение с нулевым доверием требует приверженности и сотрудничества в масштабе всей компании.

Нулевое доверие: определение и стратегия

Джон Киндерваг работал аналитиком Forrester Research в 2010 году, когда облачные приложения и устройства Интернета вещей начали стремительно расти. Киндерваг справедливо признал огромную чувствительность и ценность данных и интеллектуальной собственности, хранящихся в системах Forrester. В ответ на этот растущий риск он ввел термин нулевого доверия и руководил разработкой многих из его основных принципов.

Нулевое доверие может быть определено как модель ИТ-безопасности, которая требует от каждого пользователя и потенциально подключенного устройства строго проверять их личность независимо от того, находятся ли они внутри или за пределами периметров компании. Архитектура Zero Trust (ZTA) опирается на набор процессов и протоколов, а также специализированные цифровые решения и инструменты для достижения успеха.

Zero trust network access (ZTNA) — это приложение архитектуры нулевого доверия, которое Gartner определяет как создание «границы логического доступа на основе идентификации и контекста вокруг приложения или набора приложений». При этом эти приложения удаляются из общедоступного ракурса и разрешены только для тех пользователей, которые проверены и соблюдают предварительно определенные политики доступа.

Но на самом деле нулевое доверие начинается как культурная трансформация в вашей организации. Мы склонны думать о кибербезопасности с точки зрения плохих субъектов, которые намеренно стремятся причинить вред, но, к сожалению, это часто невежество, а не злоба, что приводит к риску и потере. На самом деле, недавний отчет показывает, что всего за первую половину 2022 года количество атак по электронной почте увеличилось на 48%, в результате фишинга сотрудников заманили в мошенники или разглашали подробности. Это свидетельствует о том, что образование и культурная заинтересованность являются столь важным компонентом нулевого доверия.

Почему принципы нулевого доверия так необходимы сейчас?

Нет никаких сомнений в том, что кибератаки растут. В 2022 году было проведено крупное обследование с участием 1200 крупных организаций из 14 различных секторов и 16 стран. Несмотря на уделение приоритетного внимания кибербезопасности, многие респонденты признали неадекватность безопасности. На самом деле, результаты показали тревожный рост числа материальных нарушений в период с 2020 по 2021 год на 20,5%.

Ниже перечислены некоторые другие проблемы безопасности, с которыми сталкиваются современные компании:

• Старые брандмауэры. Многие компании чрезмерно полагаются на брандмауэры, которые предшествовали распространению облачных подключений. VPN являются жизнеспособным подспорьем для усиления брандмауэров, но они не являются эффективным долгосрочным решением из-за их ограниченного объема и тенденции к снижению производительности бизнес-приложений, что, в свою очередь, влияет на производительность сотрудников.
• Сложность проверки. Независимое от устройства программное обеспечение отлично подходит для пользователей, но добавляет сложный уровень к протоколам безопасности. Даже когда у пользователей есть телефоны и ноутбуки компании, они являются такими же безопасными, как протоколы проверки и безопасности, которые существуют для их защиты.
• Сторонние устройства. После пандемии весь персонал был отправлен на работу из дома — почти за одну ночь. У многих компаний не было другого выбора, кроме как позволить сотрудникам использовать собственные компьютеры и устройства. Во многих случаях устанавливались обходные пути безопасности для поддержания работы бизнеса и освещения. Но для многих компаний им еще предстоит разгадать эти временные меры и внедрить более пуленепробиваемые нулевые меры доверия для своих удаленных работников.
• Неавторизованные приложения. Использование бизнес-приложений SaaS проходит стабильную восходящую траекторию. К сожалению, многие ИТ-команды ограничены, из-за чего пользователи часто прибегают к приобретению собственных приложений и их использованию в сети компании, не информируя ИТ-команды. Эти приложения не только не подпадают под строгую нулевую практику доверия, но и, возможно, вообще обошли меры безопасности.

• Возможность подключения к Интернету вещей. Промышленное устройство Интернета вещей может быть простым, как вентилятор или сварочный аппарат. Поскольку эти устройства не считаются «компьютером» любого рода, пользователи могут легко забыть, что они являются потенциальной точкой доступа в сеть компании. Архитектура Zero Trust реализует автоматизации и процессы, обеспечивающие безопасность всех конечных точек, компьютеров и активов Интернета вещей.
• Омниканальные порталы. Сотрудники — это не единственные сотрудники в вашем облаке для бизнеса. Все чаще мы видим подключенные устройства, такие как «умные полки» в магазинах и мобильные приложения «оплачивайте где угодно». Любой из этих омниканальных порталов представляет риск. Нулевое доверие помогает защитить эти риски без излишних неудобств или задержек для ваших клиентов.
• Проблемы безопасности ERP. В прошлом системы ERP ограничивались определенными задачами планирования и финансов и имели ограниченный набор пользователей в рамках бизнеса. Однако сегодня лучшие облачные ERP-системы управляются искусственным интеллектом, расширенной аналитикой и мощными масштабируемыми базами данных. Они могут интегрироваться с разрозненными приложениями и системами в масштабе всей компании и все чаще используются для оптимизации и оптимизации всех операционных областей. Современные ERP-системы имеют передовые системы безопасности, встроенные в систему, но, как и любая другая система, они имеют уязвимости, которые только сочетаются с более широким охватом и доступностью. Нулевые принципы доверия, применяемые к надежной безопасности облачной ERP-системы, помогают защитить ваш бизнес на каждом этапе.

Как работает нулевое доверие?

Zero trust объединяет набор технологий и протоколов, таких как многофакторная аутентификация, решения для безопасности конечных точек и облачные инструменты для мониторинга и проверки различных атрибутов и идентичностей — от пользователей до конечных точек. Нулевое доверие также требует шифрования данных, электронной почты и рабочей нагрузки для обеспечения их безопасности. По сути, нулевые протоколы доверия:

• Контроль и ограничение доступа к сети от любого пользователя, в любом месте, с помощью любого устройства или актива
• Проверка любого пользователя или актива, который получает или может получить доступ к любому уровню сети
• Регистрация и проверка всего сетевого трафика в реальном времени

Модель безопасности нулевого доверия использует политику служебной необходимости. По сути, это означает, что пользователи имеют доступ только к данным и приложениям, необходимым им для выполнения своих задач. И опять же, технология является обоюдоострым мечом в гонке за лучшую кибербезопасность. По мере улучшения цифровых решений и подключений они создают большую поверхность атаки, поэтому для поддержания стабильности необходимы более эффективные и быстрые технологии безопасности. И не только поддерживать себя, но и вызывать минимальные неудобства и сбои для пользователя. Для этого требуются гибкие и динамические политики безопасности, поддерживаемые контекстной информацией и максимальным количеством доступных точек данных, и в реальном времени. Кто этот человек? Где они? К чему они пытаются получить доступ? Зачем им такой доступ? На какое устройство или в какую конечную точку они поступают?

Преимущества решений нулевого доверия

Наиболее серьезные случаи утечки данных могут быть катастрофическими. На карту поставлены частные данные ваших клиентов, как и ваши финансы, ваша интеллектуальная собственность и, конечно же, ваша хорошая репутация. Как и страхование, инвестиции в безопасность могут показаться большими расходами… пока они вам не понадобятся. И тогда они выглядят как небольшая цена, чтобы заплатить, чтобы защитить ваш бизнес.

Некоторые из многих преимуществ решений нулевого доверия:

• Защита гибридных и удаленных сотрудников. Мы обсудили, как удаленные сотрудники и персональные устройства повысили уровень кибербезопасности. Но риск возникает не только в вашей компании. Киберпреступники могут нацеливаться на ваших сотрудников лично, поэтому важно обеспечить принятие строгих мер для снижения их риска и вашего.
• Поддержка гибкости и новых бизнес-моделей. Чтобы успешно конкурировать и справляться с революционными изменениями, компании должны иметь возможность пересматривать и изучать новые бизнес-модели. Это означает адаптацию новых приложений, программного обеспечения и подключенных активов. Обеспечение безопасности в этих условиях является сложной задачей при обработке вручную. К счастью, лучшие программные инструменты без доверия могут ускорить работу благодаря интеллектуальной автоматизации и настраиваемым решениям, обеспечивающим выполнение всех важных шагов.
• Сокращение расходов на ИТ-ресурсы. Спросите любого ИТ-специалиста, сколько времени они тратят на выполнение задач безопасности вручную — ответ, вероятно, «слишком много». Когда компании переносят свои базовые корпоративные системы в облако, исправления безопасности и обновления можно автоматизировать и выполнять в фоновом режиме. Это также относится к протоколам безопасности нулевого доверия. От пользователей до конечных точек можно автоматизировать и запланировать многие основные задачи шифрования и проверки, связанные с нулевым доверием.
• Обеспечение точного учета запасов. Принципы нулевого доверия требуют от компании ведения точной инвентаризации всех активов, пользователей, устройств, приложений и подключенных ресурсов. При наличии правильных решений можно настроить обновление запасов для автоматического обновления, обеспечивая точность в реальном времени. В случае покушения на нарушение, это бесценный инструмент расследования. Кроме того, компании часто связывают миллионы попутных активов, поэтому точная инвентаризация также является финансовой выгодой.
• Улучшение взаимодействия с пользователем. Традиционные процессы проверки могут быть медленными и трудноуправляемыми. Это привело к тому, что пользователи либо пытались обойти протоколы безопасности, либо даже избежать использования важных инструментов и приложений из-за того, что их трудно использовать. Лучшие решения с нулевым доверием создаются таким образом, чтобы они не были навязчивы и отзывчивы, избавляя сотрудников от проблем с изобретением (а затем забывая) паролей и замедляя процессы проверки.

Лучшие практики нулевого доверия: начало работы

Есть несколько задач, которые вам нужно будет выполнить, как только ваше преобразование нулевого доверия началось. Сюда входит каталогизация активов, определение сегментов в организации и классификация данных для более плавного перехода.

Нулевое доверие начинается с обязательства, и следующие шаги могут помочь вам получить скользящий:

• Делегировать. Ваша ИТ-команда уже слишком занята. Подумайте о привлечении или назначении специалиста по управлению изменениями в области кибербезопасности, который поможет снизить риски, выявить возможности для улучшения и составить выполнимую маршрутную карту.
• Сообщить. Посмотрим правде в глаза, ваши сотрудники не будут в восторге от новостей о более строгих мерах безопасности. Инвестируя в повышение безопасности, вы также должны инвестировать в обмен сообщениями и коммуникацию по поводу этой трансформации. Существует множество реальных примеров опасности киберпреступности. Помогите своим командам понять, что не только руководство компании сталкивается с проблемой утечки данных, оно требует рабочих мест, влияет на отдельных сотрудников и угрожает выживанию компании.
• Аудит. Работа со специалистом по безопасности, создание контрольного списка рисков безопасности и аудит каждой сферы деятельности. Устраните разрозненность и общайтесь со специалистами по предметам в команде. Они лучше всех знают, где слабые места и уязвимости есть в их областях, особенно в сложных глобальных операциях, таких как цепочки поставок и логистика.
• Назначьте приоритет. Определите относительную важность и срочность всех бизнес-операций и задач и присвойте рейтинг. Определение на основе ролей оценки того, кому критически нужен доступ к вещам и кто меньше. Первоначальное определение приоритетов также поможет подготовить вас к микросегментации, которая является фундаментальным компонентом нулевого доверия, предотвращая боковое перемещение и сопутствующее воздействие утечки данных.

В современном мире эвфемизмов и осторожного языка нулевое доверие может показаться вашим сотрудникам как несколько циничный термин. Поэтому, когда вы не доверяете своим командам, будьте готовы к этому. Прежде всего, скажите им, что это никоим образом не означает, что вы им не доверяете. Это киберпреступники, которым никто не должен доверять — потому что они могут сделать вещи кажутся чем-то, чем они не являются. Они могут пробраться через самые тупые пробелы, и как только они находятся внутри, им всё равно, кому они наносят ущерб.