Riadiaci princíp nulovej dôvery – „nikdy nedôverovať, vždy overovať“ – sa stal základným postupom na zabezpečenie dnešných komplexných a rôznorodých cloudových sietí. Nie je to tak dávno, mohli ste zamknúť predné dvere vašej spoločnosti, s istotou, že všetky vaše cenné informácie boli zabezpečené v rámci týchto stien. Potom prišli notebooky, disky a pamäťové palice – a každý tak často počujete príbeh o tom, že niekto niekde zanecháva štátne tajomstvá vo vlaku. Dnes sú údaje vašej spoločnosti dostupné potenciálne kdekoľvek, kde je konektivita. A s bezprecedentným nárastom vzdialených a rozdelených pracovných síl môže byť „kdekoľvek“ doslova „kdekoľvek na svete“.

V týchto dňoch fungujú najlepšie softvérové riešenia v cloude – nehovoriac o miliónoch pripojených zariadení a aktív vo svetových priemyselných sieťach IoT. A zatiaľ čo cloudové aplikácie nie sú zvyčajne menej bezpečné ako aplikácie on-premise – práve naopak – v dnešnom prepojenom svete existujú nové riziká. Digitálne a cloudové technológie rozšírili to, čo odborníci na bezpečnosť nazývajú útočným povrchom každej organizácie.

Tradičné protokoly kybernetickej bezpečnosti boli modelované na myšlienku, že používatelia prechádzajú bezpečnosťou na virtuálnych predných dverách spoločnosti a potom majú chod miesta, keď sa dostali dovnútra. Inými slovami, boli vyvinuté v predcloudovom svete. Teraz však existuje viac prístupových bodov – osobný telefón zamestnanca alebo tlačiareň IoT by mohla byť potenciálnym portálom – a spoločnosti museli naraziť na svoje bezpečnostné stratégie. S kybernetickými útokmi na rekordne vysokej úrovni by malo byť zabezpečenie siete v prioritnej pozícii na vrchole zoznamu úloh. Implementácia nulovej dôvery vyžaduje záväzok a spoluprácu v celom podniku.

Nulová dôvera: Definícia a stratégia

John Kindervag pracoval ako analytik vo Forrester Research v roku 2010 – v čase, keď cloudové aplikácie a IoT zariadenia začali svoj rýchly vzostup. Kindervag správne rozpoznal obrovskú citlivosť a hodnotu údajov a duševného vlastníctva držaných vo Forresterových systémoch. V reakcii na toto rastúce riziko zaviedol termín nulová dôvera a viedol rozvoj mnohých jeho základných princípov.

Nulová dôvera môže byť definovaná ako model zabezpečenia IT, ktorý vyžaduje, aby každý používateľ a potenciálne pripojené zariadenie prísne overili svoju identitu, či sú vnútri alebo mimo oblasti spoločnosti. Nulová dôvera architektúry (ZTA) sa opiera o súbor procesov a protokolov, ako aj špecializované digitálne riešenia a nástroje na dosiahnutie úspechu.

Nulový dôveryhodný sieťový prístup (ZTNA) je aplikácia nulovej dôveryhodnej architektúry, ktorú Gartner definuje ako vytvorenie „identity a kontextu založenej, logickej hranice prístupu okolo aplikácie alebo sady aplikácií“. Tým sa tieto aplikácie odstránia z verejného zobrazenia a povolia sa len tí používatelia, ktorí sú overení a ktorí dodržiavajú vopred zadané zásady prístupu.

V skutočnosti však nulová dôvera začína ako kultúrna transformácia v rámci vašej organizácie. Zvykneme myslieť na kybernetickú bezpečnosť v súvislosti so zlými aktérmi, ktorí sa snažia úmyselne spôsobiť škodu, ale, bohužiaľ, často je to skôr neznalosť než zlomyseľnosť, ktorá vedie k riziku a strate. Nedávna správa v skutočnosti ukazuje 48 % nárast počtu e-mailových útokov len v prvej polovici roku 2022, v ktorom boli zamestnanci nalákaní na podvody alebo prezradené detaily v dôsledku phishingu. To ilustruje, prečo je vzdelávanie a kultúrny odkup takou kritickou zložkou implementácie nulovej dôvery.

Prečo sú zásady nulovej dôvery také potrebné práve teraz?

Niet pochýb o tom, že kyberútoky sú na vzostupe. V roku 2022 sa uskutočnil veľký prieskum zahŕňajúci 1 200 veľkých organizácií v 14 rôznych sektoroch a 16 krajinách. Napriek uprednostňovaniu kybernetickej bezpečnosti mnohí respondenti pripustili, že majú nedostatočnú bezpečnosť. Zistenia v skutočnosti poukázali na alarmujúci nárast počtu závažných porušení v mesiacoch 2020 až 2021 o 20,5 %.

Toto sú niektoré z ďalších bezpečnostných problémov, ktorým čelia dnešné podniky:

• Staršie brány firewall. Mnohé spoločnosti sú príliš závislé od brán firewall, ktoré predchádzajú šíreniu cloudovej konektivity. VPN sú životaschopnou pomôckou na rozšírenie brán firewall, ale nie sú účinným dlhodobým riešením vzhľadom na ich obmedzený rozsah a tendenciu spomaliť výkon obchodných aplikácií, čo následne ovplyvňuje produktivitu zamestnancov.
• Zložitosť overovania. Agnostický softvér zariadenia je skvelý pre používateľov, ale pridáva zložitú vrstvu do bezpečnostných protokolov. Aj keď majú používatelia firemné telefóny a notebooky, sú len také bezpečné ako overovacie a bezpečnostné protokoly, ktoré sú na ich ochranu zavedené.
• Zariadenia tretích strán. S pandémiou boli z domu poslané do práce celé pracovné sily – takmer zo dňa na deň. Mnohé firmy nemali inú možnosť, ako nechať zamestnancov používať vlastné počítače a zariadenia. V mnohých prípadoch boli vytvorené bezpečnostné riešenia na udržanie prevádzky podniku a zapnutých svetiel. Pre mnohé spoločnosti však tieto dočasné opatrenia ešte len nespustia a zavedú nepriestrelnejšie opatrenia nulovej dôvery pre svojich pracovníkov na diaľku.
• Neoprávnené aplikácie. Používanie podnikových aplikácií SaaS je na stabilnej trajektórii smerom nahor. Bohužiaľ, mnoho IT tímov je natiahnutých tenko, čo často spôsobuje, že používatelia sa uchýlia k nákupu vlastných aplikácií a ich využívaniu v rámci firemnej siete bez toho, aby informovali svoje IT tímy. Nielenže tieto aplikácie nepodliehajú prísnym praktikám nulovej dôvery, ale mohli tiež úplne obísť bezpečnostné opatrenia.

• Konektivita IoT. Priemyselné IoT zariadenie môže byť rovnako jednoduché ako ventilátor alebo zvárací stroj. Pretože tieto zariadenia nie sú považované za „počítač“ akéhokoľvek druhu, používatelia môžu ľahko zabudnúť, že sú potenciálnym prístupovým bodom do firemnej siete. Nulová dôvera architektúry zavádza automatizácie a procesy, ktoré zabezpečujú bezpečnosť pre všetky koncové body, stroje a aktíva IoT.
• Portály pre všetky kanály. Zamestnanci nie sú jediní vo vašom business cloude. Čoraz viac vidíme pripojené zariadenia, ako sú inteligentné regály v obchodoch a mobilné aplikácie „platiť kdekoľvek“. Každý z týchto omnichannel portálov predstavuje riziko. Nulová dôvera pomáha zabezpečiť tieto riziká bez neprimeraných nepríjemností alebo omeškaní pre vašich zákazníkov.
• Výzvy v oblasti zabezpečenia ERP. V minulých rokoch boli ERP systémy obmedzené na určité plánovacie a finančné úlohy a mali obmedzený počet používateľov v rámci podniku. Dnešné najlepšie cloudové systémy ERP sú však riadené umelou inteligenciou, rozšírenou analytikou a výkonnými, škálovateľnými databázami. Majú schopnosť integrovať sa s rôznorodými aplikáciami a systémami v celom podniku a čoraz viac sa využívajú na optimalizáciu a zefektívnenie každej prevádzkovej oblasti. Moderné ERP systémy majú zabudované pokročilé bezpečnostné systémy, ale rovnako ako každý systém, majú slabé miesta, ktoré sú spojené len so širším dosahom a prístupnosťou. Princípy nulovej dôvery, keď sa uplatňujú na silné cloudové zabezpečenie ERP, pomáhajú chrániť vaše podnikanie v každej fáze.

Ako funguje nulová dôvera?

Nulová dôvera kombinuje súbor technológií a protokolov, ako je viacfaktorová autentifikácia, riešenia zabezpečenia koncových bodov a cloudové nástroje na monitorovanie a overovanie rôznych atribútov a identít – od používateľov až po koncové body. Nulová dôvera tiež vyžaduje šifrovanie dát, e-mailov a pracovných zaťažení, aby sa zabezpečila ich bezpečnosť. V podstate nulové dôveryhodné protokoly:

• Ovládanie a obmedzenie prístupu k sieti od kohokoľvek, kdekoľvek, prostredníctvom akéhokoľvek zariadenia alebo zariadenia
• Overte každého používateľa alebo zariadenie, ktoré robí alebo by mohlo získať prístup na ľubovoľnú úroveň siete
• Zaznamenávanie a kontrola všetkých sieťových prenosov v reálnom čase

Model zabezpečenia nulovej dôveryhodnosti používa politiku potreby poznania. V podstate to znamená, že používatelia majú prístup len k údajom a aplikáciám, ktoré potrebujú na vykonávanie svojich úloh. A opäť, technológia je dvojsečný meč v pretekoch o lepšiu kyberbezpečnosť. Keďže sa digitálne riešenia a konektivita zlepšujú, vytvárajú väčšiu útočnú plochu, preto sú potrebné lepšie a rýchlejšie bezpečnostné technológie, aby udržali krok. A nielen držať krok, ale tiež spôsobiť minimálne nepríjemnosti a narušenie pre užívateľa. To si vyžaduje vysoko agilné a dynamické bezpečnostné politiky, podporované kontextovými informáciami a maximálnym množstvom dostupných dátových bodov – a v reálnom čase. Kto je táto osoba? Kde sú? K čomu sa snažia dostať? Prečo potrebujú tento prístup? Ktoré zariadenie alebo koncový bod prichádzajú na?

Výhody riešení s nulovou dôverou

Pri ich najvážnejšom porušení dát môže byť katastrofické. V stávke sú osobné údaje vašich zákazníkov, ako aj vaše financie, duševné vlastníctvo a samozrejme vaša dobrá povesť. Podobne ako poistenie, investície do cenných papierov sa môžu zdať ako veľký výdavok…, kým ich nepotrebujete. A potom vyzerajú ako malá cena na zaplatenie na ochranu vášho podnikania.

Niektoré z mnohých výhod riešení nulovej dôvery zahŕňajú:

• Ochrana hybridných a vzdialených pracovných síl. Diskutovali sme o tom, ako pracovníci na diaľku a osobné zariadenia vylepšili hru kybernetickej bezpečnosti. Nebezpečná však nie je len vaša spoločnosť. Kyberzločinci sa môžu osobne zamerať na vašich zamestnancov, takže je dôležité zabezpečiť, aby boli zavedené prísne opatrenia na zníženie ich rizika a vášho.
• Podpora agility a nových obchodných modelov. Aby podniky mohli konkurovať a zvládať narušenia, musia byť schopné inšpirovať a skúmať nové obchodné modely. To znamená onboarding nových aplikácií, softvéru a pripojených aktív. Zabezpečenie bezpečnosti za týchto okolností je skľučujúcou úlohou, ak sa s ňou manipuluje manuálne. Našťastie, najlepšie softvérové nástroje s nulovou dôverou dokážu urýchliť prácu s inteligentnou automatizáciou a prispôsobiteľnými riešeniami, ktoré zabezpečujú vykonanie všetkých dôležitých krokov.
• Zníženie výdavkov na zdroje IT. Spýtajte sa ktoréhokoľvek IT profesionála, koľko času strávi na manuálnych bezpečnostných úlohách – odpoveď je pravdepodobne „priveľa“. Keď podniky presúvajú svoje základné podnikové systémy do cloudu, opravy a aktualizácie zabezpečenia sa môžu automatizovať a vykonávať na pozadí. To platí aj pre bezpečnostné protokoly s nulovou dôverou. Od používateľov po koncové body je možné automatizovať a plánovať mnohé základné úlohy šifrovania a overovania spojené s nulovou dôveryhodnosťou.
• Poskytovanie presného inventára. Zásady nulovej dôvery vyžadujú, aby spoločnosť udržiavala presný inventár všetkých aktív, používateľov, zariadení, aplikácií a prepojených zdrojov. Vďaka správnym riešeniam je možné aktualizácie zásob nastaviť tak, aby sa automaticky aktualizovali, čím sa zaistí presnosť v reálnom čase. V prípade pokusu o porušenie je to neoceniteľný vyšetrovací nástroj. Okrem toho majú spoločnosti často milióny naviazané na nehybný majetok, takže presný inventár je aj finančnou výhodou.
• Poskytovanie lepšej používateľskej skúsenosti. Tradičné overovacie procesy by mohli byť pomalé a ťažko zvládnuteľné. To viedlo k tomu, že používatelia sa buď snažili obchádzať bezpečnostné protokoly, alebo sa dokonca vyhýbali používaniu základných nástrojov a aplikácií, pretože sa ťažko používajú. Najlepšie riešenia s nulovou dôverou sú postavené tak, aby boli nevtieravé a reagujúce, čo odbremeňuje zamestnancov od ťažkostí s vymýšľaním (a potom zabudnutím) hesiel a procesmi overovania s pomalou reakciou.

Nulová dôvera osvedčených postupov: Začíname

Existuje niekoľko úloh, ktoré budete musieť vykonať, akonáhle sa začala vaša transformácia nulovej dôvery. To zahŕňa katalogizáciu vašich aktív, definovanie segmentov v rámci vašej organizácie a klasifikáciu údajov na plynulejší prechod.

Nulová dôvera začína záväzkom a nasledujúce kroky vám môžu pomôcť rozbehnúť sa:

• Splnomocnenec. Váš IT tím je už príliš zaneprázdnený. Zvážte uvedenie alebo vymenovanie špecializovaného odborníka na riadenie zmien kybernetickej bezpečnosti, ktorý vám môže pomôcť zmierniť riziká, nájsť príležitosti na zlepšenie a vytvoriť realizovateľný itinerár.
• Komunikácia Čelme tomu, vaši zamestnanci nebudú okamžite nadšení správami o prísnejších bezpečnostných opatreniach. Keďže investujete do lepšej bezpečnosti, mali by ste investovať aj do pútavejšieho posolstva a komunikácie okolo tejto transformácie. Existuje veľa skutočných príkladov nebezpečenstva počítačovej kriminality. Pomôžte svojim tímom pochopiť, že to nie je len C-suite, ktorý je zasiahnutý porušením údajov – to stojí pracovné miesta, ovplyvňuje jednotlivcov a ohrozuje prežitie spoločnosti.
• Audit. Práca s bezpečnostným špecialistom, vytvorenie kontrolného zoznamu bezpečnostných rizík a audit každej oblasti podnikania. Rozbite zásobníky a spojte sa s odborníkmi z celého tímu. Lepšie poznajú ako ktokoľvek iný, kde sú slabé stránky a slabé miesta vo svojich oblastiach – najmä v komplexných, globálnych operáciách, ako sú dodávateľské reťazce a logistika.
• Uprednostniť. Určte relatívnu dôležitosť a naliehavosť všetkých svojich obchodných operácií a úloh a priraďte hodnotenie. Určiť hodnotenie založené na rolách o tom, kto kriticky potrebuje prístup k veciam a kto menej. Táto počiatočná priorita vám tiež pomôže pripraviť vás na mikrosegmentáciu, ktorá je základnou zložkou nulovej dôvery – zabraňuje bočnému pohybu a jeho sprievodnému vystaveniu sa porušeniam údajov.

V dnešnom svete eufemizmu a starostlivého jazyka sa môže nulová dôvera zdať vašim zamestnancom ako trochu cynický pojem. Takže, dostať von pred tým, keď predstavíte nulovú dôveru svojim tímom. Na úvod im povedzte, že to v žiadnom prípade neznamená, že im nedôverujete. Je to kyberzločinci, ktorým by nikto nemal dôverovať – pretože môžu spôsobiť, že sa veci zdajú byť niečím, čím nie sú. Môžu preniknúť cez najmenšie medzery a keď sú vo vnútri, je im jedno, koho poškodia.