Провідний принцип нульової довіри — «ніколи не довіряй, завжди перевіряй» — став важливою практикою для забезпечення сучасних складних і різноманітних хмарних мереж. Не так давно можна було замкнути вхідні двері вашої компанії, впевнившись, що вся ваша цінна інформація була захищена в цих стінах. Потім з’явилися ноутбуки, диски та флешки пам’яті — і кожен так часто чуєш історію про когось, хто десь залишає державну таємницю у потязі. Сьогодні дані вашої компанії доступні потенційно будь-де, де є підключення. І з безпрецедентним підйомом віддалених і розподілених робочих сил, що «де завгодно» може бути буквально «в будь-якій точці земної кулі».

У наші дні найкращі програмні рішення працюють у хмарі — не кажучи вже про мільйони підключених пристроїв та активів у світових індустріальних мережах IoT. І хоча хмарні додатки, як правило, не менш безпечні, ніж локальні (зовсім навпаки), є нові ризики в сучасному пов'язаному світі. Цифрові та хмарні технології розширили те, що експерти з безпеки називають поверхнею атаки кожної організації.

Традиційні протоколи кібербезпеки були змодельовані на ідеї, що користувачі проходять через безпеку у віртуальних вхідних дверях компанії, а потім мають місце, коли вони потрапили всередину. Іншими словами, вони розвивалися в дохмарному світі. Але тепер існує більше точок доступу — особистий телефон працівника або IoT-принтер може бути потенційним порталом, і компаніям довелося зламати свої стратегії безпеки. З кібератаками на рекордно високому рівні мережева безпека повинна бути в пріоритетному положенні у верхній частині вашого списку справ. Впровадження нульової довіри вимагає відданості та співпраці у всьому бізнесі.

Нульова довіра: визначення та стратегія

Джон Кіндерваг працював аналітиком у Forrester Research у 2010 році, коли хмарні додатки та пристрої IoT почали швидко зростати. Kindervag справедливо визнав величезну чутливість і цінність даних і інтелектуальної власності, що знаходяться в системах Forrester. У відповідь на цей зростаючий ризик, він придумав термін «нульова довіра» і очолив розробку багатьох його основних принципів.

Нульова довіра може бути визначена як модель ІТ-безпеки, яка вимагає від кожного користувача і потенційно підключеного пристрою, щоб суворо перевірити свою ідентичність, чи знаходяться вони всередині або за межами периметрів компанії. Архітектура Zero Trust (ZTA) спирається на набір процесів і протоколів, а також виділених цифрових рішень та інструментів для досягнення успіху.

Zero trust network access (ZTNA) — це застосування архітектури нульового трасту, яке Gartner визначає як створення «ідентифікації та контексту, логічної межі доступу навколо програми або набору додатків». Це видаляє ці застосунки з загальнодоступного подання і дозволяє лише тим користувачам, які перевірені та дотримуються попередньо визначених політик доступу.

Але насправді нульова довіра починається як культурна трансформація всередині вашої організації. Ми схильні думати про кібербезпеку з точки зору поганих акторів, які прагнуть навмисно завдати шкоди, але, на жаль, це часто невігластво, а не злоба, що призводить до ризику і втрати. Насправді, нещодавній звіт показує 48% збільшення атак електронною поштою лише за перше півріччя 2022 року, в яких співробітники були заманені в афери або розкриті деталі в результаті фішингу. Це ілюструє, чому освіта та культурний бай-ін є такою критичною складовою реалізації нульової довіри.

Чому зараз так необхідні нульові принципи довіри?

Немає сумнівів у тому, що кібератаки перебувають на підйомі. У 2022 році було проведено велике опитування за участю 1200 великих організацій у 14 різних секторах та 16 країнах світу. Незважаючи на пріоритетність кібербезпеки, багато респондентів зізналися, що мають неадекватну безпеку. Фактично, висновки показали тривожне зростання кількості матеріальних порушень у період з 2020 по 2021 рік на 20,5%.

Нижче наведено деякі інші виклики безпеці, з якими стикаються сьогоднішні підприємства:

• Застарілі брандмауери. Багато компаній надмірно залежать від брандмауерів, які передували поширенню хмарного підключення. VPN є життєздатними бандажами для збільшення брандмауерів, але вони не є ефективним довгостроковим рішенням через їх обмеженість сфери застосування та тенденцію уповільнювати продуктивність бізнес-додатків, що, у свою чергу, впливає на продуктивність співробітників.
• Перевірка складності. Агностичне програмне забезпечення пристрою чудово підходить для користувачів, але додає складний рівень до протоколів безпеки. Навіть коли у користувачів є телефони та ноутбуки компанії, вони є такими ж безпечними, як і протоколи перевірки та безпеки, які існують для їх захисту.
• Сторонні пристрої. З пандемією цілі робочі сили були відправлені на роботу з дому — майже за ніч. Багато компаній не мали іншого вибору, окрім як дозволити співробітникам користуватися власними комп'ютерами та пристроями. У багатьох випадках були встановлені обхідні шляхи безпеки, щоб зберегти роботу бізнесу та ввімкнути світло. Але для багатьох компаній вони поки що мають розгадати ці тимчасові заходи і впровадити більш куленепробивні заходи нульової довіри для своїх віддалених працівників.
• Неавторизовані застосунки. Використання додатків SaaS для бізнесу знаходиться на стійкій висхідній траєкторії. На жаль, багато ІТ-команд розтягуються тонко, часто змушуючи користувачів вдаватися до покупки власних додатків і використання їх всередині мережі компанії, не інформуючи свої ІТ-команди. Ці програми не тільки не підпадають під сувору практику нульової довіри, але й могли взагалі обійти заходи безпеки.

• Підключення до IoT. Промисловий пристрій IoT може бути таким же простим, як вентилятор або зварювальний апарат. Оскільки ці пристрої не вважаються «комп'ютером» будь-якого роду, користувачі можуть легко забути, що вони є потенційною точкою доступу в мережу компанії. Архітектура нульового трасту ставить автоматизацію та процеси на місце, які забезпечують безпеку для всіх кінцевих точок, машин та IoT активів.
• Багатоканальні портали. Працівники не єдині у вашій бізнес-хмарі. Все частіше ми бачимо підключені пристрої, такі як розумні полиці в магазинах, і «платити в будь-якому місці» мобільних додатків. Будь-який з цих омніканальних порталів представляє ризик. Нульова довіра допомагає забезпечити ці ризики без надмірних незручностей або затримки для ваших клієнтів.
• Виклики безпеки ERP. У минулому році ERP-системи обмежувалися певними завданнями з планування та фінансування та мали обмежену кількість користувачів у бізнесі. Однак найкращі сучасні хмарні ERP-системи керуються штучним інтелектом, передовою аналітикою та потужними масштабованими базами даних. Вони мають можливість інтегруватися з розрізненими додатками та системами в усьому бізнесі і все частіше використовуються для оптимізації та оптимізації кожної операційної області. Сучасні ERP-системи мають передові системи безпеки, вбудовані, але, як і будь-яка система, вони мають вразливості, які тільки з'єднуються з більш широким охопленням і доступністю. Нульові принципи довіри, застосовані до сильної безпеки хмарного ERP, допомагають захистити ваш бізнес на кожному етапі.

Як працює нульова довіра?

Zero trust поєднує в собі набір технологій і протоколів, таких як багатофакторна автентифікація, рішення безпеки кінцевої точки та хмарні інструменти для моніторингу та перевірки різноманітних атрибутів та ідентичностей — від користувачів до кінцевих точок. Нульова довіра також вимагає шифрування даних, електронних листів і робочих навантажень для забезпечення їх безпеки. По суті, нульові протоколи довіри:

• Контролювати та обмежувати доступ до мережі будь-хто, будь-де, через будь-який пристрій або актив
• Перевірте будь-якого користувача або актив, який виконує або може отримати доступ до будь-якого рівня мережі
• Записуйте та перевіряйте весь мережевий трафік в режимі реального часу

Модель безпеки нульової довіри використовує політику необхідності знати. По суті, це означає, що користувачі мають доступ лише до даних і застосунків, які їм потрібні для виконання своїх завдань. І в черговий раз технологія - це двосічний меч в гонці за кращу кібербезпеку. Оскільки цифрові рішення та підключення покращуються, вони створюють більшу поверхню атаки, тому для того, щоб не відставати, потрібні кращі та швидші технології безпеки. І не просто не відставати, а й завдавати користувачеві мінімальних незручностей і збоїв. Для цього потрібні дуже гнучкі та динамічні політики безпеки, підтримувані контекстною інформацією та максимальною кількістю доступних точок даних — і в режимі реального часу. Хто ця людина? Де вони? До чого вони намагаються отримати доступ? Навіщо їм цей доступ? На якому пристрої чи кінцевій точці вони входять?

Переваги нульових довірчих рішень

При найсерйозніших їх порушеннях дані можуть бути катастрофічними. Приватні дані ваших клієнтів на кону, як і ваші фінанси, ваша інтелектуальна власність, і, звичайно ж, ваша хороша репутація. Як і страхування, інвестиції в безпеку можуть здатися великими витратами… поки вони вам не знадобляться. А потім вони виглядають як невелика ціна, щоб заплатити, щоб захистити свій бізнес.

Деякі з багатьох переваг нульових довірчих рішень включають в себе:

• Захист гібридних і віддалених робочих сил. Ми обговорили, як віддалені працівники та особисті пристрої підвищили рівень кібербезпеки гри. Але ризикує не лише ваша компанія. Кіберзлочинці можуть націлюватися на ваших співробітників особисто, тому важливо забезпечити суворі заходи, щоб зменшити їхній ризик і ваш.
• Підтримка спритності та нових бізнес-моделей. Щоб конкурувати та керувати збоями, підприємства повинні мати можливість об'єднувати та досліджувати нові бізнес-моделі. Це означає інтеграцію нових застосунків, програмного забезпечення та підключених активів. Забезпечення безпеки за цих обставин є складним завданням, якщо воно обробляється вручну. На щастя, найкращі програмні засоби нульової довіри можуть прискорити роботу з інтелектуальною автоматизацією та налаштовуваними рішеннями, які забезпечують виконання всіх важливих кроків.
• Зменшення витрат на ІТ-ресурси. Запитайте будь-якого ІТ-фахівця, скільки часу вони витрачають на завдання безпеки вручну — відповідь, ймовірно, «занадто». Оскільки підприємства переносять свої основні корпоративні системи в хмару, виправлення та оновлення безпеки можуть бути автоматизовані та виконані у фоновому режимі. Це стосується і нульових протоколів безпеки довіри. Від користувачів до кінцевих точок можна автоматизувати та запланувати багато завдань шифрування та перевірки ядра, пов’язаних із нульовим рівнем довіри.
• Надання точного запасу. Принципи нульової довіри вимагають від компанії точного обліку всіх активів, користувачів, пристроїв, додатків і підключених ресурсів. Завдяки правильним рішенням оновлення запасів можна налаштувати на автоматичне оновлення, забезпечуючи точність у реальному часі. У разі спроби порушення це безцінний слідчий інструмент. Крім того, компанії часто мають мільйони пов'язаних активів, тому точний запас також є фінансовою вигодою.
• Покращення взаємодії з користувачем. Традиційні процеси перевірки можуть бути повільними і важкими в управлінні. Це призвело до того, що користувачі або намагаються обійти протоколи безпеки, або навіть уникнути використання основних інструментів і додатків через те, що їх важко використовувати. Найкращі рішення нульової довіри побудовані таким чином, щоб бути ненав'язливими та чуйними, позбавляючи працівників від клопоту винаходу (а потім і забуття) паролів, а також повільних процесів перевірки.

Найкращі практики нульової довіри: початок роботи

Є кілька завдань, які вам потрібно буде виконати, як тільки почнеться трансформація нульової довіри. Це включає каталогізацію ваших активів, визначення сегментів у вашій організації та класифікацію ваших даних для більш плавного переходу.

Нульова довіра починається з зобов'язання, і наступні кроки можуть допомогти вам стати крутими:

• Делегувати. Ваша ІТ-команда вже занадто зайнята. Подумайте про залучення або призначення спеціалізованого фахівця з управління змінами у кібербезпеці, який може допомогти вам зменшити ризики, виявити можливості для покращення та побудувати працездатну дорожню карту.
• Спілкуйтеся. Давайте зіткнемося з цим, ваші співробітники не збираються відразу бути в захваті від новин про суворіші заходи безпеки. Коли ви інвестуєте в кращу безпеку, ви також повинні інвестувати в більш цікаві повідомлення та спілкування навколо цієї трансформації. Існує безліч реальних прикладів небезпеки кіберзлочинності. Допоможіть вашим командам зрозуміти, що це не тільки C-suite, який потрапляє в порушення даних - це коштує робочих місць, впливає на людей і загрожує виживання компанії.
• Аудит. Працюючи з фахівцем з безпеки, встановлюйте контрольний список безпекових ризиків і проведіть аудит кожної сфери бізнесу. Розбийте силоси та підключіться до профільних спеціалістів у вашій групі. Вони знають краще, ніж будь-хто, де слабкі місця і вразливості знаходяться в їх областях, особливо в складних глобальних операціях, таких як ланцюги поставок і логістика.
• Пріоритет. Визначте відносну важливість і терміновість всіх ваших бізнес-операцій і завдань і присвойте рейтинг. Визначити рольову оцінку того, кому критично потрібен доступ до речей, а хто менше. Це початкове визначення пріоритетів також допоможе підготувати вас до мікросегментації, яка є фундаментальним компонентом нульової довіри — запобігання бічному руху та його супутньому впливу на порушення даних.

У сучасному світі евфемізмів і обережної мови нульова довіра може здатися вашим співробітникам дещо цинічним терміном. Отже, виходьте перед тим, коли вводите нульову довіру своїм командам. Скажіть їм на початку, що це жодним чином не означає, що ви їм не довіряєте. Це кіберзлочинці, яким ніхто не повинен довіряти, тому що вони можуть змусити речі здаватися такими, якими вони не є. Вони можуть проникнути крізь найдрібніші прогалини і, коли вони всередині, їм байдуже, кого вони пошкоджують.