В останні роки компанії почали зберігати дані в різних місцях, від традиційних мереж до постачальників хмарних послуг, а з ростом кількості роботи з дому в віртуальних інфраструктурах, таких як Desktop-as-a-Service (DaaS) і на віддалених пристроях, що належать співробітникам. Така диверсифікація місць зберігання даних несумісна з традиційними моделями мережевої безпеки, які передбачають захист даних від зовнішніх загроз, але повністю довіряють інсайдерам. Цей зсув парадигми привів до появи нової моделі безпеки: Zero Trust.
Традиційна безпека ІТ-мережі заснована на «бункерному підході», який створює захист системи від зовнішнього доступу, але за замовчуванням довіряє всім всередині мережі. Це стає проблемою, коли зловмисникам вдається проникнути всередину мережі: ніщо не заважає їм вкрасти дані або заразити всю мережу.
При правильній реалізації «бункерного підходу» дані знаходяться під ефективним захистом, але залишається дуже мало місця для гнучкості. Для захисту дані повинні залишатися в мережі. Як тільки вони переносяться за межі пристрою, наприклад, коли співробітник працює з дому, дані на цьому пристрої стають уразливими для крадіжки або втрати.
Концепція де-периметеризаціі або Zero Trust виникла, коли витоки даних стали однією з основних проблем для професіоналів в області інформаційної безпеки. В Zero Trust весь мережевий трафік вважається таким, якому не можна довіряти. Всі ресурси повинні бути перевірені і захищені, контроль доступу повинен бути строго дотриманий, а весь мережевий трафік повинен перевірятися і реєструватися.
Zero Trust, як модель ІТ-безпеки, передбачає сувору перевірку особистості кожної людини і пристроїв, які отримують доступ до ресурсів в приватній мережі, незалежно від того, чи знаходяться вони всередині або за межами периметра мережі. Як підхід до кібербезпеки Zero Trust не означає використання однієї конкретної технології, але містить декілька різних принципів.
Оскільки вартість витоку даних різко зросла, досягнувши в 2020 році 3,86 мільйона доларів за одне порушення, компанії усвідомили необхідність переходу від традиційної мережевої моделі безпеки до політики безпеки Zero Trust.
Але з чого почати в Zero Trust?
Постійний захист даних
Дані повинні бути захищені завжди, незалежно від того, чи зберігаються вони, знаходяться в русі або використовуються. Дані в русі і дані в стані спокою мають різні вразливості, які повинна усунути ефективна політика безпеки Zero Trust. Традиційні моделі безпеки зосереджуються на даних, які покидають мережу, але часто ігнорують дані, що зберігаються локально, тому що вони знаходяться в межах безпеки самої мережі.
Однак саме тут підхід до кібербезпеки, «бункерний підхід», не дозволяє захистити дані. Коли мережа зламана, ніщо не заважає кіберзлочинцям вкрасти величезні обсяги незахищених даних. Також ніщо не заважає інсайдерам вкрасти або використовувати дані не за призначенням. Тому компаніям важливо шукати способи захисту даних, незалежно від того, в якому стані вони знаходяться.
Цей крок застосовується не тільки до кінцевих точок, але також повинен застосовуватися до даних, що зберігаються в програмному забезпеченні як послуга (SaaS), DaaS і хмарних сервісах. Конфіденційні дані, що експортуються з цих сервісів, повинні залишатися в безпеці протягом усього життєвого циклу.
Розширений контроль доступу
Контроль доступу – важлива частина політик безпеки Zero Trust. Однак спонукання співробітників входити в систему кожного разу, коли вони використовують інший додаток, може знизити продуктивність і знизити задоволеність користувачів. Технологія єдиного входу (SSO) надає користувачам можливість одноразово увійти в систему зі своїми обліковими даними і отримати доступ до всіх своїх веб-додатків. Це знижує кількість паролів, які співробітники повинні використовувати щодня, і ймовірність використання слабких паролів.
Як додатковий рівень безпеки, поверх SSO можна додати багатофакторну аутентифікацію (MFA). Це означає, що, крім простого введення імені користувача і пароля, користувачам будуть потрібні додаткові фактори, такі як PIN-код, надісланий через SMS або аутентифікація через мобільні додатки, при спробі входу в систему. SSO разом з MFA забезпечує рівень безпеки відповідно до вимог політик безпеки Zero Trust.
Багато постачальників програмного забезпечення почали впроваджувати технології SSO і MFA в свої продукти, щоб підтримати впровадження компаніями моделей безпеки Zero Trust. Endpoint Protector, інтегрувала SSO і MFA для Azure Active Directory в своєму останньому оновленні, що спрощує для адміністраторів безпечну аутентифікацію з використанням всього одного набору облікових даних.
Видимість даних і ведення журналу
Безпека Zero Trust має на увазі поліпшену видимість даних і моніторинг їх переміщення. Це особливо важливо для конфіденційних категорій даних, таких як особиста інформація (PII) і інтелектуальна власність, які є об’єктами більшості витоків даних. Детальне ведення журналу і звітність повинні реєструвати всі переміщення конфіденційних даних, а також пристрої, додатки або співробітників, відповідальних за них. Журнали дозволяють компаніям виявляти підозрілу поведінку, яка може бути ознакою крадіжки даних, потенційних вразливостей в способі внутрішньої обробки даних, а також зробити свій внесок в зусилля по аудиту і дотримання нормативних вимог.
Що таке Zero Trust?
Zero Trust – це концепція безпеки, заснована на переконанні, що не слід довіряти всьому мережевого трафіку, незалежно від того, чи знаходиться він всередині або за межами периметра мережі компанії. Всі ресурси повинні бути перевірені і захищені, контроль доступу повинен бути строго дотриманий, а весь мережевий трафік повинен перевірятися і реєструватися.
