Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

CiekawostkiPoradniki

Zero Trust: Dlaczego tradycyjne podejście do bezpieczeństwa już nie wystarcza?

piotrek

Piotr R

23 kwietnia 2025

Ochrona poufnych informacji, obrona aplikacji przed atakami i zabezpieczanie infrastruktury organizacyjnej nigdy nie były trudniejsze. Migracja do chmury zmieniła role obrońców, mikrousług i interfejsów API, tworząc wysoce rozproszoną powierzchnię zagrożenia, a przyjęcie oprogramowania open source oznacza, że w aplikacjach uwzględniono więcej kodu stron trzecich. Choć technologie te zwiększają elastyczność i przyspieszają wprowadzanie produktów na rynek, stanowią również wyzwanie dla tradycyjnych zasad bezpieczeństwa.

Proaktywna strategia obrony

Jedną ze strategii bezpieczeństwa, która jest słabo dostosowana do nowoczesnych podejść rozwojowych, jest obrona perymetryczna. Wykorzystuje ona podejście „Fosy i zamku” do obrony zasobów; silna obrona obwodowa utrzymuje przeciwników na zewnątrz i umożliwia „zaufanym użytkownikom” nieograniczony dostęp do zasobów po wejściu do zamku.

Obecnie takie podejście stwarza kilka problemów:

  • Podejście Moat and Castle zakładało, że wszystkie cenne zasoby i autoryzowani użytkownicy znajdują się w zamku. Obecnie zasoby te mogą znajdować się w dowolnym miejscu: na miejscu, w chmurze i wirtualnie. Ponadto mogą znajdować się nawet w sieciach należących do konkurencji. Tworzenie reguł sieciowych w celu zarządzania tym jest skomplikowane.
  • Mikrousługi i API skutkują interakcjami między pracownikami etatowymi, kontrahentami, konkurentami i dostawcami. Kontrole bezpieczeństwa sieci organizacyjnej nie skalują się dobrze w tym przypadku.
  • Pracownicy są dziś coraz bardziej zdalni i uzyskują dostęp do Internetu z sieci niekontrolowanych przez organizację. Używają urządzeń korporacyjnych i osobistych. Ciągłość biznesowa i zapewnienie bezpieczeństwa są trudne w paradygmacie skoncentrowanym na sieci.
  • Ataki coraz częściej wykorzystują phishing do kradzieży legalnych danych uwierzytelniających i wykorzystywania wewnętrznego dostępu. Po uwierzytelnieniu użytkownika na poziomie sieciowym uzyskuje on dostęp do poufnych zasobów, imitując legalny ruch sieciowy.
  • Zaufanie wewnątrz sieci jest ulotne. Dzisiejszy zaufany użytkownik może być jutrzejszym przeciwnikiem. Ataki wewnętrzne nadal rosną, ponieważ niezadowoleni lub narażeni pracownicy kradną lub udostępniają poufne informacje. Raport Verizon Data Breach Investigation Report z 2019 r. wykazał, że 34 procent cyberataków zostało przeprowadzonych przez osoby wewnętrzne. Organizacje muszą wyjść poza kontrole bezpieczeństwa sieci, aby sobie z tym poradzić.
  • Tradycyjny obwód sieciowy już nie wystarcza. Obecnie zespoły muszą wyjść poza sieć, do warstw aplikacji i danych, które definiują obwód bezpieczeństwa.

Czym jest podejście Zero Trust?

W 2010 r. John Kindervag, analityk w Forrester Research, stworzył model zwany „Architekturą Zero Trust”. Zero Trust wymaga, aby tożsamość i uprawnienia użytkownika lub systemu były weryfikowane przy każdej interakcji z systemem, zamiast weryfikować dane uwierzytelniające raz i ufać im później. Pomysł nie jest zupełnie nowy. Jericho Forum Open Group w przeszłości wpajało podobne zasady.

Ponadto zespoły ds. bezpieczeństwa od dawna stosują zasadę najmniejszych uprawnień, zapewniając użytkownikom minimalne, wyraźne uprawnienia, a jednocześnie domyślnie odmawiając uprawnień. Najmniejsze uprawnienia nie są jednoznaczne w kwestii „nieufania” użytkownikom lub systemom. Po prostu stwierdzają, że nie ma logicznego powodu, aby rozszerzać „dodatkowe” uprawnienia na użytkowników i systemy, które nie wymagają od nich wykonania zadania.

Zero Trust idzie o krok dalej — wymagając od użytkowników i systemów weryfikacji ich tożsamości i spełnienia wymogów autoryzacyjnych przy każdej interakcji z systemem, a następnie stosując dostęp o najmniejszych uprawnieniach. Zero Trust zajmuje stanowisko, że organizacje muszą kontynuować działalność nawet po naruszeniu (założona strategia naruszenia).

Zero Trust eliminuje tradycyjne zabezpieczenia obwodowe

Koncepcja Zero Trust zakłada, że wszyscy użytkownicy i systemy są traktowani jako niezaufani przy każdej czynności, niezależnie od ich lokalizacji lub urządzenia.

Wraz z rozprzestrzenianiem się ataków phishingowych, znanych luk w komponentach open source i ataków wewnętrznych, bezpieczniej jest zacząć od założenia, że przeciwnicy uzyskali punkt zaczepienia i skupić się na strategii powstrzymywania. Wymaga to, aby każdy komponent wykonywał własną walidację danych wejściowych, uwierzytelniania i autoryzacji bez jakiegokolwiek dorozumianego zaufania do lokalizacji sieciowej lub VPN.

Podejście oparte na zasadzie Zero Trust może pomóc w zapobieganiu nieautoryzowanemu dostępowi, ograniczaniu naruszeń i zmniejszaniu ryzyka działań atakujących.

Zero Trust opiera się na danych

Zamiast skupiać się na obronie sieci, architektura zero trust koncentruje się na ochronie krytycznych danych. Celem większości atakujących jest kradzież lub modyfikacja danych, niezależnie od tego, czy są to informacje konsumenckie, informacje finansowe czy własność intelektualna.

Ochrona poufnych danych w każdej chwili — nawet w przypadku naruszenia — jest podstawową zasadą architektury zero-trust.

Ochrona danych zaczyna się od zrozumienia i klasyfikowania danych, którymi zarządza każda aplikacja, i zabezpieczania ich przed nieautoryzowanym dostępem lub użyciem w całej aplikacji. Może to oznaczać dodanie wymagań, aby dane były szyfrowane w stanie spoczynku i w ruchu lub wymaganie wtórnego uwierzytelnienia, gdy dane są żądane przez użytkownika lub system.

Zapewnienie ciągłego bezpieczeństwa aplikacji

Tradycyjne zabezpieczenia opierają się na zaufaniu do lokalizacji sieciowej.

Jeśli użytkownik jest uwierzytelniony i ma pozwolenie na wejście do zamku, sieci lub aplikacji, jest zaufany przez wszystkie systemy w obrębie obwodu. Jest to słabo dostosowane do dzisiejszych modeli rozwoju i wdrażania, w których często brakuje jasnego rozgraniczenia, czy aplikacja znajduje się wewnątrz, czy poza obwodem.

Architektura zero-trust wymaga, aby użytkownik lub system weryfikował zaufanie przy każdym dostępie, niezależnie od lokalizacji.

Zero Trust to warstwowe bezpieczeństwo

Zero trust to nie pojedyncza technologia, ale raczej zestaw technologii, które są zgodne z perspektywą bezpieczeństwa zorientowaną na aplikację i dane. Architektura zero trust jest budowana, warstwa po warstwie, na różnych technologiach. Adaptacyjna tożsamość odnosi się do zmieniających się ról użytkowników.

Na przykład kontrola dostępu do określonych aplikacji i danych jest zarządzana przez zasady, a nie reguły sieciowe, co umożliwia szybką i dynamiczną propagację kontroli bezpieczeństwa w celu dostosowania do różnych kontekstów. Może to oznaczać zbudowanie profilu użytkownika i jego urządzenia, a następnie oparcie zaufania na każdej aktywności. Może to wymagać dodatkowego uwierzytelnienia podczas uzyskiwania dostępu do aplikacji z nowego urządzenia lub adresu IP.

Z punktu widzenia projektowania aplikacji architekci powinni rozważyć wbudowanie możliwości audytu, do systemów monitorowania bezpieczeństwa operacyjnego w celu wykrywania anomalii i reagowania na zagrożenia. Na poziomie danych organizacje mogą używać tokenizacji danych zgodnie ze schematem ich klasyfikacji. Dane mogą być również szyfrowane w celu ochrony.

Rozszerz zestaw narzędzi zabezpieczających, aby zmniejszyć zakres zagrożeń

Aby aplikacje działały w ramach zero-trust, najlepszym podejściem jest rozpoczęcie od fazy wymagań rozwoju. Może to obejmować klasyfikację danych, bezpieczeństwo danych, uwierzytelnianie wieloczynnikowe, szyfrowanie i ciągłe sprawdzanie poświadczeń użytkownika lub systemu oraz wymagań informacyjnych w celu audytowalności w czasie rzeczywistym.

Przewidując zagrożenia dla aplikacji i uwzględniając kontrole ograniczające zagrożenia w dokumencie wymagań, rozwój i bezpieczeństwo mogą zapewnić bezpieczeństwo w ramach całego procesu.

Zweryfikuj, a potem zaufaj

Zero Trust wzywa do „braku dorozumianego zaufania” do użytkownika lub systemu, dopóki jego tożsamość i uprawnienia nie zostaną zweryfikowane dla każdej interakcji z systemem. Wymaga podejścia warstwowego, które zmniejsza ryzyko ze strony nieautoryzowanych systemów lub aplikacji, naruszonych poświadczeń i złośliwych insiderów, a także zewnętrznych przeciwników.

Koncentruje się na ochronie krytycznych danych.

Budowanie zabezpieczeń w aplikacji od samego początku jest o wiele lepsze niż próba testowania zabezpieczeń w ukończonej aplikacji. To samo dotyczy architektury zero-trust. Poprzez identyfikację krytycznych danych i wymaganie uwierzytelniania i autoryzacji przed każdym użyciem danych przez użytkownika lub system, odpowiednie kontrole mogą być przypisane i stosowane w miarę tworzenia aplikacji.

Warto również rozważyć wdrożenie zaawansowanego oprogramowania antywirusowego i systemów detekcji zagrożeń, takich jak Bitdefender GravityZone i Bitdefender XDR. GravityZone zapewnia kompleksową ochronę punktów końcowych, serwerów oraz środowisk wirtualnych i chmurowych, integrując zaawansowane funkcje zapobiegania, wykrywania i reagowania. Z kolei Bitdefender XDR (Extended Detection and Response) łączy dane z wielu źródeł – w tym z urządzeń końcowych, sieci i chmury – by wykrywać zagrożenia wcześniej, analizować ich źródła i skutecznie je neutralizować. To narzędzia, które doskonale wpisują się w filozofię architektury Zero Trust, oferując warstwowe, inteligentne i proaktywne podejście do bezpieczeństwa.

Podobne artykuły:

Najważniejsze kroki dla bezpiecznych kont w mediach społecznościowych

Jak bezpiecznie pobierać aplikacje na smartfony?

Jak używać NIST CSF 2.0 do identyfikacji luk w zabezpieczeniach: Część 4

Czy PayPal jest dobry dla małych firm? Zalety i wady, które warto znać

Autor

piotrek

Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora

Obecnie

Najnowsze wpisy

logo-phasr

AktualnościBezpieczeństwo w Internecie

Wprowadzenie Proactive Hardening and Attack Surface Reduction (PHASR)

16 maja 2025

dora

Informacja Prasowa

Czy spełniasz wymagania DORA?

16 maja 2025

Bitdefender-Threat Debrief-Kwiecień-2025

AktualnościRansomware

Bitdefender Threat Debrief | Maj 2025

15 maja 2025

mlody-gracz

Informacja Prasowa

Czy Roblox zbiera poufne dane dzieci?

15 maja 2025

pracownik-bitdefender

AktualnościBezpieczeństwo w Internecie

Co nowego w GravityZone? Kwiecień 2025

14 maja 2025

PHASR

Informacja Prasowa

Bitdefender ogłasza globalną premierę GravityZone PHASR

14 maja 2025

Śledź nas

Social media

Artykuły które mogą Ci się spodobać

nist2

Bezpieczeństwo w InternecieCiekawostki

Jak używać NIST CSF 2.0 do identyfikacji luk w zabezpieczeniach: Część 4

piotrek

Piotr R

9 maja 2025

cyberprzestępca

CiekawostkiRansomware

Wewnątrz łańcucha dostaw oprogramowania ransomware: rola brokerów dostępu początkowego w nowoczesnych atakach

piotrek

Piotr R

7 maja 2025

bitdefender-i-microsoft

AktualnościCiekawostki

Bitdefender i Microsoft Virtual Network TAP: Zgłębianie widoczności, wzmacnianie bezpieczeństwa

piotrek

Piotr R

5 maja 2025

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    Klient
    Indywidualny    Napisz / Kliknij

    Klient
    Biznesowy    Napisz / Kliknij

    ResellerNapisz / Kliknij

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    Partner stały

    Początek współpracy

    stalynowy