Zero Trust – nowy standard cyberbezpieczeństwa. Co to znaczy dla zwykłego użytkownika?

Bezpieczeństwo Zero Trust to model bezpieczeństwa IT, który wymaga ścisłej weryfikacji tożsamości każdej osoby i urządzenia próbującego uzyskać dostęp do zasobów w sieci prywatnej, niezależnie od tego, czy znajdują się one w obrębie obwodu sieci, czy poza nim. Zero Trust to holistyczne podejście do bezpieczeństwa sieci, które obejmuje kilka różnych zasad i technologii. W tym artykule zastanowimy się co to jest model zero trust, jak wpływa na bezpieczeństwo IT i ochronę danych osobowych.

Tradycyjne zabezpieczenia sieci IT opierają się na koncepcji zamku i fosy. W zabezpieczeniach typu zamek i fosa trudno jest uzyskać dostęp spoza sieci, ale każdy użytkownik w sieci jest domyślnie uznawany za godnego zaufania. Problem z tym podejściem polega na tym, że gdy atakujący uzyska dostęp do sieci, ma swobodny dostęp do wszystkich zasobów znajdujących się wewnątrz.

Model bezpieczeństwa „zamek i fosa”, użytkownicy w sieci VPN są zaufani

Ta podatność w systemach bezpieczeństwa typu zamek-i-fosa jest pogłębiana przez fakt, że firmy nie mają już swoich danych w jednym miejscu. Obecnie informacje są często rozproszone między dostawcami chmury, co utrudnia posiadanie pojedynczej kontroli bezpieczeństwa dla całej sieci.

Bezpieczeństwo Zero Trust oznacza, że nikomu nie ufa się domyślnie, niezależnie od tego, czy jest się wewnątrz, czy na zewnątrz sieci, a weryfikacja jest wymagana od każdego, kto próbuje uzyskać dostęp do zasobów w sieci. Wykazano, że ta dodatkowa warstwa zabezpieczeń zapobiega naruszeniom danych. Badania wykazały, że średni koszt pojedynczego naruszenia danych wynosi ponad 3 miliony dolarów. Biorąc pod uwagę tę kwotę, nie powinno dziwić, że wiele organizacji jest teraz chętnych do przyjęcia polityki bezpieczeństwa Zero Trust.

Jakie są główne zasady Zero Trust?

Ciągły monitoring i walidacja

Filozofia stojąca za siecią Zero Trust zakłada, że atakujący są zarówno wewnątrz, jak i na zewnątrz sieci, więc żaden użytkownik ani maszyna nie powinna być automatycznie zaufana. Zero Trust weryfikuje tożsamość i uprawnienia użytkownika, a także tożsamość i bezpieczeństwo urządzenia. Logowania i połączenia są ograniczone czasowo, co wymusza ich cykliczne odnawianie, zmuszając użytkowników i urządzenia do ciągłej ponownej weryfikacji.

Zasada najmniejszych uprawnień

Inną zasadą bezpieczeństwa Zero Trust jest dostęp z najmniejszymi uprawnieniami. Oznacza to dawanie użytkownikom tylko tyle dostępu, ile potrzebują, jak generał armii, który daje żołnierzom informacje na zasadzie „need-to-know”. Minimalizuje to narażenie każdego użytkownika na wrażliwe części sieci.

Wdrożenie zasady najmniejszych uprawnień wymaga starannego zarządzania uprawnieniami użytkowników. Sieci VPN utrudniają wdrożenie zasady najmniejszych uprawnień, ponieważ zapewniają szeroki dostęp do zasobów po zalogowaniu, ponieważ zalogowanie się do sieci VPN daje użytkownikowi dostęp do całej podłączonej sieci.

Kontrola dostępu do urządzenia

Oprócz kontroli dostępu użytkowników Zero Trust wymaga również ścisłej kontroli dostępu do urządzeń. Systemy Zero Trust muszą monitorować, ile różnych urządzeń próbuje uzyskać dostęp do ich sieci, upewnić się, że każde urządzenie jest autoryzowane i ocenić wszystkie urządzenia, aby upewnić się, że nie zostały naruszone. To dodatkowo minimalizuje powierzchnię ataku sieci.

Mikrosegmentacja

Sieci Zero Trust wykorzystują również mikrosegmentację. Mikrosegmentacja to praktyka dzielenia obwodów bezpieczeństwa na małe strefy w celu utrzymania oddzielnego dostępu do oddzielnych części sieci. Na przykład sieć z plikami znajdującymi się w jednym centrum danych, która wykorzystuje mikrosegmentację, może zostać podzielona na dziesiątki odrębnych, bezpiecznych stref. Osoba lub program z dostępem do jednej z tych stref nie będzie mógł uzyskać dostępu do żadnej innej strefy bez oddzielnej autoryzacji.

Zapobieganie ruchom bocznym

W bezpieczeństwie sieci „ruch boczny” ma miejsce, gdy atakujący porusza się w obrębie sieci po uzyskaniu do niej dostępu. Ruch boczny może być trudny do wykrycia, nawet jeśli punkt wejścia atakującego zostanie odkryty, ponieważ atakujący mógł już naruszyć bezpieczeństwo innych części sieci.

Zero Trust ma na celu powstrzymanie atakujących, aby nie mogli się poruszać bocznie. Ponieważ dostęp Zero Trust jest segmentowany i musi być okresowo ponownie ustanawiany, atakujący nie może przejść do innych mikrosegmentów w sieci. Po wykryciu obecności atakującego, naruszone urządzenie lub konto użytkownika może zostać poddane kwarantannie, odcięte od dalszego dostępu. (W modelu zamku i fosy, jeśli ruch boczny jest możliwy dla atakującego, poddanie kwarantannie oryginalnego naruszonego urządzenia lub użytkownika ma niewielki lub żaden wpływ, ponieważ atakujący już dotarł do innych części sieci.)

Uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe (MFA) jest również podstawową wartością zabezpieczeń zero trust dla użytkownika domowego. MFA oznacza wymaganie więcej niż jednego dowodu do uwierzytelnienia użytkownika; samo podanie hasła nie wystarczy, aby uzyskać dostęp. Często spotykanym zastosowaniem MFA jest autoryzacja dwuskładnikowa (2FA) używana na platformach internetowych, takich jak Facebook i Google. Oprócz podania hasła użytkownicy, którzy włączają 2FA dla tych usług, muszą również podać kod wysłany na inne urządzenie, takie jak telefon komórkowy, potwierdzając swoją tożsamość dwoma niezależnymi sposobami.

Jakie są korzyści z Zero Trust?

Zero Trust jako filozofia jest lepiej dostosowana do nowoczesnych środowisk IT niż bardziej tradycyjne podejścia do bezpieczeństwa. Przy tak szerokiej gamie użytkowników i urządzeń uzyskujących dostęp do danych wewnętrznych oraz przy danych przechowywanych zarówno wewnątrz, jak i na zewnątrz sieci (w chmurze), znacznie bezpieczniej jest założyć, że żaden użytkownik ani urządzenie nie jest godne zaufania, niż założyć, że zapobiegawcze środki bezpieczeństwa zatkały wszystkie luki.

Podstawową korzyścią stosowania zasad Zero Trust jest pomoc w zmniejszeniu powierzchni ataku organizacji. Ponadto Zero Trust minimalizuje szkody, gdy atak się zdarzy, ograniczając naruszenie do jednego małego obszaru za pomocą mikrosegmentacji, co również obniża koszty odzyskiwania. Zero Trust zmniejsza wpływ kradzieży danych uwierzytelniających użytkownika i ataków phishingowych, wymagając wielu czynników uwierzytelniania. Pomaga eliminować zagrożenia, które omijają tradycyjne zabezpieczenia zorientowane na obwód.

Ponadto, weryfikując każde żądanie, cyberbezpieczeństwo Zero Trust zmniejsza ryzyko stwarzane przez podatne urządzenia, w tym urządzenia IoT, które często trudno zabezpieczyć i zaktualizować (patrz Bezpieczeństwo IoT ).

Jaka jest historia zabezpieczeń Zero Trust?

Termin Zero Trust został wymyślony przez analityka z Forrester Research Inc. w 2010 r., kiedy po raz pierwszy zaprezentowano model tej koncepcji. Kilka lat później Google ogłosiło, że wdrożyło zabezpieczenia Zero Trust w swojej sieci, co doprowadziło do wzrostu zainteresowania adopcją w społeczności technologicznej. W 2019 r. Gartner, globalna firma badawczo-doradcza, wymieniła dostęp do zabezpieczeń Zero Trust jako główny składnik rozwiązań Secure Access Service Edge (SASE).

Jakie są przypadki użycia Zero Trust?

Każda organizacja, która polega na sieci i przechowuje dane cyfrowe, prawdopodobnie rozważy użycie architektury Zero Trust. Jednak niektóre z najczęstszych przypadków użycia Zero Trust obejmują:

• Zastąpienie lub rozszerzenie sieci VPN: Wiele organizacji korzysta z sieci VPN w celu ochrony swoich danych. Jednak, jak opisano powyżej, sieci VPN często nie sprawdzają się idealnie w obronie przed dzisiejszymi zagrożeniami.
• Bezpieczne wsparcie pracy zdalnej: Podczas gdy sieci VPN tworzą wąskie gardła i mogą obniżać produktywność pracowników zdalnych, Zero Trust może rozszerzyć bezpieczną kontrolę dostępu na połączenia z dowolnego miejsca.
• Kontrola dostępu do chmury i multi-cloud: Sieć Zero Trust weryfikuje każde żądanie, niezależnie od jego źródła lub miejsca docelowego. Może również pomóc ograniczyć korzystanie z nieautoryzowanych usług opartych na chmurze (sytuacja zwana „ shadow IT ”) poprzez kontrolowanie lub blokowanie korzystania z nieautoryzowanych aplikacji.
• Wdrażanie podmiotów trzecich i podwykonawców: Zero Trust pozwala szybko rozszerzyć ograniczony dostęp o minimalnych uprawnieniach na podmioty zewnętrzne, które zazwyczaj korzystają z komputerów, którymi nie zarządzają wewnętrzne zespoły IT.
• Szybkie wdrażanie nowych pracowników: sieci Zero Trust mogą również ułatwiać szybkie wdrażanie nowych użytkowników wewnętrznych, dzięki czemu są dobrym rozwiązaniem dla szybko rozwijających się organizacji. Z kolei VPN może wymagać dodania większej pojemności, aby obsłużyć większą liczbę użytkowników.

Jakie są najważniejsze najlepsze praktyki Zero Trust?

• Monitoruj ruch sieciowy i podłączone urządzenia: Widoczność ma kluczowe znaczenie dla weryfikacji i uwierzytelniania użytkowników i maszyn.
• Aktualizuj urządzenia: Luki w zabezpieczeniach muszą być łatane tak szybko, jak to możliwe. Sieci Zero Trust powinny być w stanie ograniczyć dostęp do podatnych urządzeń (jeszcze jeden powód, dla którego monitorowanie i walidacja są kluczowe).
• Zastosuj zasadę najmniejszych uprawnień dla każdego w organizacji: Od kadry kierowniczej po zespoły IT, każdy powinien mieć najmniejszy poziom dostępu, jakiego potrzebuje. Minimalizuje to szkody, jeśli konto użytkownika końcowego zostanie naruszone.
• Podział sieci: Podział sieci na mniejsze fragmenty pomaga zapewnić wczesne powstrzymanie naruszeń, zanim zdążą się rozprzestrzenić. Mikrosegmentacja jest skutecznym sposobem na to.
• Postępuj tak, jakby granica sieci nie istniała: Jeśli sieć nie jest całkowicie odizolowana od Internetu (co jest rzadkością), punktów, w których styka się ona z Internetem lub chmurą, jest prawdopodobnie zbyt wiele, aby je wyeliminować.
• Używaj kluczy bezpieczeństwa do uwierzytelniania wieloskładnikowego: Sprzętowe tokeny bezpieczeństwa są zdecydowanie bezpieczniejsze niż tokeny programowe, takie jak jednorazowe kody dostępu (OTP) wysyłane za pośrednictwem wiadomości SMS lub poczty e-mail.
• Zbierz informacje o zagrożeniach: Ponieważ atakujący nieustannie aktualizują i udoskonalają swoje taktyki, subskrybowanie najnowszych źródeł danych o zagrożeniach jest kluczowe dla identyfikacji zagrożeń, zanim się rozprzestrzenią.
• Unikaj zmuszania użytkowników końcowych do obchodzenia zabezpieczeń: Tak jak zbyt surowe wymagania dotyczące haseł zachęcają użytkowników do wielokrotnego używania tych samych haseł, tak zmuszanie użytkowników do ponownego uwierzytelniania raz na godzinę za pomocą wielu czynników tożsamości może być zbyt wiele, co ironicznie zmniejsza bezpieczeństwo. Zawsze miej na uwadze potrzeby użytkownika końcowego.

Jak wdrożyć zasady bezpieczeństwa Zero Trust?

Model bezpieczeństwa Zero Trust opiera się na fundamentalnej zasadzie: nigdy nie ufaj, zawsze weryfikuj. W praktyce oznacza to, że żadne urządzenie, użytkownik ani aplikacja nie powinny mieć domyślnego dostępu do zasobów – nawet jeśli znajdują się w obrębie sieci organizacji. Wdrożenie tej strategii wymaga przemyślanego i etapowego podejścia, obejmującego zarówno polityki, jak i technologie.

1. Zidentyfikuj zasoby i przepływy danych

Pierwszym krokiem w kierunku Zero Trust jest szczegółowa inwentaryzacja wszystkich zasobów IT: użytkowników, urządzeń, aplikacji, serwerów i danych. Następnie należy przeanalizować, jak dane są przetwarzane i przemieszczają się w organizacji. Taka mapa zależności pomoże zdefiniować krytyczne punkty kontroli i możliwe wektory ataków.

2. Zastosuj zasadę najmniejszych uprawnień (PoLP)

Każdemu użytkownikowi i każdemu urządzeniu należy przydzielić wyłącznie te uprawnienia, które są niezbędne do wykonania konkretnego zadania. Ograniczenie dostępu minimalizuje potencjalne szkody w przypadku naruszenia bezpieczeństwa.

3. Wdrażaj uwierzytelnianie wieloskładnikowe (MFA)

Zero Trust zakłada konieczność ciągłej weryfikacji tożsamości. Uwierzytelnianie wieloskładnikowe znacząco utrudnia nieautoryzowany dostęp, nawet jeśli hasło użytkownika zostanie przechwycone.

4. Segmentuj sieć

Podział sieci na mniejsze strefy bezpieczeństwa (mikrosegmentacja) pozwala ograniczyć ruch lateralny atakującego w razie przełamania zabezpieczeń. Każdy segment powinien mieć własne polityki dostępu i monitoringu.

5. Monitoruj i analizuj zachowania

Ciągły monitoring aktywności użytkowników, aplikacji i urządzeń pozwala na szybkie wykrycie anomalii mogących świadczyć o próbie naruszenia bezpieczeństwa. Warto zintegrować rozwiązania typu SIEM (Security Information and Event Management) i EDR (Endpoint Detection and Response).

6. Stosuj nowoczesne oprogramowanie zabezpieczające

Jednym z filarów Zero Trust jest zabezpieczenie punktów końcowych. W tym celu warto korzystać z renomowanego rozwiązania antywirusowego i ochrony przed zagrożeniami, takiego jak Bitdefender Total Security. Program ten oferuje zaawansowaną ochronę opartą na sztucznej inteligencji, firewall, ochronę sieci Wi-Fi, narzędzia kontroli rodzicielskiej oraz VPN. Co istotne, Bitdefender Total Security skutecznie chroni przed ransomware, phishingiem i innymi zaawansowanymi formami cyberataków – co doskonale uzupełnia strategię Zero Trust.

7. Edukacja i polityki bezpieczeństwa

Technologia to tylko część sukcesu. Równie ważne jest budowanie świadomości wśród pracowników, wdrażanie jasnych polityk bezpieczeństwa i regularne szkolenia dotyczące zagrożeń, socjotechniki i zasad bezpiecznego korzystania z systemów IT.

Wdrożenie Zero Trust to proces, który wymaga zaangażowania całej organizacji. Jednak dzięki odpowiedniemu podejściu – w tym wykorzystaniu narzędzi takich jak Bitdefender Total Security – można znacząco zwiększyć poziom ochrony przed współczesnymi cyberzagrożeniami.