Wykroczenia, które zniszczyły zamek
Kiedy wiosną ubiegłego roku ransomware zaatakował system planowania wizyt w średniej wielkości szpitalu, lekarze powrócili do długopisu i papieru. Atakujący nie wykorzystali egzotycznego złośliwego oprogramowania – użyli ponownie użytych danych logowania, przemieszczając się po sieci, aż do zablokowania systemów centralnych. Takie incydenty są powszechne w służbie zdrowia, gdzie skradzione dane uwierzytelniające napędzają kampanie ransomware i przytłaczają słabo wyposażone zespoły IT (Przewodowa).
- Wykroczenia, które zniszczyły zamek
- Stary model i dlaczego się nie sprawdził
- Cyberbezpieczeństwo dla Biznesu
- Definicja Zero Trust
- Co tak naprawdę oznacza Zero Trust
- Plan NIST
- Nieporozumienia, które się utrzymują
- Gdzie pasuje
- Zmiana kulturowa
- Dlaczego zapuściło korzenie
- Wewnątrz przedsiębiorstwa
- Google i eksperyment BeyondCorp
- Microsoft i główny nurt przedsiębiorstw
- Nacisk rządu federalnego
- Usługi finansowe: ryzyko spotyka się z regulacjami
- Cyberbezpieczeństwo dla Biznesu
- Opieka zdrowotna: walka z przestarzałymi systemami
- Wspólne wątki w różnych branżach
- Kultura jako najtrudniejsza warstwa
- Cichy punkt odniesienia
- Najtrudniejsza część
- Cyberbezpieczeństwo dla Biznesu
- Przyszłość zerowego zaufania
- Sztuczna inteligencja i uczenie maszynowe: w kierunku adaptacyjnego egzekwowania przepisów
- Polityka jako kod: automatyzacja zabezpieczeń
- Rozszerzenie Zero Trust na IoT i OT
- Chmura natywna Zero Trust
- Przygotowania do ery kwantowej
- Granice wizji przyszłości
- Szeroka Perspektywa
- Cyberbezpieczeństwo dla Biznesu
- Zarządzanie i odpowiedzialność
- Etyka weryfikacji
- Geopolityka zaufania
- Zmiana kulturowa, która przetrwała modne hasło
- Powrót do Lede
- Kopacz
- Wykroczenia, które zniszczyły zamek
- Obwód się zawalił
- Stary model i dlaczego się nie sprawdził
- Cyberbezpieczeństwo dla Biznesu
- Wnioski: Zaufanie, rozważone na nowo
Ten szpital nie był jedynym celem. W maju 2021 r. atak ransomware zmusił Rurociąg kolonialny, która dostarcza prawie połowę paliwa zużywanego na wschodnim wybrzeżu USA, w celu wstrzymania działalności. Atakujący uzyskali dostęp za pomocą zhakowanego konta VPN, które nie miało uwierzytelniania wieloskładnikowego (Wikipedia). Zakłócenia te wywołały niedobory paliwa, paniczne zakupy i wprowadzenie federalnych środków nadzwyczajnych.
Wcześniej, w grudniu 2020 r. SolarWinds Naruszenie łańcucha dostaw podważyło zaufanie do powszechnie używanego oprogramowania. Złośliwe aktualizacje – prawdopodobnie opracowane przez grupę państwową – były rozpowszechniane pod przykrywką legalnych poprawek, zapewniając atakującym dostęp do agencji rządowych USA na miesiące przed wykryciem (CISA).
Te incydenty niosą ze sobą ważną lekcję: atakujący rzadko muszą szturmować cyfrowe granice. Po dostaniu się do środka, wszystko za ścianą jest traktowane jako zaufane, co sprawia, że eskalacja naruszenia bezpieczeństwa jest szybka i niszczycielska.
Stary model i dlaczego się nie sprawdził
Przez większą część historii Internetu myślenie o bezpieczeństwie koncentrowało się wokół zamek z fosą metafora. Zbuduj wysokie mury – zapory sieciowe, systemy zapobiegania włamaniom, oprogramowanie antywirusowe – a będziesz mógł odeprzeć wroga. Wewnątrz murów zaufani użytkownicy i maszyny mogli swobodnie się poruszać.
Rozwój obrony obwodowej
W latach 1990. i na początku XXI wieku model ten miał sens. Większość systemów korporacyjnych działała w lokalnych centrach danych. Pracownicy siedzieli przy biurkach w sieciach biurowych. „Brzeg” stanowiła definiowalna granica, zazwyczaj zestaw zakresów adresów IP kontrolowanych przez organizację.
Zapory ruch filtrowany. VPN utworzono szyfrowane tunele dla personelu podróżującego. Pakiety antywirusowe chronione przed znanymi zagrożeniami. Branża bezpieczeństwa reklamowała je jako nieprzeniknione zabezpieczenia i przez pewien czas działały.
Ale zaczęły pojawiać się pęknięcia.
- Robaki takie jak Code Red i Slammer rozprzestrzeniły się błyskawicznie w sieciach korporacyjnych na początku XXI wieku, wykorzystując niezałatane systemy po przedostaniu się do środka.
- Naruszenie bezpieczeństwa firmy Target w 2013 r., w którym atakujący włamali się za pośrednictwem zewnętrznego dostawcy systemów HVAC i przenieśli się do systemów punktów sprzedaży, pokazało, jak nieszczelne mogą być „zaufane” strefy.
- Ujawnienia Edwarda Snowdena z 2013 r. podkreślono ryzyko wewnętrzne: gdy użytkownik uzyskał uprzywilejowany dostęp, zabezpieczenia obwodowe nie były w stanie zapobiec wyciekowi danych.
Domniemane założenie, że zagrożenia pochodzą z zewnątrz, nie było już prawdą.
Wąskie gardło VPN
Wirtualne sieci prywatne, od dawna postrzegane jako podstawa bezpieczeństwa, stały się rażącą słabością. Do 2020 roku, gdy pandemia COVID-19 zmusiła całe siły robocze do pracy w domu, serwery VPN zostały przeciążone. Pracownicy kierowali przez nie cały ruch, tworząc wąskie gardła wydajnościowe, a co gorsza, pojedyncze punkty awarii.
Atakujący to zauważyli. Według FBI luki w zabezpieczeniach sieci VPN stały się jedną z najczęściej wykorzystywanych kategorii w latach 2020–2021, a atakujący wykorzystywali je jako przyczółek do włamań do środowisk korporacyjnych (FBI).
Sieć VPN, kiedyś będąca zaufanym mostem, stawała się coraz większym problemem.
Cyberbezpieczeństwo dla Biznesu
Twoja firma stoi w obliczu stale ewoluujących cyberzagrożeń, które mogą zagrozić poufnym danym, zakłócić działanie i zaszkodzić Twojej reputacji. Nasze cyberbezpieczeństwo dla rozwiązań biznesowych są dostosowane do wyjątkowych wyzwań stojących przed firmami każdej wielkości, zapewniając solidną ochronę przed złośliwym oprogramowaniem, phishingiem, ransomware i innymi zagrożeniami.
Niezależnie od tego, czy jesteś małym startupem, czy dużym przedsiębiorstwem, oferujemy pakiety cyberbezpieczeństwa z wieloma licencjami, które zapewniają bezproblemową ochronę całego zespołu na wszystkich urządzeniach. Dzięki zaawansowanym funkcjom, takim jak monitorowanie zagrożeń w czasie rzeczywistym, bezpieczeństwo punktów końcowych i bezpieczne szyfrowanie danych, możesz skupić się na rozwijaniu swojej firmy, podczas gdy my zajmiemy się Twoimi potrzebami w zakresie bezpieczeństwa cyfrowego.
Uzyskaj bezpłatną wycenę już dziś! Zabezpiecz swoją firmę za pomocą niedrogich i skalowalnych rozwiązań. Skontaktuj się z nami już teraz, aby poprosić o bezpłatna wycena dla wielolicencjiowych pakietów cyberbezpieczeństwa zaprojektowanych tak, aby zapewnić bezpieczeństwo i zgodność Twojej firmy. Nie czekaj — chroń swoją firmę, zanim pojawią się zagrożenia!
Shadow IT i SaaS
W międzyczasie jednostki biznesowe wdrożyły platformy SaaS – Salesforce, Slack, Microsoft 365 – bez centralnego nadzoru IT. Dane wrażliwe przepływały przez usługi zewnętrzne, często z wykorzystaniem słabych lub wielokrotnie używanych haseł.
Ten „cień IT” rozszerzyło powierzchnię ataku w sposób, na który obrona obwodowa nie była w stanie sobie poradzić. Gartner oszacował, że do 2019 roku działy IT w cieniu stanowiły od 30 do 40 procent wydatków na IT w dużych przedsiębiorstwach – co stanowiło martwy punkt dla tradycyjnych zespołów ds. bezpieczeństwa.
Kultura bezwarunkowego zaufania
Być może najgroźniejszą wadą modelu perymetrycznego były kwestie kulturowe. Zespoły bezpieczeństwa traktowały „wewnątrz” jako bezpieczne. Deweloperzy uruchamiali systemy testowe bez kontroli. Konta administratorów gromadziły uprawnienia. Przemieszczanie się w poziomie odbywało się w dużej mierze bez nadzoru.
Jak ujął to Phil Venables z Google Cloud: „Granica nie zniknęła. Po prostu niewiele już mówi”. To uświadomienie utorowało drogę do Zero Trust: modelu, który zakłada, naruszenie jest nieuniknione i koncentruje się na minimalizowaniu jego wpływu.
Definicja Zero Trust
W połowie lat 2010. braki w zabezpieczeniach obwodowych stały się oczywiste. Wyzwaniem było znalezienie praktycznej alternatywy. Ta alternatywa pojawiła się w Zero zaufania, model, który całkowicie zmienia podstawy kontroli dostępu.
Co tak naprawdę oznacza Zero Trust
Frazę „Zero Trust” często upraszcza się do sloganu: Nigdy nie ufaj, zawsze sprawdzaj. W praktyce jednak chodzi mniej o paranoję, a bardziej o ciągłe zapewnienieKażde żądanie skierowane do systemu — niezależnie od tego, czy pochodzi od użytkownika, urządzenia czy aplikacji — jest traktowane jako niezaufane, dopóki nie zostanie udowodnione inaczej.
Podejście to opiera się na kilku podstawowych zasadach:
- Ciągła weryfikacja tożsamości. Uwierzytelnianie nie jest jednorazowym zdarzeniem podczas logowania. Powtarza się przez całą sesję, dostosowując się do kontekstu, takiego jak lokalizacja, stan urządzenia i zachowanie użytkownika.
- Integralność urządzenia. Dostęp zależy nie tylko od którzy testują i oceniają narzędzia, przedstawiając swoje potrzeby i wyzwania w kontekście stosowanych narzędzi łączy się, ale co Urządzenie, z którego się łączą, może zostać odrzucone, nawet jeśli dane logowania są prawidłowe.
- Dostęp o najmniejszych uprawnieniach. Uprawnienia są minimalizowane, przyznając tylko te, które są niezbędne do wykonania zadania. To znacznie zmniejsza promień rażenia w przypadku włamania na konto.
- Mikrosegmentacja. Sieci są podzielone na strefy o dużej granulacji, co ogranicza ruch boczny. Kompromis w jednej strefie nie powoduje automatycznego rozprzestrzeniania się.
- Ciągłe monitorowanie. Logi i analityka nie są kwestią drugorzędną – są kluczowe. Każda transakcja jest rejestrowana i oceniana pod kątem anomalii.
W istocie Zero Trust jest mniej produktem, a bardziej dyscyplina sceptycyzmu.
Plan NIST
Przez lata sprzedawcy używali tego terminu luźno. To się zmieniło wraz z Narodowy Instytut Norm i Technologii (NIST) Specjalna publikacja 800-207, wydany w 2020 r. Dokument skodyfikował zasadę Zero Trust w formalnych ramach federalnych: tożsamość, urządzenie, sieć, aplikacja i dane stanowią punkty egzekwowania polityki, przy czym centralny moduł polityki decyduje o dostępie (NIST).
W wytycznych NIST zmieniono definicję Zero Trust na architektura a nie zestaw narzędzi. Agencje zostały wezwane do wdrożenia go nie jako rozwiązania dodanego do zestawu, ale jako stopniowego przeprojektowania sposobu obsługi dostępu. Stał się on wzorem zarówno dla federalnych nakazów, jak i dla sektora prywatnego.
Nieporozumienia, które się utrzymują
Wraz z rozprzestrzenianiem się tego terminu, rosło również zamieszanie. W szczególności wciąż utrzymują się trzy błędne przekonania:
- Zero zaufania = brak zaufania. To sformułowanie jest mylące. Zero Trust nie eliminuje zaufania, ale je ułatwia. warunkowe i kontekstowe. Dostęp zostanie udzielony, jeżeli istnieją wystarczające dowody.
- Zero Trust to produkt. Wielu dostawców oferuje rozwiązania „Zero Trust”. W rzeczywistości nie jest to pojedyncze narzędzie, lecz zestaw powiązanych ze sobą praktyk.
- Zero Trust rozwiązuje wszystko. Zmniejsza ryzyko, ale go nie eliminuje. Phishing, nadużycia wewnętrzne i ataki na łańcuchy dostaw nadal stanowią zagrożenie.
„Zero Trust jest często przedstawiane jako panaceum na wszystkie problemy” – powiedziała Katie Moussouris, CEO Luta Security, w wywiadzie z 2021 roku. „W praktyce to po prostu kolejna warstwa obrony. Działa najlepiej, gdy stanowi element szerszej, zdyscyplinowanej kultury bezpieczeństwa”.
Gdzie pasuje
Zero Trust nie jest nakazem „wyrzuć i zastąp”. Współistnieje z istniejącymi systemami. Organizacje zazwyczaj zaczynają od zarządzania tożsamościami – wdrażając uwierzytelnianie wieloskładnikowe, logowanie jednokrotne i polityki dostępu warunkowego – a następnie rozszerzają je o segmentację sieci i ciągły monitoring.
Kolejność operacji jest różna, ale zasada jest ta sama: nigdy nie ma miejsca na dorozumiane zaufanie. Każda transakcja musi się udowodnić.
Zmiana kulturowa
Być może ważniejsze od technologii jest nastawienie. Tradycyjne modele rysowały binarną linię: na zewnątrz kontra wewnątrz, bezpieczne kontra niebezpieczne. Zero Trust burzy tę binarność. Każde połączenie, nawet wewnętrzne, musi zostać zweryfikowane.
Dla liderów IT wymaga to kultury, w której dostęp jest zdobywany w sposób ciągły, a nie zakładany na stałeMoże to powodować tarcia — użytkownicy mogą się buntować przeciwko wielokrotnej weryfikacji — ale oznacza to zmianę w kierunku większej odporności.
Dlaczego zapuściło korzenie
Wzrost popularności Zero Trust nie był nieunikniony. Stał się on popularny, ponieważ był zgodny z praktyczne potrzeby bezpieczeństwa oraz narracje strategicznePrzedsiębiorstwa poszukiwały sposobów na bezpieczne wdrożenie chmury. Rządy musiały wzmocnić infrastrukturę krytyczną. Dostawcy znaleźli wspólny mianownik dla produktów do zarządzania tożsamością, dostępem i monitorowaniem.
Na początku lat dwudziestych XXI wieku język Zero Trust pojawiał się nie tylko w dokumentach technicznych, ale także w salach konferencyjnych, raportach z audytów, a nawet podczas przesłuchań w Kongresie. Model ten przeszedł z teorii do polityki.
Wewnątrz przedsiębiorstwa
Zero Trust to nie produkt, który się instaluje. To długi, nierównomierny proces przeprojektowywania sposobu działania dostępu w organizacji. Dla większości przedsiębiorstw oznacza to nakładanie nowych mechanizmów kontroli na przestarzałe systemy i stopniowe wprowadzanie zmian w poszczególnych działach. Rezultatem jest mozaika, która wygląda inaczej w każdej branży, ale wyłaniają się pewne wzorce.
Google i eksperyment BeyondCorp
Być może najczęściej cytowanym przykładem działania zasady Zero Trust jest BeyondCorp firmy GoogleUruchomiony w 2011 roku po kampanii cybernetycznego szpiegostwa znanej jako Operacja Aurora Firma, atakując Google i inne firmy z Doliny Krzemowej, porzuciła ideę zaufanych sieci wewnętrznych. Zamiast tego każdy pracownik i urządzenie, niezależnie od lokalizacji, musiały uwierzytelniać się za pośrednictwem serwerów proxy rozpoznających tożsamość przed uzyskaniem dostępu do zasobów (Google).
BeyondCorp umożliwił inżynierom pracę z niezaufanych sieci Wi-Fi, tak jakby byli w biurze, bez konieczności korzystania z VPN-ów. Stworzył również precedens: jeśli firma zatrudniająca ponad 100,000 XNUMX pracowników mogła przeprojektować swoją infrastrukturę zgodnie z zasadami Zero Trust, inni również mogli to zrobić.
Microsoft i główny nurt przedsiębiorstw
Microsoft przyjął inne podejście. Zamiast pojedynczej inicjatywy, wdrożył zasady Zero Trust w produktach takich jak Azure Active Directory oraz Microsoft DefenderFirma oparła swoje wytyczne na trzech nakazach: weryfikacja dokładna, korzystanie z jak najmniejszych uprawnień i zakładanie naruszeń.
Ten język znalazł oddźwięk wśród klientów korporacyjnych, którzy już migrowali do ekosystemu chmurowego Microsoftu. Do 2021 roku Microsoft poinformował, że 96% jego klientów korporacyjnych włączyło uwierzytelnianie wieloskładnikowe w jakiejś formie, co stanowi podstawowy element strategii Zero Trust (Microsoft).
Nacisk rządu federalnego
Choć giganci technologiczni działali jako pierwsi, rząd USA zapewnił najbardziej widoczne wsparcie. Po incydentach z Colonial Pipeline i SolarWinds, Biały Dom nakazał agencjom federalnym przyjęcie planów działania w duchu Zero Trust. Biuro Zarządzania i Budżetu (OMB) wyznaczyło kamienie milowe: weryfikację tożsamości do 2024 roku, domyślne szyfrowanie całego ruchu oraz scentralizowane egzekwowanie polityki dostępu w różnych agencjach (OMB).
Agencje borykały się z nierównomiernym postępem. Niektóre departamenty dysponujące nowoczesną infrastrukturą działały szybko, podczas gdy inne, korzystające z systemów sprzed dziesięcioleci, pozostawały w tyle. Mimo to, rozporządzenie wymusiło modernizację cyberbezpieczeństwa na skalę, z którą niewiele firm prywatnych mogło się równać.
Usługi finansowe: ryzyko spotyka się z regulacjami
Banki i ubezpieczyciele, od dawna przyzwyczajeni do nadzoru regulacyjnego, wdrożyli model Zero Trust jako element strategii odporności. W 2022 roku Urząd Regulacji Sektora Finansowego (FINRA) wydał wytyczne zachęcające firmy do wdrażania modeli bezpieczeństwa zorientowanych na tożsamość.
Jeden z dużych ubezpieczycieli poinformował o zmniejszeniu liczby kont uprzywilejowanych o ponad jedną trzecią po przeprowadzeniu inwentaryzacji tożsamości usługodawców. Inny bank poinformował, że średni czas wykrywania włamań skrócił się o prawie 30% po wdrożeniu mikrosegmentacji w centrach danych. Dane te pochodzą z autodeklaracji, ale podkreślają, jak Zero Trust wpisuje się w nacisk instytucji finansowych na redukcję ryzyka.
Cyberbezpieczeństwo dla Biznesu
Twoja firma stoi w obliczu stale ewoluujących cyberzagrożeń, które mogą zagrozić poufnym danym, zakłócić działanie i zaszkodzić Twojej reputacji. Nasze cyberbezpieczeństwo dla rozwiązań biznesowych są dostosowane do wyjątkowych wyzwań stojących przed firmami każdej wielkości, zapewniając solidną ochronę przed złośliwym oprogramowaniem, phishingiem, ransomware i innymi zagrożeniami.
Niezależnie od tego, czy jesteś małym startupem, czy dużym przedsiębiorstwem, oferujemy pakiety cyberbezpieczeństwa z wieloma licencjami, które zapewniają bezproblemową ochronę całego zespołu na wszystkich urządzeniach. Dzięki zaawansowanym funkcjom, takim jak monitorowanie zagrożeń w czasie rzeczywistym, bezpieczeństwo punktów końcowych i bezpieczne szyfrowanie danych, możesz skupić się na rozwijaniu swojej firmy, podczas gdy my zajmiemy się Twoimi potrzebami w zakresie bezpieczeństwa cyfrowego.
Uzyskaj bezpłatną wycenę już dziś! Zabezpiecz swoją firmę za pomocą niedrogich i skalowalnych rozwiązań. Skontaktuj się z nami już teraz, aby poprosić o bezpłatna wycena dla wielolicencjiowych pakietów cyberbezpieczeństwa zaprojektowanych tak, aby zapewnić bezpieczeństwo i zgodność Twojej firmy. Nie czekaj — chroń swoją firmę, zanim pojawią się zagrożenia!
Opieka zdrowotna: walka z przestarzałymi systemami
Szpitale stoją przed innym wyzwaniem. Systemy elektronicznej dokumentacji medycznej (EHR) i podłączone urządzenia medyczne często działają w oparciu o przestarzałe oprogramowanie, co utrudnia segmentację i egzekwowanie tożsamości. Jednocześnie branża ta jest głównym celem ataków ransomware.
Niektóre szpitale wdrożyły zasady Zero Trust w nowych portalach chmurowych dla pacjentów i lekarzy, nawet jeśli systemy bazowe nadal istnieją. Departament Zdrowia i Opieki Społecznej zaapelował do dostawców usług medycznych, aby traktowali Zero Trust jako sposób na ograniczenie naruszeń, a nie jako uniwersalne rozwiązanie. „Nie da się realistycznie pozbyć wszystkich starych urządzeń” – zauważył jeden z urzędników. „Ale nadal można ograniczyć sposób, w jaki te urządzenia komunikują się z resztą sieci”.
Wspólne wątki w różnych branżach
Mimo różnych punktów wyjścia przedsiębiorstwa wdrażające podejście Zero Trust często mają te same priorytety na wczesnym etapie:
- Tożsamość przede wszystkim. Wprowadź silne uwierzytelnianie, logowanie jednokrotne i dostęp warunkowy.
- Widoczność. Rejestruj każdą transakcję i centralizuj analizę.
- Kontrola sieci. Wprowadź mikrosegmentację, zwłaszcza w przypadku wrażliwych obciążeń.
- Stopniowa ekspansja. Rozszerz model z systemów informatycznych na technologię operacyjną, IoT i dostęp stron trzecich.
Łączy ich nie jednolitość, lecz intencja: podważenie dorozumianego zaufania, gdziekolwiek ono jeszcze istnieje.
Kultura jako najtrudniejsza warstwa
Technologię można nabyć. Kultury nie. Przedsiębiorstwa zgłaszają, że najtrudniejszą przeszkodą jest przekonanie pracowników i programistów, że dodatkowa weryfikacja jest warta zachodu.
W Google inżynierowie początkowo sprzeciwiali się BeyondCorp, narzekając na wolniejszy dostęp. W firmie świadczącej usługi finansowe programiści sprzeciwiali się zasadom segmentacji, które spowalniały środowiska testowe. Te historie podkreślają spójny motyw: Zero Trust jest zarówno projektem zarządczym, jak i technicznym.
Cichy punkt odniesienia
Na początku lat dwudziestych XXI wieku wdrożenie podejścia Zero Trust stało się wyznacznikiem dojrzałości cyberbezpieczeństwa. Analitycy nie pytali, czy organizacje „stosują podejście Zero Trust”, ale jak daleko byli w podróżyModel przeszedł od slajdów z aspiracjami do list kontrolnych audytu.
I choć nie ma dwóch takich samych wdrożeń, wspólną historią jest to, że stopniowe wdrażanie pod presjąNiezależnie od tego, czy motywacją są regulacje, odporność czy reputacja, Zero Trust stało się architekturą bezpieczeństwa, której przedsiębiorstwa nie mogą ignorować.
Najtrudniejsza część
Mimo całej swojej atrakcyjności, wdrożenie koncepcji Zero Trust nie jest proste. Wymaga ona ponownego przemyślenia przyjętych przez dekady założeń, zastąpienia utrwalonych praktyk oraz negocjacji z dostawcami, którzy postrzegają ją jako szansę marketingową. Przeszkody można podzielić na trzy szerokie kategorie: technologię, kulturę i koszty.
Starsze systemy, które nie pasują
Jedną z najpoważniejszych barier jest infrastruktura, która wyprzedza Zero Trust o dekady. Szpitale często korzystają z urządzeń medycznych o krytycznym znaczeniu dla życia w systemie Windows XP. Producenci korzystają z systemów zakładowych zaprojektowanych na długo przed wprowadzeniem szyfrowania. Nawet niektóre agencje rządowe nadal korzystają z komputerów mainframe napisanych w języku COBOL.
Modernizacja tych systemów jest trudna. Często nie obsługują one nowoczesnych systemów weryfikacji tożsamości ani szczegółowej segmentacji. Ich wymiana może kosztować miliony, a łatanie jest ryzykowne, jeśli zakłóci działanie systemu.
Raport Departamentu Zdrowia i Opieki Społecznej z 2022 roku ostrzegał, że przestarzała technologia w szpitalach pozostaje główną przeszkodą we wdrażaniu modelu Zero Trust. W raporcie zaapelowano o „strategie powstrzymywania” – owijanie starych systemów warstwami ochronnymi, zamiast oczekiwać, że spełnią one współczesne standardy (HHS).
Tarcie i opór użytkowników
Zero Trust wymaga od użytkowników częstszej weryfikacji i czasami dłuższego oczekiwania na zatwierdzenie. Inżynierowie narzekają na powtarzające się prośby o uwierzytelnienie. Pracownicy zdalni nie lubią dodatkowych kroków logowania. Programiści twierdzą, że segmentacja spowalnia ich przepływy pracy.
W Google początkowy opór wobec BeyondCorp był tak silny, że zespół ds. bezpieczeństwa musiał wykreować wewnętrznych liderów – szanowanych inżynierów, którzy tłumaczyliby, dlaczego niedogodności są warte ochrony. Podobne historie pojawiają się w różnych branżach: sukces często zależy od uzyskania akceptacji kulturowej przed wdrożeniem.
Tu właśnie liczy się przywództwo. CISO, którzy traktują Zero Trust jako projekt czysto techniczny, często ponoszą porażkę. Ci, którzy postrzegają to jako element odporności biznesowej – umożliwiający bezpieczne wdrażanie chmury, sprawniejsze audyty i ochronę reputacji – odnoszą większe sukcesy.
Cyberbezpieczeństwo dla Biznesu
Twoja firma stoi w obliczu stale ewoluujących cyberzagrożeń, które mogą zagrozić poufnym danym, zakłócić działanie i zaszkodzić Twojej reputacji. Nasze cyberbezpieczeństwo dla rozwiązań biznesowych są dostosowane do wyjątkowych wyzwań stojących przed firmami każdej wielkości, zapewniając solidną ochronę przed złośliwym oprogramowaniem, phishingiem, ransomware i innymi zagrożeniami.
Niezależnie od tego, czy jesteś małym startupem, czy dużym przedsiębiorstwem, oferujemy pakiety cyberbezpieczeństwa z wieloma licencjami, które zapewniają bezproblemową ochronę całego zespołu na wszystkich urządzeniach. Dzięki zaawansowanym funkcjom, takim jak monitorowanie zagrożeń w czasie rzeczywistym, bezpieczeństwo punktów końcowych i bezpieczne szyfrowanie danych, możesz skupić się na rozwijaniu swojej firmy, podczas gdy my zajmiemy się Twoimi potrzebami w zakresie bezpieczeństwa cyfrowego.
Uzyskaj bezpłatną wycenę już dziś! Zabezpiecz swoją firmę za pomocą niedrogich i skalowalnych rozwiązań. Skontaktuj się z nami już teraz, aby poprosić o bezpłatna wycena dla wielolicencjiowych pakietów cyberbezpieczeństwa zaprojektowanych tak, aby zapewnić bezpieczeństwo i zgodność Twojej firmy. Nie czekaj — chroń swoją firmę, zanim pojawią się zagrożenia!
Koszt zmiany
Wdrożenie modelu Zero Trust nie jest tanie. Organizacje muszą zinwentaryzować każde urządzenie i każdego użytkownika, wdrożyć nowe systemy tożsamości, segmentować sieci i scentralizować monitorowanie. W przypadku dużych przedsiębiorstw koszty mogą sięgać dziesiątek milionów dolarów.
Mniejsze firmy stoją przed jeszcze trudniejszym wyborem. Niewiele z nich stać na masową adaptację. Zamiast tego wdrażają model „Zero Trust Lite”, koncentrując się na uwierzytelnianiu wieloskładnikowym i zasadach dostępu do chmury, pozostawiając sieci wewnętrzne w dużej mierze nienaruszone.
Analitycy ostrzegają, że ta nierówność może prowadzić do podziału w zabezpieczeniach. Bogatsze firmy budują wielowarstwowe mechanizmy obronne, podczas gdy mniejsze pozostają podatne na te same boczne ruchy, które atakujący wykorzystują od dziesięcioleci.
Szum i zamieszanie wokół dostawców
Kolejną barierą jest sama branża. Dostawcy rozwiązań bezpieczeństwa rzucili się na promowanie każdego produktu jako „Zero Trust”. Zapory sieciowe, agenci punktów końcowych i bramy chmurowe są sprzedawane pod tym szyldem. To wywołało zamieszanie, a kadra zarządzająca wierzyła, że produkty Zero Trust można kupić od ręki.
Analitycy Gartnera ostrzegają, że Zero Trust to „strategia, a nie produkt”. Ramy te wymagają koordynacji obejmującej tożsamość, urządzenia, sieci i aplikacje. Żaden pojedynczy dostawca nie jest w stanie zapewnić wszystkiego. Jednak szum marketingowy często przesłania tę rzeczywistość.
W 2022 roku Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury Bezpieczeństwa (CISA) opublikowała Model Dojrzałości Zero Trust, aby pomóc organizacjom w ocenie postępów. Celem było między innymi wyeliminowanie komunikatów dostawców i stworzenie planu działania, który kładłby nacisk na stopniowy postęp, a nie na jednorazowe zakupy (CISA).
Pomiar sukcesu
Nawet jeśli organizacje wdrożą strategię Zero Trust, trudno jest zmierzyć jej skuteczność. Naruszenie, które Czy nie Trudno to zmierzyć. Zamiast tego firmy opierają się na wskaźnikach zastępczych:
- Redukcja kont uprzywilejowanych.
- Mniej wyjątków od zasad dostępu.
- Szybsze wykrywanie nietypowych zachowań.
Te wskaźniki są niedoskonałe, ale pomagają wykazać postęp zarządom i organom regulacyjnym. Jednak brak ujednoliconych pomiarów oznacza, że niektóre firmy przeceniają swoją dojrzałość, a inne nie doceniają postępów.
Zmiana zmęczenia
Wreszcie, pojawia się zmęczenie. Zespoły ds. bezpieczeństwa są już przeciążone łatkami, zgodnością z przepisami i reagowaniem na incydenty. Dodanie do tego długoterminowej transformacji w kierunku Zero Trust może wydawać się przytłaczające.
Niektóre organizacje stosują podejście fragmentaryczne: najpierw kontrola tożsamości, później segmentacja, a na końcu ciągły monitoring. Inne podejmują próby masowych wdrożeń i utknęły w martwym punkcie. Weterani branży ostrzegają, że Zero Trust należy traktować jako program wieloletni zamiast szybkiego rozwiązania.
Jedzenie na wynos
Zero Trust to w równym stopniu polityka, budżety i psychologia, co zapory sieciowe czy serwery proxy. Wizja techniczna może być jasna, ale realizacja koliduje z przestarzałymi systemami, niechętnymi użytkownikami, ograniczonymi budżetami i dostawcami nastawionymi na zysk.
Ta rzeczywistość nie unieważnia tego modelu. Wręcz przeciwnie, pokazuje, dlaczego termin ten jest wciąż aktualny. Zero Trust to nie meta. To ciągła negocjacja między aspiracjami bezpieczeństwa a ograniczeniami operacyjnymi.
Przyszłość zerowego zaufania
Zero Trust nie jest już koncepcją marginalną. Stała się domyślnym modelem dla agencji rządowych i globalnych przedsiębiorstw. Ale przyszłość to mniej kwestia zasad, a bardziej wdrożenia na dużą skalę. W miarę jak organizacje rozszerzają Zero Trust poza systemy IT, technologia operacyjna, stos chmurowy i egzekwowanie oparte na sztucznej inteligencji, model sam w sobie ewoluuje.
Sztuczna inteligencja i uczenie maszynowe: w kierunku adaptacyjnego egzekwowania przepisów
Jednym z najbardziej obiecujących osiągnięć jest integracja uczenie maszynowe w decyzje dotyczące dostępu. Zamiast statycznych reguł – zezwalających lub odmawiających dostępu na podstawie stałych atrybutów – systemy oparte na sztucznej inteligencji analizują zachowania w czasie rzeczywistym.
Na przykład, jeśli użytkownik zaloguje się z nowej lokalizacji o nietypowej porze, system może zaostrzyć uwierzytelnianie lub oznaczyć aktywność do weryfikacji. Z czasem modele te tworzą punkty odniesienia „normalnego” zachowania dla każdego użytkownika i urządzenia.
Microsoft i Google wdrożyły już adaptacyjne funkcje uwierzytelniania, które uwzględniają sygnały behawioralne. Według Microsoftu, organizacje stosujące zasady dostępu warunkowego oparte na ryzyku odnotowały spadek liczby skutecznych naruszeń bezpieczeństwa związanych z phishingiem, ponieważ loginy atakujących często odbiegają od wyuczonych wzorców (Microsoft).
Wyzwaniem jest niezawodność. Systemy uczenia maszynowego są podatne na fałszywe alarmy, a zbyt wiele fałszywych alarmów może prowadzić do zmęczenia alertami. Przedsiębiorstwa będą musiały znaleźć równowagę między automatyzacją a nadzorem ludzkim, przynajmniej w najbliższej przyszłości.
Polityka jako kod: automatyzacja zabezpieczeń
Kolejny trend to polityka jako kod, która umożliwia zapisywanie reguł dostępu w językach programowania i automatyczne ich egzekwowanie w systemach.
Zamiast ręcznie konfigurować uprawnienia w dziesiątkach aplikacji, organizacje mogą definiować zasady centralnie — na przykład „Wszyscy administratorzy muszą korzystać z uwierzytelniania wieloskładnikowego, a żadne dane uwierzytelniające nie mogą być ponownie wykorzystywane” — i pozwolić, aby automatyzacja je egzekwowała.
To podejście zyskuje na popularności w procesach DevSecOps. Deweloperzy mogą osadzać polityki bezpieczeństwa w kodzie aplikacji, zapewniając zgodność nowych wdrożeń z zasadami Zero Trust od samego początku. Open Policy Agent (OPA), projekt open source, stał się popularnym frameworkiem do tego celu.
Polityka jako kod obiecuje skalowalność. Rodzi to również pytania: Kto tworzy polityki? Kto je audytuje? Jeśli błąd wkradnie się do kodu, może on egzekwować niewłaściwe reguły z prędkością maszyny. Pomimo całego potencjału, ta dziedzina wciąż się rozwija.
Rozszerzenie Zero Trust na IoT i OT
Koncepcja Zero Trust narodziła się w świecie informatyki korporacyjnej, ale coraz częściej jest stosowana w technologia operacyjna (OT) i Internet przedmiotów (Internet przedmiotów).
Fabryki, sieci energetyczne i szpitale są pełne urządzeń, które nigdy nie zostały zaprojektowane z myślą o częstym uwierzytelnianiu. Wiele z nich działa na przestarzałych systemach operacyjnych, brakuje mechanizmów aktualizacji i zostało zaprojektowanych z myślą o dostępności, a nie bezpieczeństwie.
Jednak te środowiska są obecnie głównymi celami. Atak na Colonial Pipeline w 2021 roku pokazał, jak naruszenia IT mogą rozprzestrzenić się na infrastrukturę krytyczną. W odpowiedzi Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) zaapelowała do operatorów rurociągów, przedsiębiorstw użyteczności publicznej i sieci transportowych o wdrożenie zasad Zero Trust, gdziekolwiek to możliwe (CISA).
Niektóre strategie obejmują umieszczanie starszych urządzeń w „serwerach proxy”, które wymuszają reguły dostępu w ich imieniu, lub segmentację sieci, uniemożliwiając podatnym urządzeniom swobodną komunikację z systemami wrażliwymi. Postępy są nierównomierne, ale kierunek jest jasny: podejście oparte na perymetrii jest nie do utrzymania w przypadku infrastruktury krytycznej.
Chmura natywna Zero Trust
Wdrożenie chmury sprawiło, że Zero Trust jeszcze głębiej wniknął w samo oprogramowanie. W środowiskach kontenerowych, takich jak Kubernetes, mikrousługi stale komunikują się ze sobą za pośrednictwem interfejsów API. Zero Trust w tym kontekście oznacza weryfikację każdego połączenia między usługami, a nie tylko logowań użytkowników.
Siatki serwisowe takie jak Podobnie oraz Linkerda włączyć „wzajemny protokół TLS” między mikrousługami, co zapewni, że nawet w obrębie tego samego klastra zaufanie będzie zdobywane, a nie zakładane.
To szczegółowe egzekwowanie przepisów zmniejsza wpływ narażonych obciążeń. Wprowadza jednak również złożoność, ponieważ zespoły operacyjne muszą zarządzać tysiącami efemerycznych certyfikatów. Automatyzacja tego procesu bez zakłócania działania aplikacji staje się kluczowym obszarem innowacji.
Przygotowania do ery kwantowej
Patrząc dalej w przyszłość, Zero Trust może zderzyć się z nadchodzącą rzeczywistością informatyka kwantowaDzisiejsza kryptografia klucza publicznego stanowi podstawę większości uwierzytelniania i szyfrowania. Wystarczająco wydajny komputer kwantowy mógłby złamać te algorytmy w ciągu kilku godzin.
Choć praktyczne ataki kwantowe są jeszcze odległe o lata, rządy i przedsiębiorstwa już się do nich przygotowują. Narodowy Instytut Standardów i Technologii (NIST) standaryzuje postkwantowe algorytmy kryptograficzne aby zastąpić te podatne na zagrożenia (NIST).
W przypadku Zero Trust oznacza to zabezpieczenie przyszłościowych warstw tożsamości i szyfrowania. Zasady mogą w przyszłości uwzględniać, które algorytmy są uważane za bezpieczne pod względem kwantowym, i automatycznie migrować połączenia w miarę rozwoju standardów.
Granice wizji przyszłości
Nawet jeśli Zero Trust integruje sztuczną inteligencję, kod i zabezpieczenia postkwantowe, ograniczenia pozostają. Automatyzacja może przynieść odwrotny skutek, jeśli nie zostanie starannie dostrojona. Starsze urządzenia nadal będą opierać się łatwej integracji. Organizacje ryzykują „teatr bezpieczeństwa”, jeśli wdrożą terminologię Zero Trust bez trudnych zmian kulturowych.
Prawdziwa przyszłość może nie być olśniewająca. Będzie to ciężka harówka: mierzenie ryzyka, przepisywanie zasad, ulepszanie systemów i przekonywanie ludzi do zmiany nawyków. Zero Trust może stać się mniej modnym hasłem, a bardziej podstawowym założeniem – jak pasy bezpieczeństwa w samochodach.
Szeroka Perspektywa
Idea Zero Trust początkowo była jedynie technicznym rozwiązaniem, ale jej implikacje wykraczają daleko poza zapory sieciowe i logowanie. Wraz z jej wdrażaniem przez rządy, korporacje i całe branże, model ten kształtuje nie tylko strategie cyberbezpieczeństwa, ale także… kwestie rządzenia, etyki i geopolityki.
Cyberbezpieczeństwo dla Biznesu
Twoja firma stoi w obliczu stale ewoluujących cyberzagrożeń, które mogą zagrozić poufnym danym, zakłócić działanie i zaszkodzić Twojej reputacji. Nasze cyberbezpieczeństwo dla rozwiązań biznesowych są dostosowane do wyjątkowych wyzwań stojących przed firmami każdej wielkości, zapewniając solidną ochronę przed złośliwym oprogramowaniem, phishingiem, ransomware i innymi zagrożeniami.
Niezależnie od tego, czy jesteś małym startupem, czy dużym przedsiębiorstwem, oferujemy pakiety cyberbezpieczeństwa z wieloma licencjami, które zapewniają bezproblemową ochronę całego zespołu na wszystkich urządzeniach. Dzięki zaawansowanym funkcjom, takim jak monitorowanie zagrożeń w czasie rzeczywistym, bezpieczeństwo punktów końcowych i bezpieczne szyfrowanie danych, możesz skupić się na rozwijaniu swojej firmy, podczas gdy my zajmiemy się Twoimi potrzebami w zakresie bezpieczeństwa cyfrowego.
Uzyskaj bezpłatną wycenę już dziś! Zabezpiecz swoją firmę za pomocą niedrogich i skalowalnych rozwiązań. Skontaktuj się z nami już teraz, aby poprosić o bezpłatna wycena dla wielolicencjiowych pakietów cyberbezpieczeństwa zaprojektowanych tak, aby zapewnić bezpieczeństwo i zgodność Twojej firmy. Nie czekaj — chroń swoją firmę, zanim pojawią się zagrożenia!
Zarządzanie i odpowiedzialność
Tradycyjne modele bezpieczeństwa często zacierały granice odpowiedzialności. W przypadku awarii obwodu nie było jasne, czy przyczyną była usterka IT, zgodność z przepisami, czy zachowanie użytkownika. Zero Trust wymusza przejrzystość. Każde żądanie dostępu jest rejestrowane, każda decyzja jest powiązana z polityką, a każdy wyjątek jest widoczny.
Ta przejrzystość zmienia sposób rozliczania. Zarządy i organy regulacyjne coraz częściej oczekują danych dotyczących kont uprzywilejowanych, wykrywania ruchów bocznych i wyjątków od zasad. W Europie organy regulacyjne zasugerowały, że firmy, które nie wdrożą zasad Zero Trust, mogą podlegać surowszej kontroli w ramach… Ogólne rozporządzenie o ochronie danych (GDPR), który wymaga „odpowiednich środków technicznych i organizacyjnych” w celu ochrony danych osobowych (Komisja Europejska).
Dla organizacji oznacza to, że Zero Trust to nie tylko mechanizm obronny. To także narzędzie do przestrzegania przepisów.
Etyka weryfikacji
Ciągła weryfikacja rodzi pytania etyczne. Jeśli każda czynność jest rejestrowana, czy narusza to prywatność pracowników? Jeśli systemy oparte na sztucznej inteligencji oceniają użytkowników pod kątem „ryzyka”, czy oceny te mogą być zafałszowane przez lokalizację, schematy pracy lub typy urządzeń?
Obrońcy prywatności ostrzegają, że zasada Zero Trust może przekształcić się w nadzór domyślny jeśli nie zostanie starannie ograniczony. „Weryfikacja jest konieczna, ale wgląd we wszystko, co robisz w pracy, może przekroczyć pewną granicę” – powiedział Albert Fox Cahn, dyrektor Surveillance Technology Oversight Project, w wywiadzie z 2022 roku.
Wyzwaniem dla organizacji będzie znalezienie równowagi bezpieczeństwo z godnościąPrzejrzysta polityka, minimalne gromadzenie danych i niezależne audyty mogą okazać się niezbędne, aby mieć pewność, że Zero Trust nie stanie się niekontrolowanym systemem monitorowania.
Geopolityka zaufania
Zero Trust ma również wymiar geopolityczny. Ponieważ cyberataki coraz częściej dotyczą podmiotów państwowych, model ten jest przyjmowany nie tylko przez firmy, ale także przez rządy.
Stany Zjednoczone, Unia Europejska i sojusznicy jednoczą się wokół zasady Zero Trust jako podstawy ochrony infrastruktury krytycznej. Jednocześnie państwa będące w konflikcie stosują podobne modele dla swoich sieci, często łącząc je z polityką intensywnego nadzoru.
W ten sposób Zero Trust może stać się częścią globalne normy cybernetyczne debata. Kraje, które potrafią skutecznie wdrożyć tę strategię, mogą okazać się bardziej odporne nie tylko na ataki, ale także na dyplomatyczne i ekonomiczne konsekwencje naruszeń.
Jednak w przypadku krajów rozwijających się koszty wdrożenia mogą pogłębić przepaść cyfrową. Kraje bogatsze zabezpieczą swoją infrastrukturę zgodnie z zasadami Zero Trust, podczas gdy kraje uboższe mogą nadal polegać na przestarzałych modelach perymetrycznych – bardziej podatnych na ataki zakłócające funkcjonowanie opieki zdrowotnej, bankowości i usług komunalnych.
Zmiana kulturowa, która przetrwała modne hasło
Nawet gdy model Zero Trust wkracza w sferę regulacji i geopolityki, jego trwały wpływ może mieć charakter kulturowy. Model ten zmienia sposób, w jaki organizacje postrzegają zaufanie cyfrowe: nie jako jednorazowy uścisk dłoni na granicy, ale jako dynamiczną relację, na którą trzeba nieustannie zabiegać.
Ta zmiana kulturowa odzwierciedla szersze trendy w technologii. Tak jak ciągłe wdrażanie zastąpiło coroczne wydania oprogramowania, ciągła weryfikacja zastępuje statyczne logowania. Oba te zjawiska odzwierciedlają rzeczywistość systemów, które… zawsze zmieniający się, zawsze narażony, zawsze poddawany próbom.
Powrót do Lede
Kiedy ransomware zablokował system planowania w szpitalu, awaria nie była niczym niezwykłym. To była zwykła sytuacja: ponowne użycie hasła, niekontrolowane przechodzenie między systemami, dorozumiane zaufanie.
Zero Trust, w całej swojej złożoności i kontrowersjach, jest próbą naprawy codzienności. Nie zapobiegnie ona każdemu naruszeniu. Nie wyeliminuje nadużyć wewnętrznych. Może nawet stworzyć nowe zagrożenia, jeśli zostanie niewłaściwie zastosowana. Zmienia jednak równanie: jedno skradzione hasło nie powinno już wystarczyć do odblokowania całej sieci.
Kopacz
Granice wciąż istnieją. Po prostu nie definiują już, kto ma do nich dostęp. W nadchodzących dekadach organizacje, które się dostosują, nie będą budować wyższych murów, ale traktować zaufanie jako coś dynamicznego, kontekstowego i warunkowego.
Zero Trust, pozbawione sloganów, jest po prostu uznaniem tego faktu.
Wykroczenia, które zniszczyły zamek
Kiedy wiosną ubiegłego roku ransomware zaatakował system planowania wizyt w średniej wielkości szpitalu, lekarze powrócili do długopisu i papieru. Atakujący nie wykorzystali egzotycznego złośliwego oprogramowania – użyli ponownie użytych danych logowania, przemieszczając się po sieci, aż do zablokowania systemów centralnych. Takie incydenty są powszechne w służbie zdrowia, gdzie skradzione dane uwierzytelniające napędzają kampanie ransomware i przytłaczają słabo wyposażone zespoły IT (Przewodowa).
Ten szpital nie był jedynym celem. W maju 2021 r. atak ransomware zmusił Rurociąg kolonialny, która dostarcza prawie połowę paliwa zużywanego na wschodnim wybrzeżu USA, w celu wstrzymania działalności. Atakujący uzyskali dostęp za pomocą zhakowanego konta VPN, które nie miało uwierzytelniania wieloskładnikowego (Wikipedia). Zakłócenia te wywołały niedobory paliwa, paniczne zakupy i wprowadzenie federalnych środków nadzwyczajnych.
Wcześniej, w grudniu 2020 r. SolarWinds Naruszenie łańcucha dostaw podważyło zaufanie do powszechnie używanego oprogramowania. Złośliwe aktualizacje – prawdopodobnie opracowane przez grupę państwową – były rozpowszechniane pod przykrywką legalnych poprawek, zapewniając atakującym dostęp do agencji rządowych USA na miesiące przed wykryciem (CISA).
Te incydenty niosą ze sobą ważną lekcję: atakujący rzadko muszą szturmować cyfrowe granice. Po dostaniu się do środka, wszystko za ścianą jest traktowane jako zaufane, co sprawia, że eskalacja naruszenia bezpieczeństwa jest szybka i niszczycielska.
Obwód się zawalił
Przez dziesięciolecia organizacje polegały na zamek z fosą model: wzmocnienie obwodu — w postaci zapór sieciowych, sieci VPN i systemów antywłamaniowych — i założenie, że wszystko w środku będzie bezpieczne.
Wraz z rozwojem technologii ramy te uległy rozpadowi:
- Migracja do chmury. Poufne obciążenia zostały przeniesione do AWS, Azure i Google Cloud.
- Dostęp zdalny i mobilny. Pandemia wymusiła rozszerzenie działalności poza mury korporacji, co wymusiło obciążenie sieci VPN.
- API i SaaS. Dane przepływają teraz przez nieszczelne granice.
„Granica nie zniknęła” – powiedział Phil Venables, dyrektor ds. bezpieczeństwa informacji w Google Cloud, w wywiadzie z 2022 roku. „Po prostu niewiele już mówi. Bycie „wewnątrz” nie oznacza bezpieczeństwa”.
Stary model i dlaczego się nie sprawdził
Metafora zamku i fosy dominowała w myśleniu o bezpieczeństwie przez większość historii internetu. Zbuduj wysokie mury – zapory sieciowe, systemy zapobiegania włamaniom, oprogramowanie antywirusowe – a będziesz mógł odeprzeć wroga. Wewnątrz tych murów zaufani użytkownicy i maszyny mogli swobodnie się poruszać.
Rozwój obrony obwodowej
W latach 1990. i na początku XXI wieku model ten miał sens. Większość systemów korporacyjnych działała w lokalnych centrach danych. Pracownicy siedzieli przy biurkach w sieciach biurowych. „Brzeg” stanowiła definiowalna granica, zazwyczaj zestaw zakresów adresów IP kontrolowanych przez organizację.
Zapory ruch filtrowany. VPN utworzono szyfrowane tunele dla personelu podróżującego. Pakiety antywirusowe chroniły przed znanymi zagrożeniami. Przez jakiś czas te zabezpieczenia działały.
Ale zaczęły pojawiać się pęknięcia.
- Robaki takie jak Code Red i Slammer rozprzestrzeniły się błyskawicznie w sieciach korporacyjnych na początku XXI wieku, wykorzystując niezałatane systemy po przedostaniu się do środka.
- Naruszenie bezpieczeństwa firmy Target w 2013 r., w którym atakujący włamali się za pośrednictwem zewnętrznego dostawcy systemów HVAC i przenieśli się do systemów punktów sprzedaży, pokazało, jak nieszczelne mogą być „zaufane” strefy.
- Ujawnienia Edwarda Snowdena z 2013 r. podkreślono ryzyko wewnętrzne: gdy użytkownik uzyskał uprzywilejowany dostęp, zabezpieczenia obwodowe nie były w stanie zapobiec wyciekowi danych.
Domniemane założenie, że zagrożenia pochodzą z zewnątrz, nie było już prawdą.
Wąskie gardło VPN
Wirtualne sieci prywatne, od dawna postrzegane jako podstawa bezpiecznej pracy zdalnej, stały się rażącą słabością. Do 2020 roku, gdy pandemia COVID-19 zmusiła całe siły robocze do pracy w domu, serwery VPN zostały przeciążone. Pracownicy kierowali przez nie cały ruch, co powodowało wąskie gardła wydajnościowe, a co gorsza, pojedyncze punkty awarii.
Atakujący zauważyli. Według FBI luki w zabezpieczeniach VPN należały do najczęściej wykorzystywanych kategorii w latach 2020–2021, umożliwiając atakującym bezpośredni dostęp do środowisk korporacyjnych (FBI).
Sieć VPN, kiedyś będąca zaufanym mostem, stawała się coraz większym problemem.
Cyberbezpieczeństwo dla Biznesu
Twoja firma stoi w obliczu stale ewoluujących cyberzagrożeń, które mogą zagrozić poufnym danym, zakłócić działanie i zaszkodzić Twojej reputacji. Nasze cyberbezpieczeństwo dla rozwiązań biznesowych są dostosowane do wyjątkowych wyzwań stojących przed firmami każdej wielkości, zapewniając solidną ochronę przed złośliwym oprogramowaniem, phishingiem, ransomware i innymi zagrożeniami.
Niezależnie od tego, czy jesteś małym startupem, czy dużym przedsiębiorstwem, oferujemy pakiety cyberbezpieczeństwa z wieloma licencjami, które zapewniają bezproblemową ochronę całego zespołu na wszystkich urządzeniach. Dzięki zaawansowanym funkcjom, takim jak monitorowanie zagrożeń w czasie rzeczywistym, bezpieczeństwo punktów końcowych i bezpieczne szyfrowanie danych, możesz skupić się na rozwijaniu swojej firmy, podczas gdy my zajmiemy się Twoimi potrzebami w zakresie bezpieczeństwa cyfrowego.
Uzyskaj bezpłatną wycenę już dziś! Zabezpiecz swoją firmę za pomocą niedrogich i skalowalnych rozwiązań. Skontaktuj się z nami już teraz, aby poprosić o bezpłatna wycena dla wielolicencjiowych pakietów cyberbezpieczeństwa zaprojektowanych tak, aby zapewnić bezpieczeństwo i zgodność Twojej firmy. Nie czekaj — chroń swoją firmę, zanim pojawią się zagrożenia!
Shadow IT i SaaS
W międzyczasie jednostki biznesowe wdrożyły platformy SaaS – Salesforce, Slack, Microsoft 365 – bez centralnego nadzoru IT. Dane wrażliwe przepływały przez usługi zewnętrzne, często z wykorzystaniem słabych lub wielokrotnie używanych haseł.
Ten „cień IT” rozszerzyło powierzchnię ataku w sposób, na który obrona obwodowa nie była w stanie sobie poradzić. Gartner oszacował, że do 2019 roku działy IT w cieniu stanowiły od 30 do 40 procent wydatków na IT w dużych przedsiębiorstwach – co stanowiło martwy punkt dla tradycyjnych zespołów ds. bezpieczeństwa.
Kultura bezwarunkowego zaufania
Być może najgroźniejszą wadą modelu perymetrycznego były kwestie kulturowe. Zespoły bezpieczeństwa traktowały „wewnątrz” jako bezpieczne. Deweloperzy uruchamiali systemy testowe bez kontroli. Konta administratorów gromadziły uprawnienia. Przemieszczanie się w poziomie odbywało się w dużej mierze bez nadzoru.
Jak ujął to Venables: „Granica nie zniknęła. Po prostu niewiele już mówi”. To uświadomienie utorowało drogę do Zero Trust: ram, które zakładają, naruszenie jest nieuniknione i koncentruje się na minimalizowaniu jego wpływu.
Wnioski: Zaufanie, rozważone na nowo
Zero Trust jest czasami lekceważone jako slogan, kolejny cykl w niekończącym się korowodzie akronimów branży bezpieczeństwa. Jednak jego trwałość sugeruje coś głębszego. To, co zaczęło się jako fraza analityków, stało się federalnym nakazem, hasłem bojowym dostawców i, coraz częściej, normą organizacyjną. Jego trwałość wynika nie z innowacyjności, lecz z konieczności.
Granica się załamała. Chmura, praca mobilna i połączone łańcuchy dostaw zatarły granicę między tym, co wewnątrz, a tym, co na zewnątrz. Atakujący to zauważyli. Wykorzystywali sieci VPN, nadużywali zaufanych aktualizacji oprogramowania i zamieniali skradzione hasła w żądania okupu. Awarie były zwyczajne, a nie spektakularne – i to właśnie czyniło je tak druzgocącymi.
Zero Trust to próba zmierzenia się z tą zwyczajnością. Nie opiera się na perfekcyjnej obronie ani heroicznej reakcji na incydenty. Zamiast tego zakłada słabość, przewiduje zagrożenia i ogranicza szkody. Skradzione dane uwierzytelniające nie powinny być kluczem głównym. Niezałatany serwer nie powinien narażać całego przedsiębiorstwa na niebezpieczeństwo. Dostęp powinien być tymczasowy, kontekstowy i możliwy do odwołania w dowolnym momencie.
Przejście nie jest ani tanie, ani proste. Organizacje borykają się ze starymi systemami, których nie da się zmodernizować, pracownikami, którzy irytują się na wielokrotne weryfikacje, oraz dostawcami, którzy chcą naciągać termin, aż straci on znaczenie. Mimo tych tarć, model ten przeszedł drogę od programów pilotażowych do strategii na poziomie zarządu. Szpitale, banki, agencje federalne i giganci technologiczni znajdują się na różnych etapach, ale wszystkie zmierzają w tym samym kierunku.
To, co czyni Zero Trust istotnym, to nie to, że eliminuje naruszenia. Nie jest to możliwe. Nadużycia wewnętrzne, wyrafinowane naruszenia łańcucha dostaw i błędy ludzkie pozostaną. Zmieniają one jedynie geometrię awarii. Naruszenie w jednym miejscu nie rozprzestrzenia się już bez kontroli. Postępy intruza są spowolnione, widoczność poprawia się, a koszt naruszenia bezpieczeństwa rośnie dla atakującego.
W grę wchodzi również kwestia kulturowa. Zero Trust zmienia nasze myślenie o samym zaufaniu cyfrowym. Przez dekady zaufanie było wartością statyczną: raz przyznane, było trwałe. Teraz jest dynamiczne, zdobywane wielokrotnie i nieustannie mierzone. Ta zmiana odzwierciedla szersze zmiany w technologii, gdzie systemy są stale aktualizowane, użytkownicy są stale mobilni, a zagrożenia nieustannie się adaptują.
W nadchodzących latach podejście Zero Trust będzie ewoluować. Uczenie maszynowe zautomatyzuje więcej decyzji. Polityka jako kod rozszerzy je głębiej na infrastrukturę. Kryptografia postkwantowa przygotuje je na nowe zagrożenia. Jednak jego istota pozostanie ta sama: zaufanie nigdy nie jest stanem trwałym, a jedynie tymczasową decyzją opartą na aktualnych dowodach.
Granice nadal istnieją, ale nie definiują już bezpieczeństwa. W tym sensie Zero Trust to nie tyle techniczne ramy, co uznanie rzeczywistości. Nie chodzi o paranoję. Chodzi o pokorę – pokorę, by przyznać, że żaden system nie jest bezbłędny, żaden mur nie jest nie do przekroczenia, żadne konto nie jest poza podejrzeniami.
Naruszenia, które wymusiły takie rozliczenie, były kosztowne, destrukcyjne i w niektórych przypadkach niebezpieczne. Utorowały jednak drogę nowej filozofii: takiej, która postrzega bezpieczeństwo nie jako fosę, lecz jako zestaw barier, kontrolujących każdą interakcję, każde żądanie, każdy przepływ danych.
Zero Trust może kiedyś zniknąć jako frazes. Praktyki, które ucieleśnia, nie znikną. Staną się cichą infrastrukturą odporności w świecie, w którym kompromis jest z góry przyjęty. A jeśli się powiedzie, największą miarą jego sukcesu będzie jego niewidzialność – fakt, że zwykłe naruszenia nie przerodzą się już w nadzwyczajne kryzysy.
