Бреши, разрушившие замок
Когда прошлой весной вирус-вымогатель атаковал систему планирования приёмов в больнице среднего размера, врачи вернулись к работе с ручкой и бумагой. Злоумышленники не использовали экзотическое вредоносное ПО — они использовали повторно используемые учётные данные, перемещаясь по сети до тех пор, пока основные системы не были заблокированы. Подобные инциденты часто встречаются в здравоохранении, где украденные учётные данные подпитывают кампании по вымогательству и перегружают и без того скудные ресурсы ИТ-отделов.Проводная).
- Бреши, разрушившие замок
- Старая модель и почему она провалилась
- Кибербезопасность для бизнеса
- Определение нулевого доверия
- Что на самом деле означает нулевое доверие
- Проект NIST
- Заблуждения, которые сохраняются
- Где это подходит
- Культурный сдвиг
- Почему это прижилось
- Внутри предприятия
- Google и эксперимент BeyondCorp
- Microsoft и корпоративный мейнстрим
- Натиск федерального правительства
- Финансовые услуги: риск встречается с регулированием
- Кибербезопасность для бизнеса
- Здравоохранение: борьба с устаревшими системами
- Общие тенденции в разных отраслях
- Культура как самый твердый слой
- Тихий эталон
- Сложная часть
- Кибербезопасность для бизнеса
- Будущее нулевого доверия
- ИИ и машинное обучение: на пути к адаптивному обеспечению соблюдения правил
- Политика как код: автоматизация ограждений
- Распространение концепции нулевого доверия на Интернет вещей и ОТ
- Облачная технология Zero Trust
- Подготовка к квантовой эре
- Границы видения будущего
- The Big Picture
- Кибербезопасность для бизнеса
- Управление и подотчетность
- Этика проверки
- Геополитика доверия
- Культурный сдвиг, переживший модное словечко
- Возвращаясь к Леде
- Кикер
- Бреши, разрушившие замок
- Периметр рухнул
- Старая модель и почему она провалилась
- Кибербезопасность для бизнеса
- Заключение: Переосмысленное доверие
Эта больница была не единственной целью. В мае 2021 года атака вируса-вымогателя вынудила Колониальный Трубопровод, которая поставляет почти половину топлива, потребляемого на восточном побережье США, приостановить работу. Злоумышленники получили доступ, используя взломанную учётную запись VPN, не поддерживающую многофакторную аутентификацию (Википедия.). Сбой спровоцировал нехватку топлива, панические закупки и введение чрезвычайных мер на федеральном уровне.
Ранее, в декабре 2020 года, SolarWinds Утечка из цепочки поставок подорвала доверие к широко используемому программному обеспечению. Вредоносные обновления, предположительно организованные государственной группой, распространялись под видом легитимных патчей, предоставляя злоумышленникам доступ к правительственным учреждениям США в течение нескольких месяцев до их обнаружения.CISA).
Эти инциденты преподносят нам важный урок: злоумышленникам редко приходится штурмовать цифровой периметр. Оказавшись внутри, все, что находится за стеной, считается доверенным, что делает эскалацию нарушений быстрой и разрушительной.
Старая модель и почему она провалилась
На протяжении большей части истории Интернета вопросы безопасности вращались вокруг замок-и-ров Метафора. Возведите высокие стены — межсетевые экраны, системы предотвращения вторжений, антивирусное ПО — и вы сможете защититься от врага. За этими стенами доверенные пользователи и машины свободно перемещались.
Рост периметральной обороны
В 1990-х и начале 2000-х годов эта модель была оправдана. Большинство корпоративных систем размещалось в локальных центрах обработки данных. Сотрудники работали за рабочими столами внутри офисных сетей. «Граница» представляла собой определяемую границу, обычно набор диапазонов IP-адресов, контролируемых организацией.
Межсетевые экраны отфильтрованный трафик. Виртуальные частные сети создали зашифрованные туннели для путешествующих сотрудников. Антивирусные пакеты Защита от известных угроз. Индустрия безопасности позиционировала их как непробиваемую защиту, и какое-то время они работали.
Но вот начали появляться трещины.
- Черви, такие как Code Red и Slammer В начале 2000-х годов вредоносная программа быстро распространилась по корпоративным сетям, используя в своих целях необновленные машины после проникновения внутрь.
- Утечка данных Target в 2013 году, в ходе которого злоумышленники проникли через стороннего поставщика систем отопления, вентиляции и кондиционирования воздуха и двинулись горизонтально к системам точек продаж, показали, насколько уязвимыми могут быть «доверенные» зоны.
- Раскрытия Эдварда Сноудена в 2013 году подчеркнули внутренний риск: как только пользователь получал привилегированный доступ, защита периметра мало что могла сделать для предотвращения утечки данных.
Неявное предположение о том, что угрозы исходят извне, больше не было верным.
Узкое место VPN
Виртуальные частные сети, долгое время считавшиеся основой безопасности, превратились в вопиющую уязвимость. К 2020 году, когда пандемия COVID-19 вынудила многих сотрудников уйти домой, VPN-серверы оказались перегружены. Сотрудники направляли весь трафик через них, создавая узкие места в производительности и, что ещё хуже, точки отказа.
Злоумышленники заметили это. По данным ФБР, уязвимости VPN стали одной из наиболее часто эксплуатируемых категорий в 2020–2021 годах, и злоумышленники использовали их как трамплин для проникновения в корпоративную среду (ФБР).
VPN, некогда надежный мост, все больше превращается в обузу.
Кибербезопасность для бизнеса
Ваш бизнес сталкивается с постоянно меняющимися киберугрозами, которые могут поставить под угрозу конфиденциальные данные, нарушить работу и нанести ущерб вашей репутации. Наши кибербезопасность для бизнес-решений разработаны с учетом уникальных задач компаний любого размера и обеспечивают надежную защиту от вредоносных программ, фишинга, программ-вымогателей и многого другого.
Независимо от того, являетесь ли вы небольшим стартапом или крупным предприятием, мы предлагаем пакеты кибербезопасности с несколькими лицензиями, которые обеспечивают безупречную защиту для всей вашей команды на всех устройствах. Благодаря расширенным функциям, таким как мониторинг угроз в реальном времени, безопасность конечных точек и надежное шифрование данных, вы можете сосредоточиться на развитии своего бизнеса, пока мы занимаемся вашими потребностями в цифровой безопасности.
Получите бесплатное предложение сегодня! Защитите свой бизнес с помощью доступных и масштабируемых решений. Свяжитесь с нами сейчас, чтобы запросить бесплатная цитата для пакетов кибербезопасности с несколькими лицензиями, разработанных для обеспечения безопасности и соответствия вашей компании. Не ждите — защитите свой бизнес до того, как возникнут угрозы!
Теневые ИТ и SaaS
Тем временем бизнес-подразделения перешли на SaaS-платформы — Salesforce, Slack, Microsoft 365 — без централизованного ИТ-контроля. Конфиденциальные данные передавались через сторонние сервисы, доступ к которым часто осуществлялся с помощью слабых или повторно используемых паролей.
Этот «теневые ИТ» По оценкам Gartner, к 2019 году на теневые ИТ-ресурсы приходилось от 30 до 40% ИТ-расходов крупных предприятий — слепое пятно для традиционных служб безопасности.
Культура неявного доверия
Возможно, самым опасным недостатком модели периметра был культурный аспект. Отделы безопасности считали «внутреннюю» часть безопасной. Разработчики создавали тестовые системы без какого-либо контроля. Учётные записи администраторов накапливали привилегии. Горизонтальное перемещение данных практически не контролировалось.
Как сказал Фил Венаблс из Google Cloud: «Периметр никуда не делся. Он просто больше ничего не говорит». Это понимание подготовило почву для концепции Zero Trust: концепции, которая предполагает нарушение неизбежно и фокусируется на минимизации его воздействия.
Определение нулевого доверия
К середине 2010-х годов недостатки системы периметральной охраны стали очевидны. Задача состояла в том, чтобы найти приемлемую альтернативу. Эта альтернатива появилась в Zero Trust, модель, которая переосмысливает всю основу контроля доступа.
Что на самом деле означает нулевое доверие
Фразу «Ноль доверия» часто упрощают, превращая ее в лозунг: никогда не доверяй, всегда проверяй. Но на практике речь идет не столько о паранойе, сколько о постоянная гарантия. Каждый запрос к системе — будь то от человека, устройства или приложения — рассматривается как ненадёжный, пока не будет доказано обратное.
Подход основан на нескольких основных принципах:
- Непрерывная проверка личности. Аутентификация не происходит однократно при входе в систему. Она повторяется на протяжении всего сеанса, адаптируясь к такому контексту, как местоположение, состояние устройства и поведение пользователя.
- Целостность устройства. Доступ зависит не только от кто подключается, но почему Скомпрометированному или необновлённому устройству может быть отказано во входе, даже если учётные данные действительны.
- Наименьшие привилегии доступа. Разрешения минимизированы, предоставляя только то, что необходимо для выполнения задачи. Это значительно снижает радиус атаки в случае компрометации учётной записи.
- Микросегментация. Сети разделены на гранулярные зоны, что ограничивает горизонтальные перемещения. Компрометация в одной зоне не распространяется автоматически.
- Непрерывный мониторинг. Журналы и аналитика — это не второстепенная задача, а ключевая. Каждая транзакция регистрируется и анализируется на предмет аномалий.
По сути, Zero Trust — это не просто продукт, а скорее дисциплина скептицизма.
Проект NIST
Годами продавцы использовали этот термин в широком смысле. Всё изменилось с появлением Специальный выпуск Национального института стандартов и технологий (NIST) 800-207, выпущенный в 2020 году. В документе систематизирована концепция Zero Trust в рамках официальной федеральной структуры: идентификация, устройство, сеть, приложение и данные являются точками реализации политики, а центральный механизм политики принимает решения о доступе (NIST).
В руководстве NIST концепция Zero Trust сформулирована следующим образом: архитектура а не набор инструментов. Ведомствам было настоятельно рекомендовано принять его не как отдельное решение, а как постепенное изменение порядка предоставления доступа. Это стало шаблоном как для федеральных предписаний, так и для внедрения в частном секторе.
Заблуждения, которые сохраняются
По мере распространения термина росла и путаница. Особенно сохраняются три заблуждения:
- Нулевое доверие = отсутствие доверия. Эта фраза вводит в заблуждение. Принцип «нулевого доверия» не устраняет доверие, а лишь укрепляет его. условный и контекстный. Доступ предоставляется при наличии достаточных доказательств.
- Нулевое доверие — это продукт. Многие поставщики предлагают «решения Zero Trust». На самом деле это не отдельный инструмент, а набор взаимосвязанных практик.
- Нулевое доверие решает все. Это снижает риск, но не устраняет его полностью. Фишинг, инсайдерская информация и атаки на цепочки поставок остаются угрозами.
«Политику Zero Trust часто представляют как панацею», — заявила Кэти Муссурис, генеральный директор Luta Security, в интервью 2021 года. «На практике это всего лишь ещё один уровень защиты. Она работает лучше всего, когда является частью более широкой и дисциплинированной культуры безопасности».
Где это подходит
Zero Trust — это не просто принцип «копировать и заменять». Он сосуществует с существующими системами. Организации обычно начинают с управления идентификацией — внедряют многофакторную аутентификацию, единый вход и политики условного доступа, — а затем переходят к сегментации сети и постоянному мониторингу.
Порядок операций варьируется, но принцип тот же: никакого неявного доверия. Каждая транзакция должна быть подтверждена.
Культурный сдвиг
Возможно, важнее технологий образ мышления. Традиционные модели проводили бинарную грань: внешнее против внутреннего, безопасное против опасного. Принцип «нулевого доверия» разрушает эту бинарность. Каждое соединение, даже внутреннее, должно быть проверено.
Для руководителей ИТ это требует культуры, в которой доступ предоставляется непрерывно, а не предполагается постояннымЭто может создавать трудности — пользователи могут отказаться от повторной проверки, — но это шаг в сторону устойчивости.
Почему это прижилось
Рост популярности концепции «Ноль доверия» не был неизбежен. Она стала популярной, потому что соответствовала обеим концепциям. практические потребности безопасности и стратегические повествованияПредприятиям требовались способы обеспечить внедрение облачных технологий. Государственным организациям требовалось укрепить критически важную инфраструктуру. Поставщики нашли объединяющее решение для продуктов для идентификации, доступа и мониторинга.
К началу 2020-х годов формулировки концепции «нулевого доверия» стали появляться не только в технических документах, но и в залах заседаний, аудиторских отчётах и даже на слушаниях в Конгрессе. Модель перешла из области теории в плоскость политики.
Внутри предприятия
Zero Trust — это не продукт, который можно установить. Это долгий и неравномерный процесс перестройки системы доступа внутри организации. Для большинства предприятий это означает добавление новых элементов управления к устаревшим системам и постепенное внедрение изменений в каждом отделе. В результате получается лоскутное одеяло, которое выглядит по-разному в каждой отрасли, но определённые закономерности всё же прослеживаются.
Google и эксперимент BeyondCorp
Возможно, наиболее цитируемый пример «нулевого доверия» в действии — это BeyondCorp от Google. Запущен в 2011 году после кампании кибершпионажа, известной как Операция Аврора Под влиянием Google и других компаний Кремниевой долины компания отказалась от идеи доверенных внутренних сетей. Вместо этого каждый сотрудник и каждое устройство, независимо от местоположения, должны были пройти аутентификацию через прокси-серверы с идентификацией перед доступом к ресурсам (Google).
BeyondCorp позволил инженерам работать в ненадёжных сетях Wi-Fi, как в офисе, без использования VPN. Это также создало прецедент: если компания с более чем 100,000 XNUMX сотрудников смогла перестроить свою инфраструктуру на основе принципов Zero Trust, то и другие смогли.
Microsoft и корпоративный мейнстрим
Microsoft выбрала другой подход. Вместо единой инициативы компания внедрила принципы Zero Trust в такие продукты, как Azure Active Directory и Microsoft DefenderКомпания сформулировала свои рекомендации на основе трёх императивов: явная проверка, использование минимальных привилегий и предположение о нарушении.
Этот язык нашел отклик у корпоративных клиентов, уже переходящих в облачную экосистему Microsoft. К 2021 году Microsoft сообщила, что 96% ее корпоративных клиентов в той или иной форме включили многофакторную аутентификацию, являющуюся базовым элементом концепции «Ноль доверия» (Zero Trust).Microsoft).
Натиск федерального правительства
Хотя технологические гиганты выступили первыми, правительство США предоставило наиболее заметный мандат. После инцидентов с Colonial Pipeline и SolarWinds Белый дом поручил федеральным агентствам принять дорожные карты Zero Trust. Административно-бюджетное управление (OMB) установило контрольные показатели: проверка личности к 2024 году, шифрование всего трафика по умолчанию и централизованное применение политики доступа во всех агентствах (OMB).
Ведомства столкнулись с неравномерным прогрессом. Некоторые департаменты, располагавшие современной инфраструктурой, действовали быстро, в то время как другие, опираясь на устаревшие системы, отставали. Тем не менее, мандат потребовал модернизации кибербезопасности в масштабах, с которыми мало кто из частных компаний мог сравниться.
Финансовые услуги: риск встречается с регулированием
Банки и страховщики, давно привыкшие к регулирующему надзору, приняли концепцию «нулевого доверия» как часть стратегий повышения устойчивости. В 2022 году Управление по регулированию деятельности в финансовой индустрии (FINRA) выпустило руководство, призывающее компании внедрять модели безопасности, ориентированные на идентификацию.
Один крупный страховщик сообщил о сокращении количества привилегированных учётных записей более чем на треть после проведения инвентаризации идентификационных данных сервисов. Другой банк сообщил, что среднее время обнаружения вторжений сократилось почти на 30% после внедрения микросегментации в центрах обработки данных. Эти данные предоставлены самими банками, но они наглядно демонстрируют, как концепция Zero Trust согласуется с приоритетом финансовых учреждений на снижение рисков.
Кибербезопасность для бизнеса
Ваш бизнес сталкивается с постоянно меняющимися киберугрозами, которые могут поставить под угрозу конфиденциальные данные, нарушить работу и нанести ущерб вашей репутации. Наши кибербезопасность для бизнес-решений разработаны с учетом уникальных задач компаний любого размера и обеспечивают надежную защиту от вредоносных программ, фишинга, программ-вымогателей и многого другого.
Независимо от того, являетесь ли вы небольшим стартапом или крупным предприятием, мы предлагаем пакеты кибербезопасности с несколькими лицензиями, которые обеспечивают безупречную защиту для всей вашей команды на всех устройствах. Благодаря расширенным функциям, таким как мониторинг угроз в реальном времени, безопасность конечных точек и надежное шифрование данных, вы можете сосредоточиться на развитии своего бизнеса, пока мы занимаемся вашими потребностями в цифровой безопасности.
Получите бесплатное предложение сегодня! Защитите свой бизнес с помощью доступных и масштабируемых решений. Свяжитесь с нами сейчас, чтобы запросить бесплатная цитата для пакетов кибербезопасности с несколькими лицензиями, разработанных для обеспечения безопасности и соответствия вашей компании. Не ждите — защитите свой бизнес до того, как возникнут угрозы!
Здравоохранение: борьба с устаревшими системами
Больницы сталкиваются с другой проблемой. Системы электронных медицинских карт (ЭМК) и подключенные медицинские устройства часто используют устаревшее программное обеспечение, что затрудняет сегментацию и защиту персональных данных. Кроме того, эта отрасль является одной из главных целей для программ-вымогателей.
Некоторые больницы внедрили принципы «нулевого доверия» в отношении новых облачных порталов для пациентов и врачей, даже если основные системы остаются неисправными. Министерство здравоохранения и социальных служб настоятельно рекомендовало поставщикам медицинских услуг рассматривать «нулевое доверие» как способ предотвращения нарушений, а не как панацею. «Нереально полностью избавиться от всех старых устройств», — отметил один из чиновников. «Но можно ограничить взаимодействие этих устройств с остальной частью сети».
Общие тенденции в разных отраслях
Несмотря на разные стартовые точки, предприятия, внедряющие концепцию Zero Trust, часто сходятся во мнении относительно одних и тех же первоначальных приоритетов:
- Идентичность прежде всего. Внедрите строгую аутентификацию, единый вход и условный доступ.
- Видимость. Регистрируйте каждую транзакцию и централизуйте аналитику.
- Сетевое управление. Поэтапно внедряйте микросегментацию, особенно в отношении чувствительных рабочих нагрузок.
- Постепенное расширение. Распространить модель с ИТ-систем на операционные технологии, Интернет вещей и доступ третьих лиц.
Их объединяет не единообразие, а намерение: подорвать негласное доверие везде, где оно еще существует.
Культура как самый твердый слой
Технологии можно приобрести. Культуру — нет. Предприятия сообщают, что самое сложное — убедить сотрудников и разработчиков, что дополнительная проверка стоит усилий.
В Google инженеры изначально сопротивлялись BeyondCorp, жалуясь на медленный доступ. В компании, предоставляющей финансовые услуги, разработчики боролись с правилами сегментации, которые замедляли работу тестовых сред. Эти истории подчёркивают общую идею: Zero Trust — это проект не только технический, но и управленческий.
Тихий эталон
К началу 2020-х годов внедрение концепции «Ноль доверия» стало эталоном зрелости кибербезопасности. Аналитики спрашивали не о том, используют ли организации концепцию «Ноль доверия», а о том, как далеко они продвинулись в пути. Модель перешла от слайдов с амбициями к контрольным спискам аудита.
И хотя нет двух одинаковых реализаций, общая история одна: постепенное принятие под давлениемНезависимо от того, обусловлено ли это регулированием, устойчивостью или репутацией, концепция Zero Trust стала архитектурой безопасности, которую предприятия не могут игнорировать.
Сложная часть
Несмотря на всю свою привлекательность, концепция «Ноль доверия» непроста в реализации. Она требует переосмысления многолетних убеждений, изменения устоявшихся практик и ведения переговоров с поставщиками, которые рассматривают этот лейбл как маркетинговую возможность. Препятствия можно разделить на три основные категории: технологии, культура и стоимость.
Устаревшие системы, которые не подходят
Одним из самых труднопреодолимых препятствий является инфраструктура, появившаяся на десятилетия раньше концепции «нулевого доверия». В больницах жизненно важные медицинские устройства часто работают на Windows XP. Производители используют системы, разработанные задолго до того, как шифрование стало стандартом. Даже некоторые государственные учреждения до сих пор используют мэйнфреймы, написанные на COBOL.
Эти системы сложно модернизировать. Они часто не поддерживают современные методы проверки личности или детальную сегментацию. Их замена может обойтись в миллионы, а установка исправлений рискованна, если приводит к сбоям в работе.
В докладе Министерства здравоохранения и социальных служб за 2022 год предупреждалось, что устаревшие технологии в больницах остаются главным препятствием для внедрения политики «нулевого доверия». В докладе предлагалось применять «стратегии сдерживания» — заключающиеся в том, чтобы обернуть старые системы защитными слоями, а не ожидать от них соответствия современным стандартам.HHS).
Противодействие и несогласие пользователей
Zero Trust требует от пользователей чаще проверять данные и иногда дольше ждать одобрения. Инженеры жалуются на повторяющиеся запросы аутентификации. Удалённые сотрудники не любят лишних этапов входа в систему. Разработчики утверждают, что сегментация замедляет их рабочие процессы.
В Google первоначальное сопротивление BeyondCorp было настолько сильным, что команде безопасности пришлось создать внутренних лидеров — уважаемых инженеров, которые объясняли, почему неудобства стоят защиты. Аналогичные истории встречаются в разных отраслях: успех часто зависит от получения культурной поддержки ещё до внедрения.
Именно здесь лидерство имеет значение. Руководители служб информационной безопасности, которые рассматривают концепцию Zero Trust как чисто технический проект, часто терпят неудачу. Те, кто рассматривает её как часть обеспечения устойчивости бизнеса, обеспечивая безопасное внедрение облачных технологий, более плавный аудит и защиту репутации, добиваются большего успеха.
Кибербезопасность для бизнеса
Ваш бизнес сталкивается с постоянно меняющимися киберугрозами, которые могут поставить под угрозу конфиденциальные данные, нарушить работу и нанести ущерб вашей репутации. Наши кибербезопасность для бизнес-решений разработаны с учетом уникальных задач компаний любого размера и обеспечивают надежную защиту от вредоносных программ, фишинга, программ-вымогателей и многого другого.
Независимо от того, являетесь ли вы небольшим стартапом или крупным предприятием, мы предлагаем пакеты кибербезопасности с несколькими лицензиями, которые обеспечивают безупречную защиту для всей вашей команды на всех устройствах. Благодаря расширенным функциям, таким как мониторинг угроз в реальном времени, безопасность конечных точек и надежное шифрование данных, вы можете сосредоточиться на развитии своего бизнеса, пока мы занимаемся вашими потребностями в цифровой безопасности.
Получите бесплатное предложение сегодня! Защитите свой бизнес с помощью доступных и масштабируемых решений. Свяжитесь с нами сейчас, чтобы запросить бесплатная цитата для пакетов кибербезопасности с несколькими лицензиями, разработанных для обеспечения безопасности и соответствия вашей компании. Не ждите — защитите свой бизнес до того, как возникнут угрозы!
Цена перемен
Внедрение концепции «нулевого доверия» обходится недёшево. Организациям необходимо провести инвентаризацию всех устройств и пользователей, внедрить новые системы идентификации, сегментировать сети и централизовать мониторинг. Для крупных предприятий стоимость может достигать десятков миллионов долларов.
Небольшим компаниям предстоит ещё более сложный выбор. Немногие могут позволить себе массовое внедрение. Вместо этого они внедряют «Zero Trust Lite», уделяя особое внимание многофакторной аутентификации и политикам доступа к облаку, оставляя внутренние сети практически нетронутыми.
Аналитики предупреждают, что эта неравномерность может создать раскол в сфере безопасности. Более богатые компании выстраивают многоуровневую защиту, в то время как более мелкие остаются уязвимыми для тех же горизонтальных перемещений, которыми злоумышленники пользуются уже десятилетиями.
Ажиотаж и путаница среди поставщиков
Ещё одним препятствием является сама отрасль. Поставщики решений безопасности поспешили маркировать каждый свой продукт как «Zero Trust». Под этим лозунгом продаются межсетевые экраны, агенты конечных точек и облачные шлюзы. Это создало путаницу, поскольку руководители компаний полагают, что Zero Trust можно купить готовым.
Аналитики Gartner предупреждают, что Zero Trust — это «стратегия, а не продукт». Эта концепция требует координации между идентификацией, устройствами, сетями и приложениями. Ни один поставщик не может обеспечить всё это в одиночку. Однако маркетинговая шумиха часто затмевает эту реальность.
В 2022 году Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило модель зрелости Zero Trust, чтобы помочь организациям оценивать прогресс. Целью было частично сократить объём сообщений от поставщиков и предоставить дорожную карту, которая делала акцент на постепенном прогрессе, а не на разовых покупках (CISA).
Измерение успеха
Даже когда организации принимают концепцию «нулевого доверия», оценить её эффективность сложно. Нарушение, которое не Произошедшее сложно оценить количественно. Вместо этого компании полагаются на посредников:
- Сокращение привилегированных аккаунтов.
- Меньше исключений из политик доступа.
- Более быстрое обнаружение необычного поведения.
Эти показатели несовершенны, но они помогают продемонстрировать прогресс советам директоров и регулирующим органам. Тем не менее, отсутствие стандартизированных показателей приводит к тому, что некоторые компании переоценивают свою зрелость, а другие недооценивают свой прогресс.
Изменение усталости
Наконец, есть и усталость. Отделы безопасности и так уже перегружены установкой исправлений, обеспечением соответствия требованиям и реагированием на инциденты. Добавление к этому долгосрочной стратегии «Ноль доверия» может показаться непосильной задачей.
Некоторые организации используют поэтапный подход: сначала контроль личности, затем сегментация и наконец непрерывный мониторинг. Другие пытаются широкомасштабно внедрить систему, но терпят неудачу. Опытные специалисты отрасли предупреждают, что концепцию «нулевого доверия» следует рассматривать как многолетняя программа а не быстрое решение.
Еда на вынос
Zero Trust — это не только вопрос политики, бюджета и психологии, но и вопрос межсетевых экранов и прокси-серверов. Техническая концепция может быть ясна, но её реализация сталкивается с устаревшими системами, нежеланием пользователей, ограниченным бюджетом и предприимчивостью поставщиков.
Эта реальность не опровергает эту модель. Напротив, она показывает, почему этот термин так актуален. Zero Trust — это не финишная прямая. Это постоянный баланс между требованиями безопасности и оперативными ограничениями.
Будущее нулевого доверия
Концепция «Ноль доверия» больше не является чем-то второстепенным. Она стала стандартным шаблоном для государственных учреждений и международных корпораций. Но дальше речь идёт уже не о принципах, а о масштабной реализации. По мере того, как организации распространяют концепцию «Ноль доверия» за пределы ИТ-систем, операционные технологии, облачный стек и принудительное исполнение на основе искусственного интеллекта, сама модель развивается.
ИИ и машинное обучение: на пути к адаптивному обеспечению соблюдения правил
Одним из наиболее перспективных направлений развития является интеграция машинного обучения или в решения о доступе. Вместо статических правил, разрешающих или запрещающих доступ на основе фиксированных атрибутов, системы на базе искусственного интеллекта анализируют поведение в режиме реального времени.
Например, если пользователь входит в систему из нового места в необычное время, система может усилить аутентификацию или пометить активность как требующую проверки. Со временем эти модели формируют базовые показатели «нормального» поведения для каждого пользователя и устройства.
Microsoft и Google уже внедрили функции адаптивной аутентификации, учитывающие поведенческие сигналы. По данным Microsoft, организации, использующие политики условного доступа, основанные на оценке риска, сообщили о снижении числа успешных фишинговых атак, поскольку логины злоумышленников часто отклоняются от заученных шаблонов (Microsoft).
Проблема в надежности. Системы машинного обучения склонны к ложным срабатываниям, а слишком большое количество ложных тревог может привести к утомлению от оповещений. Предприятиям необходимо будет найти баланс между автоматизацией и человеческим контролем, по крайней мере, в ближайшем будущем.
Политика как код: автоматизация ограждений
Еще одна тенденция политика как код, что позволяет писать правила доступа на языках программирования и автоматически применять их во всех системах.
Вместо того чтобы вручную настраивать разрешения в десятках приложений, организации могут централизованно определять политики (например, «Все администраторы должны использовать MFA, и никакие учетные данные не могут быть использованы повторно») и позволить автоматизации обеспечивать их соблюдение.
Этот подход набирает популярность в процессах DevSecOps. Разработчики могут встраивать политики безопасности в код приложений, гарантируя, что новые развёртывания с самого начала соответствуют принципам Zero Trust. Open Policy Agent (OPA), проект с открытым исходным кодом, стал популярной платформой для этой цели.
Политика как код обещает масштабируемость. Однако возникают вопросы: кто пишет политики? Кто их проверяет? Если в коде проскользнет ошибка, она может применить неверные правила со скоростью машины. Несмотря на весь свой потенциал, эта область остаётся на начальной стадии развития.
Распространение концепции нулевого доверия на Интернет вещей и ОТ
Концепция Zero Trust зародилась в мире корпоративных ИТ, но все чаще применяется в операционная технология (ОТ) и Интернет вещей (IoT).
Заводы, электросети и больницы заполнены устройствами, не рассчитанными на частую повторную аутентификацию. Многие из них работают на устаревших операционных системах, не имеют механизмов обновления и разрабатывались с упором на доступность, а не на безопасность.
Однако именно эти среды сейчас являются основными целями. Атака на трубопровод Colonial в 2021 году продемонстрировала, как нарушения ИТ могут проникнуть в критически важную инфраструктуру. В ответ на это Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) настоятельно призвало операторов трубопроводов, коммунальных служб и транспортных сетей везде, где это возможно, применять принципы «нулевого доверия».CISA).
Некоторые стратегии включают в себя использование устаревших устройств в «прокси», которые обеспечивают соблюдение правил доступа от их имени, или сегментацию сетей, чтобы уязвимое оборудование не могло свободно взаимодействовать с конфиденциальными системами. Прогресс неравномерен, но направление ясно: концепция периметра неприменима для критически важной инфраструктуры.
Облачная технология Zero Trust
Внедрение облачных технологий привело к более глубокому проникновению принципа «нулевого доверия» в само программное обеспечение. В контейнерных средах, таких как Kubernetes, микросервисы постоянно взаимодействуют друг с другом через API. В данном контексте принцип «нулевого доверия» означает проверку каждого вызова между сервисами, а не только входов в систему вручную.
Сервисные сетки, такие как Istio и Линкерд включить «взаимный TLS» между микросервисами, гарантируя, что даже в пределах одного кластера доверие будет заслуженным, а не подразумеваемым.
Такое детальное применение снижает влияние скомпрометированных рабочих нагрузок. Однако оно также усложняет работу, поскольку операционным группам приходится управлять тысячами временных сертификатов. Автоматизация этого процесса без нарушения работы приложений становится ключевым направлением инноваций.
Подготовка к квантовой эре
Заглядывая в будущее, можно сказать, что концепция «нулевого доверия» может столкнуться с грядущей реальностью квантовые вычисленияСовременная криптография с открытым ключом лежит в основе большинства методов аутентификации и шифрования. Достаточно мощный квантовый компьютер может взломать эти алгоритмы за считанные часы.
Хотя до практических квантовых атак ещё далеко, правительства и предприятия уже готовятся. Национальный институт стандартов и технологий (NIST) стандартизирует постквантовые криптографические алгоритмы для замены уязвимых (NIST).
Для Zero Trust это означает создание уровней идентификации и шифрования, готовых к будущему. В конечном итоге, возможно, потребуется учитывать, какие алгоритмы считаются квантово-безопасными, и автоматически переносить соединения по мере развития стандартов.
Границы видения будущего
Даже несмотря на то, что концепция «Ноль доверия» объединяет ИИ, код и постквантовую защиту, ограничения сохраняются. Автоматизация может дать обратный эффект, если её не настроить должным образом. Устаревшие устройства по-прежнему будут сопротивляться лёгкой интеграции. И организации рискуют создать «театр безопасности», если будут внедрять терминологию «Ноль доверия» без учёта сложных культурных изменений, лежащих в её основе.
Реальное будущее может оказаться не таким уж гламурным. Нас ждёт непрерывная рутина: оценка рисков, переписывание политик, модернизация систем и убеждение людей изменить привычки. Концепция «нулевого доверия» может перестать быть просто модным словом и стать скорее базовым принципом, чем ремнём безопасности в автомобиле.
The Big Picture
Концепция Zero Trust изначально была технической концепцией, но её применение выходит далеко за рамки межсетевых экранов и систем входа в систему. По мере того, как её внедряют правительства, корпорации и целые отрасли, эта модель формирует не только стратегии кибербезопасности, но и вопросы управления, этики и геополитики.
Кибербезопасность для бизнеса
Ваш бизнес сталкивается с постоянно меняющимися киберугрозами, которые могут поставить под угрозу конфиденциальные данные, нарушить работу и нанести ущерб вашей репутации. Наши кибербезопасность для бизнес-решений разработаны с учетом уникальных задач компаний любого размера и обеспечивают надежную защиту от вредоносных программ, фишинга, программ-вымогателей и многого другого.
Независимо от того, являетесь ли вы небольшим стартапом или крупным предприятием, мы предлагаем пакеты кибербезопасности с несколькими лицензиями, которые обеспечивают безупречную защиту для всей вашей команды на всех устройствах. Благодаря расширенным функциям, таким как мониторинг угроз в реальном времени, безопасность конечных точек и надежное шифрование данных, вы можете сосредоточиться на развитии своего бизнеса, пока мы занимаемся вашими потребностями в цифровой безопасности.
Получите бесплатное предложение сегодня! Защитите свой бизнес с помощью доступных и масштабируемых решений. Свяжитесь с нами сейчас, чтобы запросить бесплатная цитата для пакетов кибербезопасности с несколькими лицензиями, разработанных для обеспечения безопасности и соответствия вашей компании. Не ждите — защитите свой бизнес до того, как возникнут угрозы!
Управление и подотчетность
Традиционные модели безопасности часто размывают ответственность. В случае нарушения периметра было неясно, была ли причина сбоя в работе ИТ-отдела, соблюдении требований или поведении пользователя. Принцип «нулевого доверия» обеспечивает ясность. Каждый запрос доступа регистрируется, каждое решение привязано к политике, а каждое исключение отображается.
Такая прозрачность меняет подход к подотчётности. Советы директоров и регулирующие органы всё чаще ожидают отчётности по привилегированным учётным записям, выявлению горизонтальных перемещений и исключениям из правил. В Европе регулирующие органы намекнули, что компании, не применяющие принципы «нулевого доверия», могут столкнуться с более строгим контролем в рамках Общее регулирование защиты данных (ВВП), который требует «соответствующих технических и организационных мер» для защиты персональных данных (Европейская комиссия).
Для организаций это означает, что Zero Trust — это не просто защитный механизм, но и инструмент обеспечения соответствия требованиям.
Этика проверки
Постоянная проверка поднимает этические вопросы. Если каждое действие регистрируется, нарушает ли это конфиденциальность сотрудников? Если системы на базе искусственного интеллекта оценивают пользователей по степени «риска», могут ли эти оценки быть предвзятыми в зависимости от географического положения, особенностей работы или типов устройств?
Сторонники конфиденциальности предупреждают, что концепция «нулевого доверия» может перерасти в наблюдение по умолчанию Если не ограничить их тщательно. «Проверка необходима, но прозрачность всего, что вы делаете на работе, может переходить границы», — сказал Альберт Фокс Кан, директор Проекта по контролю за технологиями наблюдения, в интервью 2022 года.
Задача для организаций будет заключаться в балансировке безопасность с достоинством. Прозрачные политики, минимальный сбор данных и независимые аудиты могут быть необходимы для того, чтобы гарантировать, что модель «Ноль доверия» не превратится в неконтролируемый режим мониторинга.
Геополитика доверия
Модель «нулевого доверия» имеет и геополитическое измерение. Поскольку в кибератаках всё чаще участвуют государственные субъекты, эту модель начинают использовать не только компании, но и правительства.
США, Европейский союз и их союзники объединяются вокруг концепции «нулевого доверия» как основы защиты критически важной инфраструктуры. В то же время государства-противники используют аналогичные модели для своих сетей, часто сочетая их с политикой активного наблюдения.
Таким образом, концепция Zero Trust может стать частью глобальные кибернормы Обсуждение. Страны, которые смогут эффективно реализовать эту концепцию, могут оказаться более устойчивыми не только к атакам, но и к дипломатическим и экономическим последствиям нарушений.
Однако для развивающихся стран стоимость внедрения может привести к увеличению цифрового разрыва. Более богатые страны будут защищать свою инфраструктуру, используя принципы «нулевого доверия», в то время как более бедные могут продолжать полагаться на устаревшие модели периметра, более уязвимые для атак, нарушающих работу здравоохранения, банковской системы и коммунальных служб.
Культурный сдвиг, переживший модное словечко
Даже несмотря на то, что концепция «нулевого доверия» проникает в сферу регулирования и геополитики, её долгосрочное влияние может носить культурный характер. Модель переосмысливает то, как организации воспринимают цифровое доверие: не как разовое рукопожатие на передовой, а как динамичные отношения, которые необходимо постоянно завоёвывать.
Этот культурный сдвиг отражает более общие тенденции в технологиях. Подобно тому, как непрерывное развертывание заменило ежегодные выпуски программного обеспечения, непрерывная верификация заменяет статические входы в систему. Оба варианта отражают реальность систем, которые всегда меняется, всегда подвергается испытаниям.
Возвращаясь к Леде
Когда вирус-вымогатель вывел из строя систему планирования больниц, сбой не был чем-то необычным. Всё было обыденно: повторное использование пароля, неконтролируемое боковое перемещение, неявное доверие.
Zero Trust, при всей своей сложности и противоречивости, — это попытка исправить обыденность. Он не предотвратит все нарушения. Он не может полностью исключить злоупотребления со стороны инсайдеров. Неправильное применение может даже создать новые риски. Но он меняет ситуацию: одного украденного пароля больше не должно быть достаточно для разблокировки целой сети.
Кикер
Периметры всё ещё существуют. Они просто больше не определяют, кто туда попадает. В ближайшие десятилетия адаптироваться будут не те организации, которые возводят более высокие стены, а те, которые будут рассматривать доверие как нечто динамичное, контекстуальное и условное.
«Ноль доверия», если отбросить модные словечки, — это просто признание этого факта.
Бреши, разрушившие замок
Когда прошлой весной вирус-вымогатель атаковал систему планирования приёмов в больнице среднего размера, врачи вернулись к работе с ручкой и бумагой. Злоумышленники не использовали экзотическое вредоносное ПО — они использовали повторно используемые учётные данные, перемещаясь по сети до тех пор, пока основные системы не были заблокированы. Подобные инциденты часто встречаются в здравоохранении, где украденные учётные данные подпитывают кампании по вымогательству и перегружают и без того скудные ресурсы ИТ-отделов.Проводная).
Эта больница была не единственной целью. В мае 2021 года атака вируса-вымогателя вынудила Колониальный Трубопровод, которая поставляет почти половину топлива, потребляемого на восточном побережье США, приостановить работу. Злоумышленники получили доступ, используя взломанную учётную запись VPN, не поддерживающую многофакторную аутентификацию (Википедия.). Сбой спровоцировал нехватку топлива, панические закупки и введение чрезвычайных мер на федеральном уровне.
Ранее, в декабре 2020 года, SolarWinds Утечка из цепочки поставок подорвала доверие к широко используемому программному обеспечению. Вредоносные обновления, предположительно организованные государственной группой, распространялись под видом легитимных патчей, предоставляя злоумышленникам доступ к правительственным учреждениям США в течение нескольких месяцев до их обнаружения.CISA).
Эти инциденты преподносят нам важный урок: злоумышленникам редко приходится штурмовать цифровой периметр. Оказавшись внутри, все, что находится за стеной, считается доверенным, что делает эскалацию нарушений быстрой и разрушительной.
Периметр рухнул
В течение десятилетий организации полагались на замок-и-ров модель: укрепить периметр — с помощью межсетевых экранов, VPN и систем защиты от вторжений — и все внутри будет считаться защищенным.
Эта структура разваливалась по мере развития технологий:
- Миграция в облако. Конфиденциальные рабочие нагрузки перенесены в AWS, Azure и Google Cloud.
- Удаленный и мобильный доступ. Пандемия вывела работу за пределы корпоративных стен, расширив возможности VPN.
- API и SaaS. Данные теперь передаются через пористые границы.
«Периметр никуда не делся», — заявил Фил Венейблс, директор по информационной безопасности Google Cloud, в интервью 2022 года. «Он просто больше ни о чём не говорит. Быть „внутри“ не означает быть в безопасности».
Старая модель и почему она провалилась
Метафора замка и рва доминировала в концепции безопасности на протяжении большей части истории интернета. Возведите высокие стены — межсетевые экраны, системы предотвращения вторжений, антивирусное ПО — и вы сможете защититься от врага. Внутри этих стен доверенные пользователи и машины свободно перемещались.
Рост периметральной обороны
В 1990-х и начале 2000-х годов эта модель была оправдана. Большинство корпоративных систем размещалось в локальных центрах обработки данных. Сотрудники работали за рабочими столами внутри офисных сетей. «Граница» представляла собой определяемую границу, обычно набор диапазонов IP-адресов, контролируемых организацией.
Межсетевые экраны отфильтрованный трафик. Виртуальные частные сети создали зашифрованные туннели для путешествующих сотрудников. Антивирусные пакеты защищён от известных угроз. Какое-то время эта защита работала.
Но вот начали появляться трещины.
- Черви, такие как Code Red и Slammer В начале 2000-х годов вредоносная программа быстро распространилась по корпоративным сетям, используя в своих целях необновленные машины после проникновения внутрь.
- Утечка данных Target в 2013 году, в ходе которого злоумышленники проникли через стороннего поставщика систем отопления, вентиляции и кондиционирования воздуха и двинулись горизонтально к системам точек продаж, показали, насколько уязвимыми могут быть «доверенные» зоны.
- Раскрытия Эдварда Сноудена в 2013 году подчеркнули внутренний риск: как только пользователь получал привилегированный доступ, защита периметра мало что могла сделать для предотвращения утечки данных.
Неявное предположение о том, что угрозы исходят извне, больше не было верным.
Узкое место VPN
Виртуальные частные сети, долгое время считавшиеся неотъемлемой частью безопасной удалённой работы, стали её очевидным уязвимым местом. К 2020 году, когда пандемия COVID-19 вынудила всех сотрудников уйти домой, VPN-серверы оказались перегружены. Сотрудники направляли весь трафик через них, создавая узкие места в производительности и, что ещё хуже, точки отказа.
Злоумышленники заметили это. По данным ФБР, уязвимости VPN были одной из наиболее часто эксплуатируемых категорий в 2020–2021 годах, предоставляя злоумышленникам прямой доступ к корпоративной среде (ФБР).
VPN, некогда надежный мост, все больше превращается в обузу.
Кибербезопасность для бизнеса
Ваш бизнес сталкивается с постоянно меняющимися киберугрозами, которые могут поставить под угрозу конфиденциальные данные, нарушить работу и нанести ущерб вашей репутации. Наши кибербезопасность для бизнес-решений разработаны с учетом уникальных задач компаний любого размера и обеспечивают надежную защиту от вредоносных программ, фишинга, программ-вымогателей и многого другого.
Независимо от того, являетесь ли вы небольшим стартапом или крупным предприятием, мы предлагаем пакеты кибербезопасности с несколькими лицензиями, которые обеспечивают безупречную защиту для всей вашей команды на всех устройствах. Благодаря расширенным функциям, таким как мониторинг угроз в реальном времени, безопасность конечных точек и надежное шифрование данных, вы можете сосредоточиться на развитии своего бизнеса, пока мы занимаемся вашими потребностями в цифровой безопасности.
Получите бесплатное предложение сегодня! Защитите свой бизнес с помощью доступных и масштабируемых решений. Свяжитесь с нами сейчас, чтобы запросить бесплатная цитата для пакетов кибербезопасности с несколькими лицензиями, разработанных для обеспечения безопасности и соответствия вашей компании. Не ждите — защитите свой бизнес до того, как возникнут угрозы!
Теневые ИТ и SaaS
Тем временем бизнес-подразделения перешли на SaaS-платформы — Salesforce, Slack, Microsoft 365 — без централизованного ИТ-контроля. Конфиденциальные данные передавались через сторонние сервисы, доступ к которым часто осуществлялся с помощью слабых или повторно используемых паролей.
Этот «теневые ИТ» По оценкам Gartner, к 2019 году на теневые ИТ-ресурсы приходилось от 30 до 40% ИТ-расходов крупных предприятий — слепое пятно для традиционных служб безопасности.
Культура неявного доверия
Возможно, самым опасным недостатком модели периметра был культурный аспект. Отделы безопасности считали «внутреннюю» часть безопасной. Разработчики создавали тестовые системы без какого-либо контроля. Учётные записи администраторов накапливали привилегии. Горизонтальное перемещение данных практически не контролировалось.
Как сказал Венаблс: «Периметр никуда не делся. Он просто больше ничего не говорит». Это понимание подготовило почву для концепции «Ноль доверия»: концепции, которая предполагает нарушение неизбежно и фокусируется на минимизации его воздействия.
Заключение: Переосмысленное доверие
«Ноль доверия» иногда воспринимают как модное словечко, очередной цикл в бесконечном параде аббревиатур индустрии безопасности. Однако его живучесть предполагает нечто более глубокое. То, что начиналось как фраза аналитика, превратилось в федеральное предписание, призыв к поставщикам и, всё чаще, в организационную норму. Его устойчивость обусловлена не новизной, а необходимостью.
Периметр рухнул. Облачные технологии, мобильная работа и взаимосвязанные цепочки поставок разрушили границу между внутренним и внешним миром. Злоумышленники это заметили. Они использовали VPN, злоупотребляли обновлениями доверенного ПО и превращали украденные пароли в записки с требованием выкупа. Сбои были обычными, а не шокирующими — и именно это делало их разрушительными.
Zero Trust — это попытка противостоять этой обыденности. Она не опирается на идеальную защиту или героическое реагирование на инциденты. Вместо этого она предполагает уязвимость, предвидит взлом и ограничивает ущерб. Украденные учётные данные не должны быть главным ключом. Необновлённый сервер не должен раскрывать всё предприятие. Доступ должен быть временным, контекстным и отозванным в любой момент.
Переход не из дешёвых и не из простых. Организации сталкиваются с устаревшими системами, которые невозможно модернизировать, сотрудниками, которые возмущаются постоянными проверками, и поставщиками, которые стремятся расширить этот термин до тех пор, пока он не потеряет смысл. Тем не менее, несмотря на трудности, модель прошла путь от пилотных программ до стратегии на уровне совета директоров. Больницы, банки, федеральные агентства и технологические гиганты находятся на разных этапах, но все они движутся в одном направлении.
Важность концепции Zero Trust заключается не в том, что она исключает нарушения. Это невозможно. Злоупотребления со стороны инсайдеров, сложные взломы цепочек поставок и человеческие ошибки останутся. Принцип Zero Trust меняет геометрию сбоя. Взлом в одном углу больше не распространяется бесконтрольно. Продвижение злоумышленника замедляется, видимость улучшается, а цена компрометации для злоумышленника возрастает.
На кону также культурный аспект. Zero Trust меняет наше представление о самом цифровом доверии. Десятилетиями доверие было статичным: будучи однажды предоставленным, оно сохранялось. Теперь же оно динамично, многократно завоёвывается и непрерывно измеряется. Этот сдвиг отражает более масштабные изменения в технологиях, где системы постоянно обновляются, пользователи постоянно мобильны, а угрозы постоянно адаптируются.
В ближайшие годы концепция Zero Trust будет развиваться. Машинное обучение позволит автоматизировать принятие большего количества решений. Политика как код позволит глубже проникнуть в инфраструктуру. Постквантовая криптография подготовит её к новым угрозам. Но её суть останется прежней: доверие никогда не является постоянным состоянием, а лишь временным решением, основанным на текущих данных.
Периметры всё ещё существуют, но они больше не определяют безопасность. В этом смысле концепция «нулевого доверия» — это не столько техническая концепция, сколько признание реальности. Речь идёт не о паранойе. Речь идёт о смирении — о смирении признать, что ни одна система не безупречна, ни одна стена не неуязвима, ни один счёт не находится вне подозрений.
Утечки, вынудившие нас к такому решению, были дорогостоящими, разрушительными и, в некоторых случаях, опасными. Но они также открыли путь новой философии: той, которая рассматривает безопасность не как ров, а как систему ограждений, регулирующих каждое взаимодействие, каждый запрос, каждый поток данных.
«Ноль доверия» может однажды исчезнуть как выражение. Практики, которые оно воплощает, — нет. Они станут тихой инфраструктурой устойчивости в мире, где компромисс считается нормой. И если он будет успешным, главным показателем его успеха станет его незаметность — тот факт, что обычные нарушения больше не перерастают в чрезвычайные кризисы.
