Нульова довіра тепер стала однією з найважливіших моделей безпеки. Концепція проста та інтуїтивно зрозуміла: неявна довіра сама по собі є вразливістю, якою зловмисники можуть скористатися для бокового переміщення та доступу до конфіденційних даних. Підхід нульової довіри намагається пом’якшити цей ризик шляхом усунення прихованої довіри в корпоративному середовищі.
Нульова довіра завжди передбачає, що порушення безпеки вже відбулося. Наприклад, зловмиснику вдалося обійти деякі наявні засоби захисту та закріпитися в корпоративному середовищі. На наступному етапі атаки хакер рухається мережею вбік, отримуючи доступ до додаткових ресурсів, поки не знайде цінні дані або активи. Модель Zero Trust спрямована на суттєве обмеження шкоди, коли хакер перебуває в корпоративному середовищі.
На сьогоднішній день Zero Trust в основному реалізовано на мережевому рівні шляхом перебудови мережевої інфраструктури та поділу її на кілька мікропериметрів зі шлюзами сегментації. Однак нещодавно набирає популярності інший підхід нульової довіри, який зосереджується на рівні ідентифікації, а не на мережевому аспекті.
На основі мережі проти нульової довіри на основі ідентифікації
Zero Trust призначений для запобігання зловмисному доступу до ресурсів у корпоративному середовищі. Хоча такий доступ виконується пристроєм у мережевому з’єднанні, він також вимагає автентифікації користувача для доступу до ресурсу. У неявному довірчому середовищі, якщо цей обліковий запис користувача скомпрометовано, хакер може використовувати його для вільного доступу до будь-якого ресурсу або пересування в мережі. Однак, якщо детальна перевірка базується не на мережевому з’єднанні, а на самій автентифікації, також можна досягти моделі нульової довіри. І правила сегментації мережі, і політики автентифікації на основі ризиків є корисними інструментами для блокування спроб зловмисного доступу. Однак останні легше реалізувати і в багатьох випадках пропонують більшу деталізацію та можливості виявлення ризиків.
Детально про те, як працює Zero Trust на основі ідентифікації
Нульова довіра на основі ідентифікації базується на оцінці ризику та забезпеченні безпечного контролю доступу щоразу, коли користувач намагається отримати доступ до корпоративного ресурсу. Кожен запит на доступ відстежується незалежно від того, де знаходиться користувач і чи є ресурс, до якого здійснюється доступ, локально чи в хмарі. Крім того, ризик, пов’язаний із запитом на доступ, завжди аналізується, і в усій мережі застосовуються адаптивні політики, що ґрунтуються на оцінці ризиків, як локальних, так і в гібридних середовищах. Доступ до ресурсу надається лише після детального аналізу ризиків аутентифікаційної активності користувача та дійсний для конкретного запиту на доступ. Цей аналіз ризику слід проводити для кожної окремої спроби доступу.
Сучасне корпоративне середовище охоплює кілька типів ресурсів: фізичні сервери, програми SaaS, хмарні робочі навантаження, спільні файли, локальні програми та багато інших. Нульова довіра на основі ідентифікації означає, що виконуються такі критерії:
- Будь-який обліковий запис користувача вважається скомпрометованим, що означає ненадійний, доки не буде доведено протилежне.
- Обліковий запис користувача вважається довіреним лише після його перевірки та лише для одного доступу до ресурсу.
- Якщо користувач намагається отримати доступ до іншого ресурсу після підтвердженого запиту на доступ, його потрібно перевірити ще раз.
Наприклад, віддалений користувач підключився до корпоративної VPN за допомогою автентифікації. Потрапивши у внутрішнє середовище, цей користувач тепер намагається отримати доступ до файлового сервера. Нульова довіра на основі ідентифікації ніколи не вважатиме цей обліковий запис користувача надійним на основі простої успішної автентифікації VPN, але завжди перевіряйте цей доступ і користувача на надійність.
Процес оцінки нульової довіри на основі ідентичності
- Постійно відстежуйте всі запити доступу, зроблені всіма обліковими записами користувачів до будь-якого типу локальних або хмарних ресурсів, і створюйте всебічний контрольний слід.
- Аналіз ризику: для кожної окремої спроби доступу оцінюється ймовірність того, що користувача дійсно зламано. Це визначення ризику базується на аналізі поведінки користувачів, журналі аудиту та різноманітних контекстних параметрах.
- Застосування політики доступу в режимі реального часу: на основі обчисленого ризику доступ або дозволяється, або блокується, або автентифікація посилюється за допомогою багатофакторної автентифікації (MFA).
(Зображення: Silverfort).
На діаграмі показано шлях користувача в гібридному корпоративному локальному та хмарному середовищі з точки зору нульової довіри на основі ідентифікації.
На діаграмі показано, як кожен окремий запит на доступ проходить детальний аналіз ризиків, що призводить до дозволу доступу користувача, блокування доступу або посилення вимог автентифікації за допомогою MFA на основі політики доступу.
Переваги нульової довіри на основі ідентифікації
Підхід Zero Trust на основі ідентифікації має значні переваги щодо реалізації, управління та безпеки.
- Простий і легкий у застосуванні: на відміну від нульової довіри на основі мережі, не потрібні зміни інфраструктури та пов’язані з цим простої. Немає необхідності що-небудь видаляти і замінювати в цій області.
- Висока деталізація: зосередження на користувачеві, а не на сегменті мережі гарантує, що аналіз ризиків виконується для кожного доступу до ресурсу, на відміну від підходу на основі мережі, який може виконувати цю перевірку лише на шлюзі сегмента, а не аналізувати фактичні ресурси в межах сам сегмент.
- Покращена здатність виявляти аномалії та загрози: рух зловмисника в корпоративному середовищі є аномальним порівняно з легальними користувачами. Виконання перевірок безпеки при кожному доступі до ресурсу підвищує ймовірність виявлення прихованої шкідливої діяльності.
Дуже важливо, щоб керівники служби безпеки мали змогу відстежувати, аналізувати та застосовувати політику доступу для кожної окремої спроби доступу в режимі реального часу: для кожного користувача, кожного ресурсу та кожного інтерфейсу доступу. Це основна вимога, без якої організації отримують лише частковий захист, а цінність моделі Zero Trust зводиться нанівець. З цієї причини організаціям слід розглянути можливість впровадження уніфікованої платформи захисту ідентифікаційної інформації.
Уніфікований захист ідентифікаційної інформації: нульова довіра на основі ідентифікаційної інформації на практиці
Unified Identity Protection спеціально розроблено для захисту від атак на основі ідентифікації, які використовують скомпрометовані облікові дані користувача для доступу до корпоративних ресурсів. Це дозволяє компаніям повністю застосовувати архітектуру Zero Trust на основі ідентифікації в сучасних корпоративних середовищах.
Unified Identity Protection консолідує елементи керування безпекою в корпоративних мережах і хмарних середовищах для пом’якшення атак на основі ідентифікаційних даних. Використовуючи технологію без агентів і проксі, уніфіковане рішення захисту ідентифікаційної інформації легко інтегрується та розширюється з будь-яким існуючим рішенням IAM (таким як AD, ADFS, RADIUS, Azure AD, Okta, Ping Identity, AWS IAM тощо). Розширює їх охоплення на активи, які раніше не можна було захистити, включаючи власні та застарілі програми, ІТ-інфраструктуру, файлові системи, інструменти командного рядка, міжмашинний доступ тощо. Рішення постійно відстежує доступ до всіх облікових записів користувачів і служб як у хмарному, так і локальному середовищах, аналізує ризики в режимі реального часу за допомогою механізму на основі ШІ та забезпечує адаптивну автентифікацію та політики доступу.
З потоком складних атак лише традиційних підходів безпеки вже недостатньо для забезпечення корпоративної безпеки. Можна припустити, що зловмисники вже знаходяться в мережі непоміченими. Повний підхід Zero Trust, який включає рівень ідентичності, може значно посилити захист для захисту цінних даних і активів.
Більше на Silverfort.com
Про Сільверфорт Silverfort надає першу уніфіковану платформу захисту ідентифікаційної інформації, яка консолідує елементи керування безпекою IAM у корпоративних мережах і хмарних середовищах для пом’якшення атак на основі ідентифікаційної інформації. Використовуючи інноваційну технологію без агентів і проксі, Silverfort легко інтегрується з усіма рішеннями IAM, уніфікуючи їх аналіз ризиків і засоби контролю безпеки та розширюючи їх охоплення на активи, які раніше не могли бути захищені, такі як власні та застарілі програми, ІТ-інфраструктура, файлові системи, командний рядок інструменти, міжмашинний доступ тощо.