Zero trust -malli saa höyryä turvallisuusasiantuntijoiden kanssa

"Älä koskaan luota; tarkista aina." Kuulostaa tervettä järkeä, eikö? Se on Zero Trust -nimisen strategian tunnuslause, joka on kiinnittymässä kyberturvallisuuden maailmaan. Siihen kuuluu IT-osasto, joka tarkistaa kaikki käyttäjät ennen käyttöoikeuksien myöntämistä. Tilien käyttöoikeuksien tehokas hallinta on tärkeämpää kuin koskaan aiemmin, kun 58 prosenttia pienistä ja keskisuurista yrityksistä (SMB) ilmoitti tietojen rikkomuksista vuonna 2017, selviää vuoden 2018 Verizon Data Breach Investigation Report -raportista.

Zero Trust -konseptin perusti Forrester Researchin entinen analyytikko John Kindervag ja nyt Palo Alto Networksin kenttäjohtaja. "Meidän on aloitettava todellinen strategia, ja se on mitä Zero Trust mahdollistaa", Kindervag kertoi yleisölle 30. lokakuuta SecurIT Zero Trust -huippukokouksessa New Yorkissa. Hän lisäsi, että ajatus Zero Trustista sai alkunsa hänen istuessaan ja todella pohtiessaan luottamuksen käsitettä. Kuinka haitalliset toimijat hyötyvät yleensä yrityksistä, jotka luottavat osapuoliin, mitä heidän ei pitäisi.

Tohtori Chase Cunninghamista tuli Kindervagin seuraaja Forresterin pääanalyytikkona puolustaessaan nollaluottamusmallia. "Nolla luottamus on se, mitä näihin kahteen sanaan sisältyy, mikä tarkoittaa luottamatta mihinkään, älä luota salasanan hallintaan, älä luota valtakirjoihin, älä luota käyttäjiin ja älä luota verkkoon", Cunningham kertoi PCMag: lle Zero Trustissa. Kokous.

Kindervag käytti Yhdysvaltain salaisen palvelun esimerkkiä havainnollistaakseen, kuinka organisaation tulisi seurata, mitä he tarvitsevat suojellakseen ja ketkä tarvitsevat pääsyn. "He tarkkailevat ja päivittävät jatkuvasti näitä säätimiä, jotta he voivat hallita mitä mikrokehän kulkee milloin tahansa", Kindervag sanoi. "Tämä on Zero Trust -tapahtuma suojeluun. Se on paras visuaalinen esimerkki siitä, mitä yritämme tehdä Zero Trustissa."

Luottamusoppiot OPM: llä

Täydellinen esimerkki siitä, kuinka Zero Trust voi toimia organisaatioiden hyväksi, tuli Yhdysvaltain liittohallituksen entiseltä CIO: lta. Zero Trust -huippukokouksessa tohtori Tony Scott, joka toimi vuosina 2015 - 2017 Yhdysvaltain tietotekniikan johtajan toimistossa, kuvasi merkittävää tietosuojavirhettä, joka tapahtui Yhdysvaltain henkilöstöhallinnon toimistossa (OPM) vuonna 2014. Loukkaaminen tapahtui ulkomaisen vakoilun takia. jossa varastatiin 22, 1 miljoonalle henkilölle henkilökohtaisia ​​tietoja ja turvatarkastuksen taustatietoja sekä 5, 6 miljoonan henkilön sormenjälkitiedot. Scott kuvasi, kuinka digitaalisen ja fyysisen tietoturvan yhdistelmä olisi ollut välttämätöntä tämän rikkomisen torjumiseksi, mutta myös Zero Trust -politiikan tehokasta soveltamista.

Kun ihmiset hakivat työtä OPM: ssä, he täyttivät tyhjentävän vakiolomakkeen (SF) 86 kyselylomakkeen ja aseelliset vartijat ja tankit vartioivat tietoja luolassa, hän sanoi. "Jos olisit ulkomainen yhteisö ja halusit varastaa kyseiset tiedot, sinun olisi rikottava tätä Pennsylvanian luolaa ja päästävä aseellisten vartijoiden ohi. Sitten joudut poistumaan kuorma-autopapereilla tai omistamaan erittäin nopea Xerox-kone tai jotain jotain ", Scott sanoi.

"Olisi ollut monumentaalista yrittää paeta 21 miljoonalla levyllä", hän jatkoi. "Mutta hitaasti, kun automaatio tuli OPM-prosessiin, aloimme laittaa nämä asiat magneettisten tietovälineiden tiedostoihin ja niin edelleen. Varastaminen on tämän vuoksi paljon helpompaa." Scott selitti, että OPM ei löytänyt vastaavan tyyppistä tehokasta turvallisuutta kuin aseistetut vartijat, kun virasto siirtyi digitaaliseksi. Hyökkäyksen jälkeen kongressi julkaisi raportin, jossa vaadittiin Zero Trust -strategiaa tämän tyyppisten rikkomusten suojelemiseksi tulevaisuudessa.

"Torjuakseen pitkälle edenneitä jatkuvia uhkia, jotka pyrkivät vaarantamaan tai hyödyntämään liittohallituksen IT-verkkoja, virastojen tulisi siirtyä kohti" Zero Trust "-tietoturvan ja IT-arkkitehtuurin mallia", kongressin raportti totesi. Entinen Yhdysvaltain edustaja Jason Chaffetz (R-Utah), silloinen valvontakomitean puheenjohtaja, kirjoitti myös viestin Zero Trustista tuolloin, jonka alun perin julkaisi Federal News Radio. "Hallinto- ja budjettitoimiston (OMB) olisi kehitettävä suuntaviivat toimeenpanoyksiköille ja virastojen päälliköille Zero Trustin tehokkaan toteuttamiseksi sekä toimenpiteet kaiken verkkoliikenteen visualisoimiseksi ja kirjaamiseksi", Chaffetz kirjoitti.

Luottamus todelliseen maailmaan

Oikeanpuoleisessa esimerkissä Zero Trust -toimenpiteestä Google käytti sisäisesti BeyondCorp-nimistä aloitetta, jonka tarkoituksena oli siirtää käyttöoikeuksien hallinta verkkoalueelta yksittäisille laitteille ja käyttäjille. Järjestelmänvalvojat voivat käyttää BeyondCorpia tapaa luoda rakeisia käyttöoikeuksien hallintakäytäntöjä Google Cloud Platformille ja Google G Suitelle IP-osoitteen, laitteen suojaustilan ja käyttäjän henkilöllisyyden perusteella. Luminate-niminen yritys tarjoaa Zero Trust -suojauksen BeyondCorp-pohjaisena palveluna. Luminate Secure Access Cloud todentaa käyttäjät, validoi laitteet ja tarjoaa moottorin, joka tarjoaa riskipisteen, joka valtuuttaa sovellusten pääsyn.

"Tavoitteenamme on tarjota turvallisesti käyttöoikeus jokaiselle käyttäjälle, mistä tahansa laitteesta, mihin tahansa yrityksen resurssiin riippumatta siitä, missä sitä ylläpidetään, pilvessä tai tiloissa asettamatta mitään agentteja päätepisteeseen tai laitteita, kuten virtuaalisia yksityisiä verkkoja (VPN), palomuurit tai välityspalvelimet kohdepaikalla ", Luminaten tuotehallinnan johtaja Michael Dubinsky kertoi PCMagille Hybrid Identity Protection (HIP) -konferenssissa 2018 (HIP2018) NYC: ssä.

Tärkeä tietotekniikan ala, jossa Zero Trust on saavuttamassa nopeaa pitoa, on identiteetin hallinta. Todennäköisesti siksi, että 80 prosenttia rikkomuksista johtuu etuoikeutettujen käyttöoikeuksien väärinkäytöstä, "Forrester Wave: Privileged Identity Management, Q3 2016" -raportin mukaan. Järjestelmät, jotka hallitsevat luvan saantia yksityiskohtaisempaan tutkintoon, voivat auttaa estämään nämä tapaukset.

Henkilöllisyyden hallintatila ei ole uusi, ja siellä on pitkä luettelo yrityksistä, jotka tarjoavat tällaisia ​​ratkaisuja; todennäköisimmin kattavin on Microsoft ja sen Active Directory (AD) -alusta, joka on upotettu edelleen suosittuun Windows Server -käyttöjärjestelmään (OS). On kuitenkin joukko uudempia pelaajia, jotka voivat tarjota paitsi enemmän toimintoja kuin AD, mutta myös helpottaa henkilöllisyyden hallintaa. Tällaisia ​​yrityksiä ovat pelaajat, kuten Centrify, Idaptive, Okta ja SailPoint Technologies.

Ja vaikka ne, jotka ovat jo sijoittaneet Windows Serveriin, saattavat horjua maksaakseen enemmän tekniikasta, johon he kokevat jo sijoittuneensa, syvempi ja paremmin ylläpidetty henkilöllisyyden hallinnan arkkitehtuuri voi antaa suuria osinkoja estyneille rikkomuksille ja vaatimustenmukaisuustarkastuksille. Lisäksi hinta ei ole kohtuuton, vaikkakin se voi olla merkittävä. Esimerkiksi Centrify Infrastructure Services alkaa hinnasta 22 dollaria kuukaudessa järjestelmää kohti.

Kuinka nolla luottamus toimii

"Yksi Zero Trustin tekemistä asioista on verkon segmentoinnin määritteleminen", Kindervag sanoi. Segmentointi on avainkäsite sekä verkonhallinnassa että kyberturvallisuudessa. Siihen kuuluu tietokoneverkon jakaminen aliverkoiksi joko loogisesti tai fyysisesti suorituskyvyn ja turvallisuuden parantamiseksi.

Zero Trust -arkkitehtuuri siirtyy kehämallin ulkopuolelle, joka kattaa verkon fyysisen sijainnin. Siihen kuuluu "kehän työntäminen alas kokonaisuuteen", Cunningham sanoi.

"Kokonaisuus voi olla palvelin, käyttäjä, laite tai tukiasema", hän sanoi. "Työnnät säätimet mikrotasolle, sen sijaan, että luulisi rakentavan todella korkean seinän ja että olet turvassa." Cunningham kuvasi palomuurin osana tyypillistä kehää. "Se on lähestymistavan, strategian ja kehän ongelma", hän totesi. "Korkeat seinät ja yksi iso asia: ne eivät vain toimi."

Jotta verkkoon päästäisiin, vanha tietoturvan näkökohta oli reitittimien käyttäminen, toteaa Centrifyöstä irtaantuneen Idaptiven uuden toimitusjohtajan Danny Kibelin mukaan. Ennen nollaluottamista yritykset todenisivat ja luottavat sitten. Mutta Zero Trustilla "varmennat aina, et koskaan luota", Kibel selitti.

Idaptive tarjoaa Next-Gen Access -alustan, joka sisältää kertakirjautumisen (SSO), mukautuvan monitekijän todennuksen (MFA) ja mobiililaitteen hallinnan (MDM). Idaptiven kaltaiset palvelut tarjoavat tavan luoda välttämättä rakeiset käyttöoikeuksien hallintaominaisuudet. Voit varata tai purkaa varauksen sen perusteella, kuka tarvitsee pääsyn eri sovelluksiin. "Se antaa organisaatiolle hienotunteisen kyvyn hallita pääsyään", Kibel sanoi. "Ja se on erittäin tärkeää organisaatioille, joita näemme, koska luvattoman pääsyn kannalta on paljon leviämistä."

Kibel määritteli Idaptiven lähestymistavan Zero Trustiin kolmella vaiheella: tarkista käyttäjä, tarkista hänen laite ja anna sitten vain käyttäjän pääsy sovelluksiin ja palveluihin. "Meillä on useita vektoreita käyttäjän käyttäytymisen arvioimiseksi: sijainti, geo-nopeus, vuorokaudenaika, viikkoaika, millaista sovellusta käytät ja jopa joissain tapauksissa kuinka käytät kyseistä sovellusta", Kibel sanoi. Idaptive tarkkailee onnistuneita ja epäonnistuneita kirjautumisyrityksiä nähdäkseen, milloin sen on tehtävä uudelleen todennus tai estättävä käyttäjä kokonaan.

Centrify esitteli 30. lokakuuta kyberturvallisuuden lähestymistavan nimeltä Zero Trust Privilege, jossa yritykset myöntävät vähiten etuoikeutetun käyttöoikeuden ja tarkistavat kuka pääsyä vaatii. Zero Trust Privilege -prosessin neljään vaiheeseen sisältyy käyttäjän tarkistaminen, pyynnön kontekstiin tutustuminen, järjestelmänvalvojan ympäristön turvaaminen ja vähiten tarvittavien oikeuksien myöntäminen. Centrifyn Zero Trust Privilege -lähestymistapa sisältää vaiheittaisen lähestymistavan riskien vähentämiseen. Se tuo myös siirtymisen vanhasta Privileged Access Management (PAM) -ohjelmasta, joka on ohjelmisto, jonka avulla yritykset voivat rajoittaa pääsyä uudentyyppisiin ympäristöihin, kuten pilvien tallennusalustoihin, isoihin dataprojekteihin ja jopa edistyneisiin räätälöityihin sovelluskehitysprojekteihin, jotka toimivat yritysluokan webissä. isännöintipalvelut.

Zero Trust -mallissa oletetaan, että hakkerit ovat jo käyttämässä verkkoa, Centrifyn toimitusjohtaja Tim Steinkopf sanoi. Steinkopfin mukaan strategia tämän uhan torjumiseksi olisi rajoittaa sivuttaisliikettä ja soveltaa makrotaloudellista rahoitusapua kaikkialle. "Aina kun joku yrittää päästä etuoikeutettuun ympäristöön, sinulla on heti oltava oikeat käyttöoikeustiedot ja oikea käyttöoikeus", Steinkopf kertoi PCMagille. "Tapa toteuttaa tämä on identiteettien vakiinnuttaminen. Sitten tarvitset pyynnön asiayhteyden, tarkoittaen kuka, mitä, milloin, miksi ja missä." Sen jälkeen annat vain tarvittavan määrän pääsyä, Steinkopf sanoi.

"Käytät käyttäjän tilannetta, jolloin kyseessä voi olla lääkäri, sairaanhoitaja tai joku muu henkilö, joka yrittää saada tietoja", Dubinsky sanoi. "Otat sen laitteen kontekstin, josta he työskentelevät, otat sen tiedoston kontekstin, jota he yrittävät käyttää, ja sinun on sitten tehtävä käyttöpäätös sen perusteella."

MFA, Zero Trust ja parhaat käytännöt

Keskeinen osa Zero Trust -mallia on vahva todennus, ja monien todentamistekijöiden salliminen on osa tätä, totesi MFA-ratkaisuja tarjoavan Silverfortin toimitusjohtaja ja perustaja Hed Kovetz. Pilvien aikakaudella puuttuu kehä, joten autentikoinnin tarve on suurempi kuin koskaan. "Kyky tehdä MFA: sta mitä tahansa on melkein Zero Trustin perusedellytys, ja sitä on mahdotonta tehdä tänään, koska Zero Trust tulee ideasta, jossa ei enää ole kehää", Kovetz kertoi PCMagille HIP2018: lla. "Joten kaikki on yhteydessä mihin tahansa, ja tässä todellisuudessa sinulla ei ole yhdyskäytävää, johon voit hallita."

Forresterin Cunningham on hahmotellut strategian nimeltä Zero Trust eXtended (XTX) tekniikan hankintapäätösten yhdistämiseksi Zero Trust -strategiaan. "Tarkastelimme todella seitsemää hallintaosaa, jotka tarvitset ympäristön tosiasialliseen hallintaan", Cunningham sanoi. Seitsemän pilaria ovat automaatio ja orkestrointi, näkyvyys ja analyysi, työmäärät, ihmiset, data, verkot ja laitteet. Jotta järjestelmä tai tekniikka olisi ZTX-alusta, siinä olisi kolme näistä pylväistä sekä sovellusohjelmointirajapinnan (API) ominaisuudet. Useat turvallisuusratkaisuja tarjoavat myyjät sopivat kehyksen eri pilareihin. Centrify tarjoaa tuotteita, jotka koskevat ihmisten ja laitteiden turvallisuutta, Palo Alto Networks ja Cisco tarjoavat verkkoratkaisuja, ja IBM: n Security Guardium -ratkaisut keskittyvät tietosuojaan, Cunningham totesi.

Zero Trust -mallin tulisi sisältää myös salatut tunnelit, liikennepilvi ja varmennepohjainen salaus, Steinkopf sanoi. Jos lähetät tietoja iPadista Internetissä, haluat varmistaa, että vastaanottajalla on oikeus käyttää sitä, hän selitti. Steinkopfin mukaan nousevien tekniikan suuntausten, kuten konttien ja DevOpsin, toteuttaminen voi auttaa torjumaan etuoikeutettujen valtuutettujen väärinkäytösten torjuntaa. Hän kuvasi myös pilvipalvelun olevan eturintamassa Zero Trust -strategiassa.

Luminaatin Dubinsky on samaa mieltä. Pk-yrityksille kääntyminen palveluna identiteetinhallintaa tai MFA-palvelua tarjoavaan pilvipalveluyritykseen purkaa nämä tietoturvavastuut kyseiselle alueelle erikoistuneille yrityksille. "Haluat purkaa niin paljon kuin pystyt yrityksille ja ihmisille, jotka ovat vastuussa heidän päivätyöstään", Dubinsky sanoi.

Zero Trust -kehyksen potentiaali

Vaikka asiantuntijat tunnustivat, että yritykset ovat siirtymässä Zero Trust -malliin, etenkin henkilöllisyyden hallinnassa, jotkut eivät näe tarvetta suuriin muutoksiin turvallisuusinfrastruktuurissa Zero Trustin käyttöönottamiseksi. "En ole varma, että se on strategia, jonka haluaisin ottaa käyttöön millä tahansa tasolla tänään", sanoi IDC: n tietoturvatuoteryhmän ohjelmajohtaja Sean Pike. "En ole myönteinen siitä, että sijoitetun pääoman tuottoprosentti on olemassa järkevässä ajassa. On olemassa monia arkkitehtuurimuutoksia ja henkilöstöasioita, jotka mielestäni tekevät kustannuksista kohtuuttomia strategiana."

Pike näkee kuitenkin mahdollisuuden Zero Trust -toimintaan tietoliikenteessä ja IDM: ssä. "Uskon, että on olemassa komponentteja, jotka voidaan helposti ottaa käyttöön tänään ja jotka eivät vaadi tukkuarkkitehtuurimuutoksia - esimerkiksi identiteetti", Pike sanoi. "Niiden ollessa yhteydessä toisiinsa, olen vahvasti sitä mieltä, että omaksuminen ei ole välttämättä strateginen siirto kohti Zero Trustia, vaan pikemminkin siirtyminen käsittelemään uusia tapoja, joilla käyttäjät yhdistyvät, ja tarvetta siirtyä pois salasanapohjaisista järjestelmistä ja parantaa käyttöoikeuksien hallintaa", Pike selitti.

Asiantuntijoiden mukaan Zero Trust voidaan tulkita vähän markkinointikonseptinä, joka toistaa joitain kyberturvallisuuden perusperiaatteita, kuten luottamatta verkkoon tulijoihin ja käyttäjien tarkistamiseen, mutta asiantuntijoiden mukaan sillä on tarkoitus pelisuunnitelmaan.. "Olen suuri puolustaja Zero Trustille, joka siirtyy kohti ainutlaatuista, strategista mantraa ja puolustaa sitä organisaation sisällä", Forresterin Cunningham sanoi.

Forresterin vuonna 2010 esittämät Zero Trust -ideat eivät ole uusia kyberturvallisuusteollisuudelle, totesi SANS-instituutin, turvallisuuskoulutusta ja -sertifiointia tarjoavan organisaation Emerging Security Trends -johtaja John Pescatore. "Se on melkein kyberturvallisuuden tavanomainen määritelmä - yritä tehdä kaikesta turvallinen, segmenttiä verkko ja hallita käyttöoikeuksia", hän sanoi.

Pescatore huomautti, että noin vuonna 2004 heikossa asemassa oleva turvallisuusjärjestö, nimeltään Jericho Forum, esitteli Forresterin kanssa samanlaisia ​​ideoita "ympärysmittattomasta turvallisuudesta" ja suositteli sallimaan vain luotetut yhteydet. "Tämä on sellainen kuin sanonta, " Siirrä jonnekin, jossa ei ole rikollisia ja täydellinen sää, etkä tarvitse kattoa tai ovia talossasi ", " Pescatore sanoi. "Zero Trust ainakin toi takaisin segmenttien järkevyyteen - segmentoit Internetistä aina kehällä."

• Kehyksen ulkopuolella: Kuinka puuttua kerrostettuun suojaukseen Kehyksen ulkopuolella: Kuinka osoittaa kerrostettuun suojaukseen
• NYC Venture pyrkii kannustamaan työpaikkoja, innovaatioita verkkoturvallisuudessa NYC Venture pyrkii kannustamaan työpaikkoja, innovaatiota kyberturvallisuudessa
• Kuinka valmistautua seuraavaan turvallisuusrikkomukseen Miten valmistautua seuraavaan tietoturvaloukkaukseen

Vaihtoehtona nollaluottamallille Pescatore suositteli Internet-tietoturvan kriittisten tietoturvaohjaimien seurantaa. Loppujen lopuksi Zero Trust voi varmasti tuoda hyötyä hypeestä huolimatta. Mutta kuten Pescatore huomautti, kutsutaanpa sitä sitten nollaluotteeksi vai jotain muuta, tämäntyyppinen strategia vaatii silti perustoimintoja.

"Se ei muuta sitä tosiasiaa, että liiketoiminnan suojelemiseksi sinun on kehitettävä perushygieniaprosessit ja valvontamenetelmät sekä oltava ammattitaitoinen henkilökunta ylläpitämään niitä tehokkaasti ja toimivasti", Pescatore sanoi. Se on enemmän kuin taloudellinen sijoitus useimmille organisaatioille, ja yhden yrityksen on keskityttävä menestykseen.