Vďaka vysokej sofistikovanosti dnešných kybernetických hrozieb je možné zdanlivo pevné hradby vášho digitálneho prostredia ľahko prelomiť. Stačí nájsť jediný slabý článok v reťazci – uniknuté heslo, nezabezpečený počítač alebo zle nakonfigurovanú cloudovú aplikáciu. V tomto článku sa zameriam na základné piliere moderného zabezpečenia založeného na princípoch nulovej dôveryhodnosti – Zero Trust.
(Ne)dôveryhodný perimeter siete
Tradičná koncepcia zabezpečenia založená na perimetri je model, ktorý sa zameriava na zabezpečenie sietí prostredníctvom ochrany ich hraníc. Bezpečnosť je zabezpečená prostredníctvom implementácie firewallov, sietí VPN a ďalších bezpečnostných opatrení na okraji siete, aby sa zabránilo neoprávnenému prístupu zvonku. Všetko v sieti je dôveryhodné a všetko mimo siete nie.
V dnešnom vysoko dynamickom IT prostredí však nie je možné obmedziť bezpečnostný perimeter na steny budovy, kancelárie alebo vnútornú sieť. Dátové úložiská a poštové servery prevádzkované v serverovni sú nahradené modernými cloudovými nástrojmi. Zamestnanci pracujú hybridným spôsobom a pripájajú sa k firemným zdrojom z rôznych miest a zariadení vrátane tých súkromných. Rýchla a efektívna spolupráca medzi internými používateľmi, externými dodávateľmi a zákazníkmi sa stala nevyhnutnosťou. Transformácia predajných alebo zákazníckych systémov do cloudu z dôvodu jednoduchého škálovania, kontinuálneho vývoja a zrýchleného nasadzovania nových verzií je dnes obrovskou konkurenčnou výhodou.
Všetky zmienené faktory majú veľký vplyv na celkovú bezpečnosť vášho IT prostredia. Kyberzločinci majú oveľa viac príležitostí na kompromitáciu vašich identít alebo zariadení, infiltráciu do vášho prostredia, krádež vašich dát a poškodenie vašej reputácie. Rôzne štúdie tiež uvádzajú, že útoky neprichádzajú vždy zvonku, ale približne 30 % útokov sa uskutočňuje zvnútra organizácie, či už ide o úmyselné konanie alebo nedbanlivosť.
Dôvera v interné prostredie, firemné vybavenie alebo identitu zamestnanca je preto veľmi iluzórna.
Nulová dôvera
Koncepcia nulovej dôvery vychádza z axiómu, že dôvera je sama o sebe zraniteľnosťou. Heslo „nikdy nedôveruj, vždy overuj“ (never trust, always verify) jasne naznačuje, že tento bezpečnostný model je v priamom protiklade k perimetrickej ochrane.
Nejde o módny výstrelok posledného roka alebo dvoch. Prvé skutočné nasadenie tohto konceptu v podnikovom prostredí spoločnosti Google (iniciatíva BeyondCorp) sa datuje do roku 2009. Odvtedy sa tento bezpečnostný model čoraz viac rozširuje a považuje sa za účinnú reakciu na komplexnosť a premenlivosť kybernetických hrozieb. Zároveň nejde len o súbor konkrétnych technológií, ale o ucelenú bezpečnostnú filozofiu, ktorá preniká do každého aspektu infraštruktúry organizácie s cieľom aktívne ju chrániť pred vyvíjajúcimi sa kybernetickými hrozbami.
Aké sú kľúčové zásady Zero Trust?
- Explicitné overovanie – každý používateľ a zariadenie musia byť overené a autorizované pred udelením prístupu k podnikovým zdrojom. Bez ohľadu na lokáciu.
- Minimálne oprávnenia – používateľom a zariadeniam sa udeľuje len minimálna úroveň prístupu potrebná na vykonávanie ich úloh, čím sa znižuje potenciálny vplyv v prípade kompromitácie.
- Mikrosegmentácia – nikdy nie je udelený plošný prístup. Pohyb medzi sieťovými zónami alebo rôznymi firemnými aplikáciami sa neustále overuje a autorizuje.
- Nepretržité monitorovanie – Aktivita je nepretržite monitorovaná s cieľom odhaliť podozrivé správanie a reagovať naň v reálnom čase.
Ochrana je zvyčajne viacvrstvová a veľmi dôležitú úlohu v nej zohráva schopnosť úzkej integrácie medzi použitými technológiami. Predstavme si tie najdôležitejšie.
Identita používateľa
Moderné systémy správy identít a prístupu (Identity and Access Management – IAM) zohrávajú v dnešnom IT prostredí kľúčovú úlohu. Uľahčujú prepojenie zamestnancov, obchodných partnerov a zákazníkov a umožňujú im efektívne a bezpečne spolupracovať odkiaľkoľvek. Tieto nástroje umožňujú zaviesť centralizovanú správu všetkých používateľských účtov, moderné metódy overovania (multifactor, passwordless), jednotné prihlásenie a riadenie prístupu do všetkých firemných aplikácií. Zvýšia nielen bezpečnosť, ale zároveň zlepšia aj používateľský zážitok.
Správa koncových bodov
V podmienkach nulovej dôveryhodnosti sa moderná správa zariadení (koncových bodov) stala kritickým prvkom prvej línie obrany. Každý koncový bod predstavuje potenciálny vstupný bod pre útočníka do vášho prostredia. Moderné nástroje na správu mobilných zariadení MDM (Mobile Device Management) / UEM (Unified Endpoint Management) nielenže uľahčujú nasadenie, konfiguráciu a správu všetkých podnikových zariadení, ale zároveň ponúkajú organizáciám prehľad o používaní súkromných zariadení BYOD, zabezpečujú súlad s podnikovými bezpečnostnými politikami a zohrávajú kľúčovú úlohu pri autorizácii prístupu zariadení k podnikovým zdrojom.
EDR a XDR
Klasické antivírusy založené na aktualizáciách vírusovej základne dodávateľom riešenia sú už dávno zastarané. Systémy EDR (Endpoint Detection and Response) neustále monitorujú koncové body a hľadajú príznaky kompromitácie. Analyzujú a vyhodnocujú anomálie pomocou strojového učenia (ML) a umelej inteligencie (AI) s cieľom zabrániť doteraz neznámym typom útokov využívajúcich tzv. zero-day zraniteľnosti. Nástroje XDR (Extended Detection and Response) rozširujú túto funkcionalitu o ďalšie ochranné mechanizmy na sieťovej, cloudovej a aplikačnej vrstvy
Prístup k sieti s nulovou dôverou
Technológia ZTNA (Zero Trust Network Access) umožňuje nahradiť vašu súčasnú VPN (Virtual Private Network). Namiesto širokého prístupu na úrovni siete kladie dôraz na mikrosegmentáciu a pokročilý prístup na úrovni aplikácií.K dispozícii je aj ochrana pred internetovými hrozbami prostredníctvom klasifikácie a kontroly sieťovej prevádzky.
Ochrana dát
Kontrola toku dokumentov a ochrana organizácie pred únikom dát je ďalším dôležitým bezpečnostným prvkom. Systémy umožňujú automatizovanú klasifikáciu a ochranu e-mailov a dokumentov na základe typu úložiska, výskytu kľúčových slov, definovaných textových vzorov atď. Tým sa zabráni ich neoprávnenému zdieľaniu mimo organizácie alebo okruhu príjemcov.
SIEM a SOAR
Systémy SIEM (Security Information and Event Management) sa používajú na centrálne zhromažďovanie aplikačných a systémových protokolov a auditných záznamov za účelom následnej analýzy. Sú to oči a uši, ktoré preosievajú obrovské množstvo zhromaždených informácií, aby v nich rozpoznali potenciálne hrozby. Platformy SOAR (Security Orchestration, Automation and Response) dopĺňajú SIEM zavedením automatizácie a orchestrácie do procesu reakcie. V súčasnosti sa opäť využíva umelá inteligencia.
Úskalia prijatia koncepcie nulovej dôvery
Jasne definovaná IT stratégia a koncepčný prístup zohrávajú dôležitú úlohu pri adopcii Zero Trust princípov. Nie je v silách žiadnej organizácie prijať všetky princípy a technológie naraz. Zavádzanie jednotlivých komponentov preto musí byť vždy systematické, v premyslených krokoch a s ohľadom na vplyv na existujúce procesy a používateľov. Dobre vykonaná adaptácia môže výrazne zvýšiť bezpečnosť organizácie a zároveň zlepšiť používateľskú skúsenosť zjednotením a zjednodušením prístupu, autentifikácie a autorizácie. Na druhej strane nesprávne nasadenie môže viesť k vysokej nespokojnosti používateľov, úmyselnému obchádzaniu bezpečnostných pravidiel a neskorším nekoncepčným ústupkom.
Na záver je dobré si zopakovať, že prijatím týchto moderných bezpečnostných princípov neprijímame len nový súbor nástrojov. Pestujeme tým kultúru myslenia, komplexného dohľadu a proaktívnych protiopatrení. Ide o nepretržitú a nikdy nekončiacu cestu k minimalizácii rizika a vplyvu potenciálneho kybernetického útoku.
