Никакого доверия: что такое концепция Zero Trust и для чего она нужна?

Все последние годы с ростом уровня цифровизации бизнеса растет и ущерб от киберпреступлений. По данным Cybersecurity Ventures, потери бизнеса от киберпреступности к 2021 году могут составить $6 триллионов.  Однако системы обеспечения кибербезопасности, как и киберугрозы, тоже постоянно развиваются и эволюционируют. Так, еще в 2010 году Джон Киндерваг из Forrester Research впервые сформулировал концепцию Zero Trust — модель "нулевого доверия". Давайте разберемся, что лежит в ее основе.  Главная проблема в обеспечении действительно надежной защиты IТ-инфраструктуры от современных целенаправленных кибератак состоит в том, что злоумышленники не ограничены во времени, и им достаточно быть успешными всего единожды. Поэтому логично, что от "безопасников" требуют обеспечивать стопроцентное предотвращение угроз.  Разумеется, это невозможно. Уязвимости в программном обеспечении обнаруживаются постоянно, новые методы и тактики атак разрабатываются непрерывно, да и банальные ошибки и недочеты в конфигурации средств защиты из-за пресловутого человеческого фактора тоже представляют серьезную угрозу. Потому идея создания "непроходимого периметра" на самом деле, скорее, может навредить, чем помочь.  Например, если в компании периметр сети достаточно хорошо защищен, всегда существует ненулевая вероятность, что злоумышленник проникнет внутрь при помощи взлома аккаунта какого-то сотрудника, например, с помощью таргетированной фишинговой атаки. И в этом случае хорошо защищенный периметр сети, уже наоборот, может сыграть отрицательную роль для службы безопасности, потому что та будет надеяться, что у неё "все хорошо". А злоумышленник, в свою очередь, получив доступ к сети, уже не будет встречать на своем пути практически никакого сопротивления. В итоге, средства, вложенные в создание "непроходимого периметра", окажутся потраченными впустую. "Поэтому концепция Zero Trust — это не что-то новое, это просто более зрелый взгляд на то, как обеспечить надежное функционирование IT-сервисов, когда они находятся в условиях постоянной угрозы компрометации", — говорит Алексей Швачка, специалист и  технический директор компании "Октава Киберзахист".  Согласно этой концепции, говорит Алексей Швачка, в корпоративной IТ-инфраструктуре необходимо реализовать подход, когда любое устройство или пользователь, который пытается получить доступ к каким-либо ресурсам, не считающимся по умолчанию безопасными, должен каждый раз проходить полную процедуру идентификации, а все его активности должны протоколироваться и находиться под постоянным мониторингом и контролем.  Да, разумеется, это требует более серьезных инвестиций в кибербезопасность, чем просто покупка межсетевого экрана и антивируса. И, главное, это требует изменения подхода к процессам работы службы безопасности. Однако в результате бизнес не только получит повышение управляемости и прозрачности в IТ, но и сможет существенно снизить вероятность появления "Черного лебедя" — наступления условно неожиданного инцидента с тяжелыми последствиями. Почему "условно"? Потому что практически все подобного рода инциденты являются закономерным следствием недоработок и просчетов в прошлом. Самым ярким примером "Черного лебедя" в области кибербезопасности для Украины стала атака вируса-шифровальщика Petya/Nyetya в 2017 году. Добавляет "градуса" и повсеместное размытие понятия периметра корпоративной сети. Здесь и мобильные сотрудники, и облачные сервисы, и многое другое. В таких условиях без принятия концепции Zero Trust уже просто не обойтись. Теперь несколько слов о том, как и какими средствами ее можно реализовать на практике. Чтобы приблизиться к этому, необходимо прежде всего точно идентифицировать все имеющиеся у компании информационные активы, определить кто/что, с какими правами, в какое время, из какого места может иметь к ним доступ. Сама по себе эта задача довольно сложная, и, надо сказать, не разовая. То есть поддержание в актуальном состоянии перечня информационных активов должно быть постоянным процессом. То же касается и задачи мониторинга и контроля за всеми устройствами, пользователями и получаемыми ими доступами к активам — это тоже должен быть непрерывный процесс. Очевидно, что для этого необходимы инструменты, и они есть.  Конечно, у каждой организации своя специфика, но у всех присутствуют автоматизированные рабочие места пользователей, есть администраторы, у подавляющего большинства есть понятие "внутренняя сеть", очень многие пользуются облачными сервисами (тот же Microsoft Office 365, например). Для ИТ-инфраструктуры подобного вида для приближения к реализации концепции Zero Trust вполне применимы будут такие классы решений, как: ➡️ Network Access Control (контроль доступа и микросегментация сети — например, Cisco ISE),  ➡️ Network Behavior Anomaly Detection (обнаружение аномалий в сетевой активности — например, Cisco StealthWatch), ➡️ Cloud Access Security Broker (обеспечение видимости и контроля доступа к облачным ресурсам — например, Cisco Cloudlock), ➡️ Multifactor Authentication (многофакторная аутентификация — например, ESET Secure Authentication), ➡️ Endpoint Detect and Response (своего рода антивирус нового поколения, позволяющий отслеживать неизвестный вредоносный код по вторичным признакам, в том числе без сигнатур — например, ESET Targeted Attack Protection), ➡️ User Entity Behavior Analysis (обнаружение аномального поведения пользователей и процессов на рабочих станциях — например, Splunk User Behavior Analytics), ➡️ Privilege Access Manager (протоколирование и контроль действий администраторов — например, WALLIX Admin Bastion).  Для реализации задачи комплексного мониторинга всех событий в ИТ-инфраструктуре применяются SIEM-системы, предназначенные для сбора и корреляции журналов событий от всех источников в сети — от межсетевого экрана до последней рабочей станции (например, Splunk Enterprise Security).  В идеале, более-менее полно реализовать концепцию Zero Trust в большой корпоративной инфраструктуре сможет хорошо оснащенный и с правильно выстроенными процессами Security Operation Center. Но это отдельная большая тема, и о ней — в другой раз. Пока можно добавить только, что в последние несколько лет набирает обороты еще один класс решений по кибербезопасности, основанный на принципе активного введения в заблуждение атакующих сеть хакеров. Речь о технологии Deception, которая позволяет быстро развернуть множество ложных целей, имитирующих реальные активы организации — рабочие станции, сервера, банкоматы, SCADA-системы и другие, и  реагирующие всего лишь на единственную попытку получения несанкционированного доступа к ним, сколь бы осторожной она ни была. Примером такого рода решения может быть система TrapX Deception Grid от израильской компании TrapX Security. Подход к применению технологии обмана злоумышленников уже довольно хорошо описан американским Department of Homeland Security, и называется концепция Moving Target Defence. Можно с уверенностью сказать, что она органично и бесшовно вписывается в концепцию Zero Trust. Отдельно стоит отметить, что применение технологии Deception радикально нивелирует преимущества злоумышленника, проникшего в сеть и проводящего ее осторожную разведку. "Если в сети есть заведомо ложные цели, в этом случае злоумышленник будет ни в чем не уверен никогда, даже зная о факте наличия таких "мин", и теперь уже единственный неосторожный шаг самого хакера может привести к тому, что он попадется", — считает Алексей Швачка. И напоследок. Нужно понимать, что даже при наличии продвинутых систем защиты не стоит забывать об обычных превентивных мерах, регулярно проводить тесты на проникновение и всегда придерживаться правил безопасности.