Как защититься от кибератак принципом "нулевого доверия"
К использованию облачных систем сейчас переходят как бизнесы, так и правительственные институции. На облачных серверах размещаются финансовые данные, стратегические и маркетинговые планы, личные сведения клиентов или граждан. Следовательно, сохранение этой информации, а также определение протокола доступа имеют чрезвычайно важное значение.
Недавнее исследование показало, что только у 24% компаний есть четкое представление о том, где располагаются их приложения и кто имеет доступ к "чувствительным" данным. Тогда опросили 308 ИТ-лидеров и тех, кто принимает решения в организациях США с годовым доходом от 100 миллионов долларов.
Изучаемые вопросы касались вызовов, с которыми сталкиваются команды, и каким образом определяются приоритеты в управлении идентификацией в мультиоблачных средах.
Компания Osterman Research, изучавшая этот вопрос, выявила тенденцию, что для управления пользователями используется все больше систем идентификации. Это в свою очередь становится причиной потери компаниями понимания и контроля за своими идентификационными данными и политиками доступа. Во многих компаниях управление информацией или приложениями происходит "вслепую". Одна из причин – довольно быстрого внедрение мультиоблачных технологий.
Поэтому многие компании остаются уязвимыми к утечке данных или сбою в работе из-за пренебрежения протоколами идентификации и доступа.
Один из самых громких случаев – кейс eBay. Учетные данные троих сотрудников были похищены, что дало хакерам легкий доступ к сети eBay и завладению данными 145 миллионов клиентов, включая физический адрес, телефон, дату рождения, имя, пароли и электронную почту.
Одним из самых распространенных способов кражи паролей были фишинговые атаки. Еще одно "слабое место": люди используют один и тот же пароль на разных платформах, поэтому похищение одного аккаунта часто приводит к возможности доступа к другому. Из-за этого инцидента компания понесла убытки в сумме около 200 млн долларов.
Важно отметить, что наиболее частой причиной утечки информации является халатность сотрудников компаний, владеющих этими данными. Это может быть оставленный открытым ноутбук в публичном месте или обмен файлами на облачной платформе.
В рамках стратегии кибербезопасности Госдеп США ввел такое понятие как "нулевое доверие". Оно предполагает, что ответственность за сохранность данных лежит не на потребителях, а на бизнесах и организациях. Принцип "нулевого доверия" (Zero Trust) априори считает все сети такими, на которые нельзя полагаться, и требует непрерывно проверять пользователей, устройства и данные.
Модель "нулевого доверия" основана на том, что проверку должны проходить даже легитимные пользователи. То есть при каждом соединении сеть рассматривается как уже взломанная. Поэтому проверяется и авторизуется каждое соединение, например, когда пользователь подключается к ПО или базам данных. После чего устанавливается безопасный доступ через зашифрованный туннель.
Zero Trust приложение предусматривает два варианта: предоставление или отказ в доступе, зависящее от проверки внутренних и внешних источников. Эти источники могут автоматически проверяться или генерироваться при каждом запросе.
Подобная архитектура считается надежной, поэтому ее уже внедрили такие компании как Appgate, Akamai Technologies, Palo Alto Networks, MobileIron, Illumio, Microsoft, Google, Forcepoint и Cisco.
Чтобы подход "нулевого доверия" был результативным, следует учесть следующее:
прерывайте каждое соединение, пока вы не просканируете все файлы. Прокси-сервер, предусмотренный моделью "нулевого доверия", будет проверять весь трафик в режиме реального времени, в том числе и зашифрованный, поэтому обнаружит программы-вымогателии и заблокирует их;
тестируйте запросы на контекст, то есть тестируйте идентификацию пользователя, геолокацию устройства, тип данных, запрашиваемую программу и т.п.;
предпочтение должно отдаваться соединению пользователя с программой, а не с сетью. Прямые соединения между пользователем и программой устраняют риск бокового перемещения и предотвращают заражение скомпрометированными устройствами других ресурсов. Кроме того, пользователи и приложения невидимы для Интернета, поэтому их невозможно обнаружить или атаковать.
Поэтому для безопасности пользования облачными сервисами советуем пользователям определить, какую именно информацию бизнес или организация считает конфиденциальной; выяснить, где находятся конфиденциальные данные и кто имеет к ним доступ; классифицировать данные по степени важности и потенциального ущерба для бизнеса/организации в случае кражи; определить, кто владеет данными и прописать подотчетность.