Як захиститися від кібератак принципом "нульової довіри"
До використання хмарних систем зараз переходять як бізнеси, так і урядові інституції. На хмарних серверах розміщують фінансові дані, стратегічні та маркетингові плани, особисті відомості клієнтів або громадян. Тож збереження цієї інформації, а також визначення протоколу доступу мають надзвичайно важливе значення.
Нещодавнє дослідження виявило, що лише у 24% компаній є чітке уявлення про те, де розташовуються їхні застосунки та хто має доступ до "чутливих" даних. Тоді опитали 308 ІТ-лідерів та тих, хто приймає рішення в організаціях США із річним доходом від 100 мільйонів доларів.
Питання, що вивчалися, стосувалися викликів, з якими зіштовхуються команди, та яким чином визначаються пріоритети в управлінні ідентифікацією у мультихмарних середовищах.
Компанія Osterman Research, яка вивчала це питання, виявила тенденцію, що для управління користувачами використовується дедалі більше систем ідентифікації. Це своєю чергою стає причиною втрати компаніями розуміння та контролю над своїми ідентифікаційними даними та політиками доступу. У багатьох компаніях управління інформацією чи то застосунками відбувається "наосліп". Однією з причин є доволі швидке впровадження мультихмарних технологій.
Відтак багато компаній залишаються вразливими до витоку даних або збою в роботі через нехтування протоколами ідентифікації та доступу.
Один з найгучніших випадків – кейс eBay. Облікові дані трьох співробітників були викрадені, що дало хакерам легкий доступ до мережі eBay та заволодіння даними 145 мільйонів клієнтів, включно з фізичною адресою, телефоном, датою народження, ім'ям, зашифрованими паролями та електронною поштою.
Одним з найпоширеніших способів викрадення паролів були фішингові атаки. Ще одне "слабке місце": люди використовують один і той самий пароль на різних платформах, тому викрадення одного акаунту часто призводить до можливості доступу до іншого. Через цей інцидент компанія зазнала збитків у сумі близько 200 млн доларів.
Важливо зазначити, що найчастішою причиною витоку інформації є недбалість співробітників компаній, що володіють цими даними. Це може бути залишений відкритим ноутбук у публічному місці чи то обмін файлами на хмарній платформі.
В рамках стратегії кібербезпеки Держдеп США ввів таке поняття як "нульова довіра". Воно передбачає, що відповідальність за збереження даних лежить не на споживачах, а на бізнесах та організаціях. Принцип "нульової довіри" (Zero Trust) апріорі вважає всі мережі такими, на які не можна покладатися, і вимагає безперервно перевіряти користувачів, пристрої та дані.
Модель "нульової довіри" базується на тому, що перевірку мають проходити навіть легітимні користувачі. Тобто під час кожного з’єднання мережа розглядається як вже зламана. Тож перевіряється та авторизується кожне з’єднання, наприклад, коли користувач підключається до ПЗ або баз даних. Після чого встановлюється безпечний доступ через зашифрований тунель.
Zero Trust програма передбачає два варіанти: надання або відмову в доступі, що залежить від перевірки внутрішніх та зовнішніх джерел. Ці джерела можуть перевірятися автоматично або генеруватися під час кожного запиту.
Подібна архітектура вважається надійною, тож її вже запровадили такі компанії як Appgate, Akamai Technologies, Palo Alto Networks, MobileIron, Illumio, Microsoft, Google, Forcepoint та Cisco.
Щоб підхід "нульової довіри" був результативним, варто врахувати наступне:
переривайте кожне з’єднання, допоки ви не проскануєте всі файли. Проксі-сервер, передбачений моделлю "нульової довіри", буде перевіряти весь трафік у режимі реального часу, зокрема і зашифрований – тож виявить програми-вимагачі та заблокує їх;
тестуйте запити на контекст, тобто тестуйте ідентифікацію користувача, геолокацію пристрою, тип даних, запитувану програму тощо;
перевага має віддаватися з'єднанню користувача з програмою, а не з мережею. Прямі з’єднання між користувачем і програмою усувають ризик бокового переміщення та запобігають зараженню скомпрометованими пристроями інших ресурсів. Крім того, користувачі та програми невидимі для Інтернету, тому їх неможливо виявити чи атакувати.
Тож задля безпеки користування хмарними сервісами радимо користувачам визначити, яку саме інформацію бізнес чи організація вважає конфіденційною; зʼясувати де є конфіденційні дані та хто має до них доступ; класифікувати дані за ступенем важливості та потенційної шкоди для бізнесу/організації в разі викрадення; визначити, хто є власником даних та прописати підзвітність.