מודל אמון אפס מרוויח קיטור עם מומחי אבטחה

"לעולם אל תסמוך; תמיד אמת." נשמע כמו השכל הישר, נכון? זה המוטו שמאחורי אסטרטגיה שנקראת אפס אמון, ההולכת וצוברת משיכה בעולם האבטחה ברשת. זה כרוך במחלקת IT המאמתת את כל המשתמשים לפני מתן הרשאות גישה. ניהול אפקטיבי של הגישה לחשבונות חשוב מאי פעם עם 58 אחוזים מהעסקים הקטנים עד בינוניים (SMB) המדווחים על הפרות נתונים בשנת 2017, על פי דוח החקירות על הפרות נתונים על Verizon לשנת 2018.

הרעיון Zero Trust הוקם על ידי ג'ון קינדרב, אנליסט לשעבר במחקר פורסטר וכיום CTO שדה בפאלו אלטו נטוורקס. "אנחנו צריכים להתחיל לעשות אסטרטגיה אמיתית, וזה מה שמאפשר אפס אמון", אמר קינדרב לקהל ב- 30 באוקטובר בפסגת ה- SecurIT Zero Trust בעיר ניו יורק. הוא הוסיף כי הרעיון של אפס אמון מקורו כאשר הוא התיישב ובאמת שקל את מושג האמון, וכיצד זה השחקנים הזדוניים שבדרך כלל נהנים מחברות האמונות על גורמים שהם לא צריכים.

ד"ר צ'ייס קנינגהם הפך ליורשו של קינדרג כאנליסט הראשי בפורסטר כשהוא חותר בגישה של אפס אמון גישה. "אפס אמון זה מה שכרוך בשתי המילים האלה, כלומר לא לסמוך על שום דבר, לא לסמוך על ניהול סיסמאות, לא לסמוך על אישורים, לא לסמוך על משתמשים ולא לסמוך על הרשת, " אמר Cunningham ל- PCMag ב- Zero Trust. פסגה.

Kindervag השתמש בדוגמה של השירות החשאי האמריקני כדי להמחיש כיצד ארגון צריך לעקוב אחר מה שהם צריכים להגן ומי צריך גישה. "הם מפקחים ומעדכנים ללא הפסקה את הפקדים הללו כדי שיוכלו לשלוט במה שעובר במתחם המיקרו בכל זמן נתון", אמר קינדרג. "זוהי שיטת אפס אמון להגנה על מנהלים. זו הדוגמה החזותית הטובה ביותר למה שאנחנו מנסים לעשות ב- Zero Trust."

שיעורי אמון אפס נלמדו ב- OPM

דוגמה מושלמת לאופן שבו אפס אמון יכול לפעול לטובת ארגונים הגיעה ממנכ"ל המנכ"ל לשעבר של הממשלה הפדרלית בארה"ב. בפסגת האפס אפס, תיאר ד"ר טוני סקוט, שכיהן במשרדו של ה- CIO האמריקני משנת 2015 ועד 2017, פרצת נתונים משמעותית שהתרחשה במשרד לניהול כוח אדם בארה"ב (OPM) בשנת 2014. ההפרה התרחשה עקב ריגול זר. בו נגנב מידע אישי ומידע רקע על אישור אבטחה עבור 22.1 מיליון איש יחד עם נתונים על טביעות אצבע על 5.6 מיליון אנשים. סקוט תיאר כיצד לא רק שילוב של אבטחה דיגיטלית ופיזית היה נחוץ כדי למנוע את ההפרה הזו, אלא גם ליישום אפקטיבי של מדיניות Zero Trust.

כאשר אנשים היו פונים לקבלת משרה במועצה האווירית, הם מילאו שאלון ממצה של טופס תקן (SF) 86, והנתונים היו שמורים במערה על ידי שומרים וטנקים חמושים, אמר. "אם היית גורם זר ורצית לגנוב את המידע הזה, היית צריך לפרוץ את המערה הזו בפנסילבניה ולעבור את השומרים החמושים. ואז היית צריך לצאת עם מטענים של נייר או להחזיק מכונת זירוקס מהירה מאוד או משהו כזה "אמר סקוט.

"זה היה מונומנטלי לנסות לברוח עם 21 מיליון רשומות, " המשיך. "אבל לאט לאט, מכיוון שהאוטומציה נכנסה לתהליך ה- OPM, התחלנו להכניס את הדברים האלה לקבצי מחשב על מדיה מגנטית וכן הלאה. זה הקל על הגניבה הרבה יותר." סקוט הסביר כי ה- OPM לא מצליח למצוא את סוג האבטחה המקביל כמאבטחים החמושים כאשר הסוכנות הפכה דיגיטלית. בעקבות הפיגוע, הקונגרס פרסם דוח הקורא לאסטרטגיית אפס אמון להגנה על פרצות מסוג זה בעתיד.

בדו"ח הקונגרס נאמר כי "כדי להילחם באיומים המתמשכים המתמשכים המבקשים להתפשר או לנצל רשתות IT ממשלתיות פדרליות, סוכנויות צריכות להתקדם לעבר מודל 'אפס אמון' של אבטחת מידע ואדריכלות IT. גם נציג ארה"ב לשעבר ג'ייסון חפץ (R-Utah), אז יו"ר ועדת הפיקוח, כתב אז הודעה על אפס אמון, שפורסם במקור על ידי הרדיו הפדרלי. "על משרד הניהול והתקצוב (OMB) לפתח הנחיות למחלקות המבצעות וראשי סוכנויות ליישום אפקטיבי של אפס אמון יחד עם אמצעים להמחשה ורישום של כל תנועת הרשת", כתב חפץ.

אפס אמון בעולם האמיתי

בדוגמה בעולם האמיתי ליישום Zero Trust, גוגל פרסה באופן פנימי יוזמה בשם BeyondCorp שנועדה להעביר בקרות גישה מהיקף הרשת למכשירים ומשתמשים פרטיים. מנהלי מערכת יכולים להשתמש ב- BeyondCorp כדרך ליצור מדיניות בקרת גישה פרטנית לפלטפורמת הענן של גוגל ו- Google G Suite על סמך כתובת IP, מצב אבטחת מכשירים וזהות המשתמש. חברה בשם Luminate מספקת אבטחת Zero Trust כשירות מבוסס על BeyondCorp. Luminate Secure Access Cloud מאמת משתמשים, מאמת מכשירים ומציע מנוע המספק ציון סיכון המאשר גישה לאפליקציות.

"המטרה שלנו היא לספק באופן מאובטח גישה לכל משתמש, מכל מכשיר, לכל משאב ארגוני ללא קשר למקום בו הוא מתארח, בענן או במקום, מבלי לפרוס סוכנים כלשהם בנקודת הקצה או מכשירים כלשהם כמו רשתות פרטיות וירטואליות (VPN), חומות חומת אש, או פרוקסי באתר היעד ", אמר מייקל דובינסקי, מנהל ניהול מוצר ב- Luminate, ל- PCMag בכנס Hybrid Identity Protection (HIP) 2018 (HIP2018) בניו יורק.

תחום IT חשוב בו Zero Trust צובר משיכה מהירה הוא ניהול זהויות. זה כנראה מכיוון ש -80 אחוז מהפרות נגרמות על ידי שימוש לרעה בתעודות מיוחדות, על פי הדוח "Forrester Wave: Privileged Identity Management, Q3 2016". מערכות השולטות בגישה מורשית לתואר גרעיני יותר יכולות לעזור במניעת אירועים אלה.

מרחב ניהול הזהויות אינו חדש, ויש שורה ארוכה של חברות המציעות פתרונות כאלה, כאשר ככל הנראה הפוצה ביותר היא מיקרוסופט ופלטפורמת ה- Active Directory (AD) שלה, המוטמעת במערכת ההפעלה הפופולרית שעדיין שרת Windows. מערכת הפעלה). עם זאת, יש המון שחקנים חדשים יותר שיכולים להציע לא רק יותר פונקציונליות מאשר AD, אלא גם יכולים להקל על ניהול זהויות ויישום. חברות כאלה כוללות שחקנים כמו Centrify, Idaptive, Okta ו- SailPoint Technologies.

ובעוד מי שכבר השקיע ב- Windows Server עשוי לשלם יותר עבור טכנולוגיה שהם מרגישים שהם כבר השקיעו בה, ארכיטקטורה של ניהול זהויות עמוקה יותר ומתוחזקת יכולה לגרום לדיבידנדים גדולים בהפרות סוכלות ובביקורות ציות. בנוסף, העלות אינה אוסרת על אף שהיא יכולה להיות משמעותית. לדוגמה, שירותי Centrify Infrastructure מתחילים ב 22 $ לחודש לכל מערכת.

כיצד פועל אמון אפס

"אחד הדברים שעושה אפס אמון זה להגדיר פילוח רשת, " אמר קינדרב. פילוח הוא מושג מפתח הן בניהול רשתות והן באבטחת סייבר. זה כרוך בפיצול רשת מחשבים לרשתות משנה, מבחינה לוגית או פיזית, כדי לשפר את הביצועים והביטחון.

ארכיטקטורת אפס אמון עוברת מעבר לדגם היקפי, המקיף את המיקום הפיזי של רשת. זה כרוך "לדחוף את המערכת אל הישות", אמר קנינגהם.

"הישות יכולה להיות שרת, משתמש, מכשיר או נקודת גישה, " אמר. "אתה דוחף את הפקדים לרמת המיקרו במקום לחשוב שבניתם קיר גבוה באמת ושאתה בטוח." קנינגהם תיאר חומת אש כחלק מההיקף האופייני. "זו בעיה של גישה ואסטרטגיה והיקף, " ציין. "הקירות הגבוהים והדבר האחד הגדול: הם פשוט לא עובדים."

כדי להשיג גישה לרשת, היבט ישן של אבטחה היה בשימוש בנתבים, לדברי דני קיבל, המנכ"ל החדש של חברת Idaptive, חברת ניהול זהויות שמסתובבת מ- Centrify. לפני אפס אמון, חברות היו מאמתות ואז בוטחות. אבל עם אפס אמון, אתה "תמיד מאמת, לעולם לא סומך", הסביר קיבל.

Idaptive מציעה פלטפורמת Next-Gen Access הכוללת כניסה יחידה (SSO), אימות מולטי-פקטור אדפטיבי (MFA) וניהול התקנים ניידים (MDM). שירותים כמו Idaptive מספקים דרך ליצור את הפקדים הגרעיניים בהכרח בגישה. אתה יכול לספק או לבטל את ההפרשה על בסיס מי שזקוק לגישה ליישומים שונים. "זה נותן את היכולת הקטנה הזו לארגון לשלוט על הגישה שלו, " אמר קיבל. "וזה מאוד חשוב לארגונים שאנחנו רואים מכיוון שיש הרבה פרושים מבחינת גישה לא מורשית."

קיבל הגדיר את הגישה של Idaptive ל- Zero Trust בשלושה שלבים: לאמת את המשתמש, לאמת את המכשיר שלו, ורק אז לאפשר גישה ליישומים ושירותים עבור אותו משתמש בדיוק. "יש לנו מספר וקטורים כדי להעריך את התנהגות המשתמש: מיקום, מהירות גיאוגרפית, זמן ביום, זמן בשבוע, באיזה סוג אפליקציה אתה משתמש ואפילו במקרים מסוימים איך אתה משתמש ביישום זה, " אמר קיבל.. מוניטורים אידאטיביים מנטרים ניסיונות כניסה מוצלחים וכושלים בכדי לראות מתי הוא צריך לחזור ולבצע אימות מחדש או לחסום משתמש לחלוטין.

ב- 30 באוקטובר, הציגה צנטריפייפ גישה לאבטחת סייבר בשם Zero Trust Privilege שבה חברות מעניקות את הגישה הפחות מיוחסת הדרושה ומוודאות מי מבקש את הגישה. ארבעת השלבים בתהליך Zero Trust Privilege כוללים אימות המשתמש, בחינת ההקשר של הבקשה, אבטחת סביבת הניהול והענקת הסכום הנמוך ביותר הדרוש. גישת ה- Zero Trust Privilege של Centrify כוללת גישה שלבית להפחתת הסיכון. זה גם מביא מעבר מניהול מורשה (Privileged Access Access) (PAM), שהיא תוכנה המאפשרת לחברות להגביל גישה לסוגים חדשים יותר של סביבות כמו פלטפורמות אחסון בענן, פרויקטים גדולים של נתונים ואפילו פרויקטים מתקדמים של פיתוח יישומים המותאמים לרוץ באינטרנט. מתקני אירוח.

מודל אפס אמון מניח שהאקרים כבר נכנסים לרשת, אמר טים סטינקופף, נשיא צנטריפי. אסטרטגיה להילחם באיום זה היא להגביל את התנועה לרוחב ולהחיל את MFA בכל מקום, על פי Steinkopf. "בכל פעם שמישהו מנסה לגשת לסביבה מיוחסת, אתה צריך מיד לקבל את האישורים הנכונים והגישה הנכונה, " אמר Steinkopf ל- PCMag. "הדרך לאכוף זאת היא איחוד זהויות ואז אתה זקוק להקשר של הבקשה, כלומר מי, מה, מתי, מדוע ואיפה." לאחר מכן אתה מעניק בדיוק את כמות הגישה הדרושה, אמר Steinkopf.

"אתה לוקח את ההקשר של המשתמש, ובמקרה זה זה יכול להיות רופא, זה יכול להיות אחות, או שזה יכול להיות מישהו אחר שמנסה לגשת לנתונים, " אמר דובינסקי. "אתה לוקח את ההקשר של המכשיר ממנו הם עובדים, אתה לוקח את ההקשר של הקובץ שאליו הם מנסים לגשת ואז אתה צריך לקבל החלטת גישה על סמך זה."

MFA, אפס אמון ושיטות עבודה מומלצות

היבט מרכזי במודל אפס אמון הוא אימות חזק, וההתאמה של גורמי אימות מרובים היא חלק מכך, ציין הד קובץ, מנכ"ל ומייסד משותף של סילברפורט, המציע פתרונות MFA. עם העדר היקפים בעידן הענן, יש צורך גדול יותר באימות מתמיד. קובץ אמר ל- PCMag ב- HIP2018 כי "היכולת לבצע MFA מכל דבר היא כמעט דרישה בסיסית של אפס אמון, ואי אפשר לעשות זאת היום מכיוון שאפס אמון נובע מהרעיון בו אין עוד היקפים". "אז כל דבר קשור לשום דבר, ובמציאות זו, אין לך שער אליו אתה יכול להחיל שליטה."

קנינגהם של פורסטר קבע אסטרטגיה בשם Zero Trust eXtended (XTX) למיפוי החלטות רכישת טכנולוגיה לאסטרטגיית Zero Trust. "באמת הסתכלנו על שבע חתיכות השליטה שאתה צריך כדי לנהל סביבה בצורה מאובטחת", אמר קנינגהם. שבעת העמודים הם אוטומציה ותזמור, נראות ואנליטיקס, עומסי עבודה, אנשים, נתונים, רשתות והתקנים. להיות פלטפורמת ZTX, למערכת או לטכנולוגיה יהיו שלושה מעמודים אלה יחד עם יכולות ממשק תכנות יישומים (API). מספר ספקים המציעים פתרונות אבטחה משתלבים בעמודים שונים במסגרת. Centrify מציעה מוצרים העוסקים באבטחת אנשים ומכשירים, פאלו אלטו נטוורקס וסיסקו מציעים פתרונות רשת, ופתרונות האבטחה של יבמ מתמקדים בהגנה על נתונים, ציין קנינגהם.

דגם Zero Trust אמור לכלול גם מנהרות מוצפנות, ענן תנועה והצפנה מבוססת אישורים, אמר Steinkopf. אם אתה שולח נתונים מאייפד דרך האינטרנט, אתה רוצה לוודא שהנמען זכאי לגישה, הוא הסביר. הטמעת מגמות טכנולוגיות מתפתחות כמו קונטיינרים ו- DevOps יכולה לסייע במאבק לרעה עם הרשאות מיוחדות, לפי Steinkopf. הוא גם תיאר את מחשוב הענן כמצוי בחזית האסטרטגיה של אפס אמון.

דובינסקי של לומינאט מסכים. עבור חברות קטנות ובינוניות, פנייה לחברת ענן שמספקת ניהול זהויות או MFA כשירות, מעמידה על עצמה את חובות האבטחה הללו לחברות המתמחות בתחום. "אתה רוצה להעמיס כמה שיותר על חברות ואנשים שאחראים עליהם כתפקיד יום העבודה שלהם", אמר דובינסקי.

פוטנציאל מסגרת האפס אפס

למרות שמומחים הכירו בכך שחברות פונות למודל של אפס אמון, במיוחד בניהול זהויות, יש כאלה שלא רואים צורך בשינויים גדולים בתשתיות האבטחה כדי לאמץ את אפס אמון. שון פייק, סמנכ"ל התוכנית בקבוצת מוצרי האבטחה של IDC, אמר שון פייק, "אני לא בטוח שזו אסטרטגיה שהייתי רוצה לאמץ בכל רמה כיום. "אני לא חיובי שחישוב ההחזר על ההשקעה קיים במסגרת הגיונית. ישנם מספר שינויים אדריכליים וסוגיות כוח אדם שלדעתי הופכים את העלות לאסורה כאסטרטגיה."

עם זאת, פייק רואה פוטנציאל לאפס אמון בתחום הטלקומוניקציה ו- IDM. "אני חושב שישנם רכיבים שניתן לאמץ היום בקלות שלא ידרשו שינויים בארכיטקטורה סיטונאית - למשל זהות, " אמר פייק. "בעוד שהם קשורים זה לזה, התחושה החזקה שלי היא שאימוץ אינו בהכרח מהלך אסטרטגי לעבר אפס אמון, אלא צעד להתייחס לדרכים חדשות שמשתמשים להתחבר והצורך להתרחק ממערכות מבוססות סיסמאות ולשפר את ניהול הגישה, " פייק פייק הסביר.

למרות שאפשר לפרש את אפס אמון כקונספט שיווקי שחוזר על כמה מהעקרונות הסטנדרטיים של אבטחת הרשת, כגון אי אמון על מתמודדים לרשת שלך וצורך לאמת משתמשים, זה אכן משמש מטרה כתוכנית משחק, לפי מומחים.. "אני תומך גדול ב- Zero Trust, להתקדם לעבר אותה מנטרה יחידה ואסטרטגית ולשלט אותה בתוך הארגון, " אמר קנינגהם של פורסטר.

רעיונות ה- Zero Trust שהוצג על ידי פורסטר בשנת 2010 אינם חדשים בתעשיית הבטיחות ברשת, ציין ג'ון פסקאטור, מנהל מגמות אבטחה מתפתחות במכון SANS, ארגון המספק הדרכה ואישור אבטחה. "זו פחות או יותר ההגדרה הסטנדרטית של אבטחת סייבר - נסה להפוך את הכל לאבטח, לפלח את הרשת שלך ולנהל הרשאות משתמשים", אמר.

פסקאטור ציין כי בסביבות 2004, ארגון אבטחה מנוטרל כעת בשם פורום יריחו הציג רעיונות דומים כמו פורסטר לגבי "אבטחה חסרת היקף" והמליץ ​​רק לאפשר חיבורים מהימנים. "זה סוג של כמו לומר, 'לעבור למקום שאין בו פושעים ומזג אוויר מושלם, ואתם לא צריכים גג או דלתות בבית שלך', " אמר פסקאטור. "אמון אפס לפחות החזיר את המובן השכיח לפילוח - אתה תמיד מפלח מהאינטרנט עם היקף."

• מעבר להיקף: כיצד לטפל באבטחה שכבתית מעבר להיקף: כיצד לטפל באבטחה שכבה
• ניו יורק סיכון מבקשת לזרז משרות, חדשנות בתחום אבטחת הסייבר NYC סיכון מבקשת לדרבן משרות, חדשנות בתחום הסייבר
• כיצד להתכונן לפריצת האבטחה הבאה שלך כיצד להתכונן להפרת האבטחה הבאה שלך

כחלופה לדגם ה- Zero Trust, המליצה Pescatore לעקוב אחר המרכז לבקרת האבטחה הקריטית של אבטחת האינטרנט. בסופו של דבר, אפס אמון בהחלט יכול להביא יתרונות למרות ההייפ. אך כפי שציין פסקאטורה, בין אם זה נקרא אפס אמון או משהו אחר, אסטרטגיה מסוג זה עדיין דורשת בקרות בסיסיות.

"זה לא משנה עובדה זו שכדי להגן על העסק, אתה צריך לפתח תהליכים ובקרות היגיינת אבטחה בסיסית, כמו גם את הצוות המיומן כדי לשמור עליהם פועלים בצורה יעילה ויעילה, " אמר פסקאטור. זה יותר מהשקעה כספית עבור מרבית הארגונים, וחברות אחת תצטרך להתמקד בה כדי להצליח.