Hétpecsét Információbiztonsági Egyesület

Amit a zéró bizalomról tudni kell

A zéró bizalom hálózatot vagy zéró bizalom architektúrát 2010-ben alkotta meg John Kindervag, aki akkortájt a Forrester piackutató vezető elemzője volt. Most, nyolc évvel később a CIO-k, CISO-k és más vezetők egyre-másra vezetik be vállalatuknál a módszert a céges informatikai infrastruktúra és az adatok védelmére.

Húsz telefonhívásomból tizenhét szól a zéró bizalomról. Informatikai vezetők, biztonsági főnökök, vezérigazgatók érdeklődnek a legkülönfélébb méretű szervezetektől, ecseteli a modell népszerűségét Chase Cunningham, a Forrester vezető elemzője, aki szerint három éven belül a zéró bizalom elvét a kiberbiztonság egyik legfontosabb alappilléreként fogják emlegetni.

Mit jelent a zéró bizalom?Olyan biztonsági koncepció, amely azon alapul, hogy a szervezeteknek nem szabad automatikusan megbízniuk semmilyen belső vagy külső szereplőben, hanem a rendszereikhez csatlakozni próbáló valamennyi eszközt ellenőrizni kell, mielőtt hozzáférést kap. A zéró bizalomra épülő védelmi stratégia lényege, hogy senkiben sem bízunk meg, hangsúlyozza Charlie Gero, az Akamai Technologies vállalati projektek részlegének műszaki vezetője. Szakítsunk meg minden kapcsolatot addig, amíg ki nem derül, ki vagy! Ne engedjünk hozzáférést IP-címekhez, számítógépekhez stb., amíg nem ellenőriztük, ki a kapcsolódni kívánó felhasználó, és van-e jogosultsága!

Mire ez a nagy szigor? Nézzük meg a statisztikákat! A Cybersecurity Ventures 2017-es jelentése szerint a kiberbűnözés 2021-re évente 6 billió dollárjába kerül majd a világnak, szemben a 2015-ös 3 billió dollárral. A Ponemon Institute és az IBM kutatása pedig azt állapította meg, hogy egy adatlopási incidens átlagosan 3,62 millió dollár kárt okoz a megtámadott vállalatnak. Habár ez a szám kisebb az előző évinél, a kutatás azt is megállapította, hogy az adatlopások átlagos mérete 1,8 százalékkal 24 ezer rekordra nőtt.

Márpedig a vállalatok egyre többet és többet költenek kibervédelemre: a Gartner statisztikája szerint 2017-ben világszerte 86,4 milliárd dollárt, 7 százalékkal többet, mint 2016-ban. Az idén pedig ez az összeg várhatóan 93 milliárd dollárra emelkedik. Felismerve, hogy a meglévő megközelítések nem elég hatékonyak, a vállalatvezetők valami jobb után kutatnak, és úgy találják, hogy a zéró bizalom modell nyújtja a legjobb eredményeket, állítja Cunningham. Gero egyetért vele: ha meg akarjuk állítani az adatlopásokat, ennek a legjobb módja a zéró bizalom elvének alkalmazása.

Biztonság egy új világnakAz információbiztonság zéró bizalom modellje kiszorítja a régi "az én házam az én váram" mentalitást, amelyet követve a vállalatok a peremek megvédésére fókuszáltak, miközben azt feltételezték, hogy ami a falakon belül van, nem jelenthet veszélyt, szabad hozzáférést kaphat. Biztonsági és technológiai szakértők szerint azonban az "az én házam az én váram" megközelítés nem működik. Véleményüket alátámasztja az a tény, hogy a legarcátlanabb adatlopási incidensek közül néhány csupán azért történhetett meg, mert miután a hackerek áthatoltak a vállalati tűzfalakon, különösebb ellenállás nélkül mozoghattak a hálózaton belül.

Alapvető informatikai probléma, hogy túl sok dolgot futtatunk túlságosan nyitottan, túlságosan sok automatikus kapcsolattal, állítja Cunningham. Ez az internet nagy előnye: mindenki bármikor meg tud osztani másokkal mindent. Ugyanakkor a nyitottság hátulütője, hogy ha mindenben megbízunk, nincs esélyünk arra, hogy biztonságossá tegyük az infrastruktúrát, teszi hozzá a szakember.

Nem csupán a rosszindulatú szereplők és a komoly fenyegetések miatt hódít teret az új modell. Szakértők szerint a vállalatok IT-részlegeinek változtatniuk kellene a gondolkodásmódjukon, mivel a "váruk" immár nem olyan elszigetelt, mint korábban volt. A cégek nem saját adatközponttal szolgálják ki a hálózatukat, hanem általában egyes alkalmazásokat házon belül futtatnak, míg másokat a felhőben, a felhasználók - alkalmazottak, partnerek, vásárlók - pedig a legkülönfélébb eszközökről és helyszínekről érik el a programokat.

Mindezek a makró változások vezettek az új modellhez, és a kérdés az, miképpen tudjuk magunkat ezzel a modellel megvédeni, mondja Bill Mann, az identitás- és hozzáférés-kezelési (IAM), valamint privilegizált identitáskezelési (PIM) megoldásokat kínáló Centrify cég alelnöke. Ebben az új világban az új tűzfal közel található a megvédeni kívánt tulajdonhoz, teszi hozzá.

Hozzáférés szabályozásaKülönféle meglévő technológiákra és kormányzási folyamatokra épül a zéró bizalom megközelítés. Ösztönzi a mikroszegmentációt és a granuláris peremvédelmet, amely a felhasználókra, földrajzi elhelyezkedésükre és más adatokra alapozva dönti el, meg lehet-e bízni egy, a vállalati rendszer valamely részéhez hozzáférni kívánó felhasználóban, számítógépben vagy alkalmazásban.

- Először is meg kell győződni arról, hogy a felhasználó valóban az-e, akinek mondja magát, azután meg kell vizsgálni, mely végpontról érkezett. Az biztonságosnak minősített végpont-e, és mi a végpont biztonsági állapota? Szükség van még hozzáférési szabályzatra is, amely megmondja, ki mihez férhet hozzá, magyarázza a modell működését Mann.

Része a modellnek a többfaktoros azonosítás, az IAM, az analitika, a titkosítás, az osztályozás és a fájlrendszer-jogosultságok. Alapelve továbbá, hogy a lehető legkevesebb hozzáférést adja a felhasználóknak, csupán annyit, amennyire feltétlenül szükségük van az adott feladat elvégzéséhez. Cunningham a zéró bizalom megközelítésre úgy tekint, mint amelynek segítségével a vállalatok megfordíthatják a hackerekkel folytatott háború menetét. Vegyük például a hálózatszegmentálást és a következő generációs tűzfalakat, amelyekkel vezérelhetjük, ki, mikor, hol és mihez csatlakozhat, teszi hozzá a szakember.

A modell bevezetéseSzámos vállalat IT-részlege már megvalósítja a zéró bizalom modell egyes részeit. Sok helyen használják a többfaktoros azonosítást és az IAM-et, és egyre több szervezetnél vezetik be a mikroszegmentációt az informatikai környezet egyes részein. A zéró bizalom környezet kialakítása azonban nem csupán e technológiák bevezetéséből áll. A modell átvétele arról szól - ebben Cunningham, Gero és Mann is egyetért -, hogy ezeket és más technológiákat használják annak az elvnek a betartatására, hogy senki és semmi nem kap hozzáférést addig, amíg nem bizonyosodott be, hogy meg lehet benne bízni.

Természetesen a zéró bizalom modell kiépítése nem megy egyik napról a másikra. Nem is egyszerű feladat, különösen akkor, ha olyan régi rendszereink vannak, amelyek nem vihetők át az új modellbe.

- Sok vállalat költözik a felhőbe, amely kiváló hely a zéró bizalom modell megvalósítására, hangsúlyozza Cunningham. Mindazonáltal a komplex IT-környezetekkel és régi rendszerekkel rendelkező nagyvállalatok esetében a zéró bizalom bevezetése többlépcsős, többéves projekt, teszi hozzá Mann, aki szerint komoly kihívást jelent az áttérés során az informatikusok szemléletének átalakítása. A szakember szerint a vállalati informatikusok többségét ugyanis sajnálatos módon arra tanították, hogy alapból bízzon meg a saját környezetében, így abban a hitben ringatják magukat, hogy a tűzfal távol tartja a rosszfiúkat. Ez a gondolkodásmód tarthatatlan. Abból kell kiindulni, hogy a hackerek esetleg már be is hatoltak a hálózatba. Az új modellre áttérni kívánó szervezeteknek azt is meg kell érteniük, hogy a zéró bizalom fenntartása folyamatos erőfeszítéseket igényel csakúgy, mint más biztonsági protokollok betartatása.

A cikk

Megtekintés: 58