Cyber threat management: Zero Trust

Vytáhli deset let starý buzzword nulové důvěry, tzv. Zero Trust, zkr. ZT a přicházejí s ním jako se zcela novou a převratnou myšlenkou.

Ano, pro mladou generaci může být možná skutečně nová, ale ne pro nás, co se v oboru informační bezpečnosti pohybujeme již od samého začátku, kdy ověřování uživatele, striktní řízení přístupu a oddělení zdrojů bylo naprosto běžným požadavkem.

Že se princip Zero Trust Architecture, zkr. ZTA objevil zrovna teď, a získal i podobu standardu NIST 800-27 Zero Trust Architecture, není vůbec žádným překvapením. Stále více zaměstnanců se připojuje z domova, přes internet ze svého soukromého zařízení a k systémům a datům společnosti, které jsou umístěny kdesi v cloudu.

Už se také nedá hovořit o tom, co je uvnitř a vně a kdy se jedná o přístup zevnitř ven anebo z venku dovnitř. Jinými slovy není možné každého pustit všude, a je nezbytně nutné kontrolovat, kdo, co, kdy, odkud a kam přistupuje a jaká data přenáší.

Jinými slovy není možné každého pustit všude, a je nezbytně nutné kontrolovat, kdo, co, kdy, odkud a kam přistupuje a jaká data přenáší a s každým takovým přístupem je nutné vyhodnotit, zda je oprávněný.

V takových podmínkách nelze samozřejmě důvěřovat nikomu a ničemu, a proto se hovoří o principech Zero Trust people (nedůvěřuje se lidem), Zero Trust  devices (nedůvěřuje se zařízením připojeným do sítě), Zero Trust network (nedůvěřuje se síti), Zero Trust application (nedůvěřuje se aplikacím) a Zero Trust data (nedůvěřuje se datům) a vše se musí kontrolovat. V praxi to ovšem znamená, že je nutné:

  • identifikovat a autentizovat uživatele ideálně za použití vícefaktorové autentizace (multifactor authentiction);
  • provést klasifikaci dat, aby bylo zřejmé, která data si zasluhují největší pozornost z pohledu důvěrnosti (data classification);
  • striktně řídit přístup, aby se k nim dostal jen ten, který jej nezbytně nutně potřebuje pro výkon své práce (princip need-to-know);
  • přidělovat jen nezbytně nutná oprávnění pro práci v systému (princip least privilege),
  • oddělovat od sebe jednotlivé servery, aby se v případě průniku zabránilo napadání dalších zdrojů (síťová segmentace),
  • oddělovat od sebe jednotlivé aplikace, spouštět je na samostatných virtuálních serverech anebo alespoň kontejnerech (aplikační mikrosegmentace),
  • šifrovat data v úložišti i přenosu a zároveň kontrolovat, jaká data jsou po síti přenášena, aby se zabránilo jejich úniku (data leakage prevention)
  • monitorovat datové toky, aby se odhalily případné nestandardní datové toky (network behavior analysis)

Ve všech případech je nutné co nejdříve identifikovat průnik do sítě, přítomnost malware detekovat, a zabránit jeho dalšímu šíření a napadání dalších zdrojů v síti (lateral movement), což jde ruku v ruce s myšlenkou cyber resilience.

Tedy něco, co říkáme od samého začátku, ale co se roky v mnoha organizacích nedělalo. Jen se konsolidovalo, virtualizovalo, vše se povolovalo a otevíralo světu a nyní, když se stále více organizací stává cílem útoku, se objevují experti, kteří začínají znovu objevovat kolo a přicházet na to, a že největší hrozbou je samotný zaměstnanec, a že to takhle dál nejde a je nutné bezpečnost začít opravdu řešit.

Někdy však managementu trvá neskutečně dlouho, než tuto prostou pravdu pochopí. A jakékoliv bezpečnostní školení a snaha o vytváření pozitivního business casu a zajišťování souladu s business cíli za účelem dosahování vize a mise přichází vniveč.

Možná to chce od určité úrovně managementu volit trochu primitivnější formu komunikace. Takže co zkusit myšlenku onoho slavného Zero Trust a všudypřítomné bezpečnosti příště vysvětlovat třeba nějak takto:

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: , ,


K článku “Cyber threat management: Zero Trust” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: