Cyber threat management: Zero Trust

Vytáhli deset let starý buzzword nulové důvěry, tzv. Zero Trust, zkr. ZT a přicházejí s ním jako se zcela novou a převratnou myšlenkou.

Ano, pro mladou generaci může být možná skutečně nová, ale ne pro nás, co se v oboru informační bezpečnosti pohybujeme již od samého začátku, kdy ověřování uživatele, striktní řízení přístupu a oddělení zdrojů bylo naprosto běžným požadavkem.

Že se princip Zero Trust Architecture, zkr. ZTA objevil zrovna teď, a získal i podobu standardu NIST 800-27 Zero Trust Architecture, není vůbec žádným překvapením. Stále více zaměstnanců se připojuje z domova, přes internet ze svého soukromého zařízení a k systémům a datům společnosti, které jsou umístěny kdesi v cloudu.

Už se také nedá hovořit o tom, co je uvnitř a vně a kdy se jedná o přístup zevnitř ven anebo z venku dovnitř. Jinými slovy není možné každého pustit všude, a je nezbytně nutné kontrolovat, kdo, co, kdy, odkud a kam přistupuje a jaká data přenáší.

Jinými slovy není možné každého pustit všude, a je nezbytně nutné kontrolovat, kdo, co, kdy, odkud a kam přistupuje a jaká data přenáší a s každým takovým přístupem je nutné vyhodnotit, zda je oprávněný.

V takových podmínkách nelze samozřejmě důvěřovat nikomu a ničemu, a proto se hovoří o principech Zero Trust people (nedůvěřuje se lidem), Zero Trust  devices (nedůvěřuje se zařízením připojeným do sítě), Zero Trust network (nedůvěřuje se síti), Zero Trust application (nedůvěřuje se aplikacím) a Zero Trust data (nedůvěřuje se datům) a vše se musí kontrolovat. V praxi to ovšem znamená, že je nutné:

  • identifikovat a autentizovat uživatele ideálně za použití vícefaktorové autentizace (multifactor authentiction);
  • provést klasifikaci dat, aby bylo zřejmé, která data si zasluhují největší pozornost z pohledu důvěrnosti (data classification);
  • striktně řídit přístup, aby se k nim dostal jen ten, který jej nezbytně nutně potřebuje pro výkon své práce (princip need-to-know);
  • přidělovat jen nezbytně nutná oprávnění pro práci v systému (princip least privilege),
  • oddělovat od sebe jednotlivé servery, aby se v případě průniku zabránilo napadání dalších zdrojů (síťová segmentace),
  • oddělovat od sebe jednotlivé aplikace, spouštět je na samostatných virtuálních serverech anebo alespoň kontejnerech (aplikační mikrosegmentace),
  • šifrovat data v úložišti i přenosu a zároveň kontrolovat, jaká data jsou po síti přenášena, aby se zabránilo jejich úniku (data leakage prevention)
  • monitorovat datové toky, aby se odhalily případné nestandardní datové toky (network behavior analysis)

Ve všech případech je nutné co nejdříve identifikovat průnik do sítě, přítomnost malware detekovat, a zabránit jeho dalšímu šíření a napadání dalších zdrojů v síti (lateral movement), což jde ruku v ruce s myšlenkou cyber resilience.

Tedy něco, co říkáme od samého začátku, ale co se roky v mnoha organizacích nedělalo. Jen se konsolidovalo, virtualizovalo, vše se povolovalo a otevíralo světu a nyní, když se stále více organizací stává cílem útoku, se objevují experti, kteří začínají znovu objevovat kolo a přicházet na to, a že největší hrozbou je samotný zaměstnanec, a že to takhle dál nejde a je nutné bezpečnost začít opravdu řešit.

Někdy však managementu trvá neskutečně dlouho, než tuto prostou pravdu pochopí. A jakékoliv bezpečnostní školení a snaha o vytváření pozitivního business casu a zajišťování souladu s business cíli za účelem dosahování vize a mise přichází vniveč.

Možná to chce od určité úrovně managementu volit trochu primitivnější formu komunikace. Takže co zkusit myšlenku onoho slavného Zero Trust a všudypřítomné bezpečnosti příště vysvětlovat třeba nějak takto:

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,


K článku “Cyber threat management: Zero Trust” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: