Нулевое доверие: что это значит?

22/08/22

Мир безопасности постоянно развивается, а вместе с ним язык, используемый техническими специалистами и индустрией безопасности, и новые технологии.

Одним из терминов, все чаще встречающихся в прошлом году, является «нулевое доверие». Но уверены ли мы, что знаем, что это такое?

Как я всегда делаю в таких случаях, целесообразно исходить из начала, т. е. из определения.

Чтобы понять, что это значит Zero Trust полезно найти справочную публикацию, в данном случае это NIST 800-207. Как уже неоднократно упоминалось, NIST (Национальный институт стандартов и технологий Министерства торговли Соединенных Штатов Америки) является неиссякаемым источником информации.

Публикация 800-207, в частности, посвящена структуре Zero Trust

На данный момент это эталонный стандарт как для американских государственных организаций (обязательно с мая 2021 года после указа президента Байдена), так и для всех тех, кто так или иначе имеет отношение к распределенной и облачной модели работы. По данным Gartner, к 2025 году не менее 60% организаций (государственных и частных) будут использовать эту структуру. Zero Trust.

Ключевых принципов структуры 800-207, по сути, три:

- непрерывная проверка. То есть никогда ничему и никому не доверяйте;

- ограничение круга интересов в случае аварии. Внедрить ряд процедур и технических мер для ограничения ущерба, причиненного возможной аварией;

- автоматический и непрерывный сбор контекстных и поведенческих данных для обеспечения точного ответа.

модель Zero Trust основан на предположении, что однократной проверки пользователя, его привилегий и используемых устройств и сервисов недостаточно, чтобы гарантировать безопасность постоянно развивающейся системы, в которой также постоянно развиваются технологии и риски.

Термин «нулевое доверие» был введен Джоном Киндервагом (аналитиком Forrester Research) в значении никогда не доверяй и всегда проверяй!

Конечно, это означает сбор большого количества данных и информации, которые при обработке позволяют иметь точное представление о положении пользователей (привилегии, время, места вероятного подключения и т. д.), устройствах, сервисах и рисках. которым подчиняется наша организация.

Как вы можете догадаться, это непростая работа, но, учитывая нынешний уровень риска, наверное, необходимая. 

Переход к организации «Нулевого доверия» непрост, поскольку это влияет на то, как люди работают, и, следовательно, может вызвать естественное сопротивление изменениям, поэтому задача директора по информационной безопасности становится еще более сложной, по крайней мере, на этапах определения проекта и т. д. как правило, на первых этапах применения.

На некоторых рынках это может означать, что компаниям необходимо ожидать увеличения гонораров за консультационные услуги в ближайшей перспективе.

При ближайшем рассмотрении необходимо применить принцип Zero Trust также на уровне разработки программного обеспечения и взаимодействия между различными компонентами инфраструктуры. На самом деле, многие атаки основаны на отсутствии или слабости инструментов аутентификации и постоянной проверки целостности между различными модулями. Модель Zero Trust он находит применение как на микроуровне (аппаратное обеспечение, операционная система, программные компоненты...), так и на макроуровне (взаимодействие между системами, организация бизнеса...).

В целом, для успеха такой программы чрезвычайно важны внутренняя коммуникация и способность поддерживать потребности пользователей, но прежде всего внутренняя подготовка персонала, как для повышения уровня осведомленности о киберрисках, так и для сведения к минимуму сопротивления изменениям. 

Как мы уже говорили, NIST 800-207 является эталонной структурой, но, конечно, основные сигнатуры безопасности имеют свое собственное отклонение от концепции «Нулевого доверия», которая часто относится к их собственным продуктам. 

Это значит, как всегда, риски блокировка поставщика, что они должны быть тщательно оценены перед внедрением любой программы, но это всегда так.  

Алессандро Руголо, Маурицио Д’Амато, Джорджио Джачинто

Для углубления:

Что такое безопасность с нулевым доверием? Принципы модели нулевого доверия (crowdstrike.com)

Что такое нулевое доверие? | IBM

Модель нулевого доверия — современная архитектура безопасности | Безопасность Майкрософт

Определение нулевого доверия после указа администрации Байдена о кибербезопасности | Силовая точка

Исполнительный указ о повышении национальной кибербезопасности - Белый дом

Universal ZTNA — основа вашей стратегии нулевого доверия | SecurityWeek.Com

оборона рейнметалла