Specjaliści od cyberbezpieczeństwa coraz częściej rozważają zmianę strategii ochrony. Niejednokrotnie oznacza to zwrot o 180 stopni, jakim jest przejście z modelu bazującego na dużym zaufaniu do Zero Trust. Koncepcja Zero Trust po raz pierwszy ujrzała światło dzienne ponad dekadę temu. Jej autorem jest John Kindervag, wówczas analityk Forrester Analytics, a obecnie wiceprezydent ON2IT Cybersecurity. Jednak dopiero od niedawna Zero Trust stał się przedmiotem ożywionych dyskusji w branży cyberbezpieczeństwa. Dlaczego tak późno?
Eksperci zajmujący się bezpieczeństwem IT zaraz po wybuchu pandemii, a tym samym po wzroście liczby zdalnych pracowników, zaczęli dostrzegać mankamenty stosowanego od lat tak zwanego modelu zamka i fosy. Jego idea jest stosunkowo prosta.
Firewalle oraz wielofunkcyjne systemy UTM spełniają rolę fosy chroniącej firmową infrastrukturę przed intruzami. Natomiast rolę zamku spełnia siedziba firma wraz z pracownikami. Dział IT darzy ich niemal bezgranicznym zaufaniem, pozwalając na nieograniczoną swobodę w posługiwaniu się firmowym sprzętem oraz dostępie do danych. Taka polityka z jednej strony zwiększa efektywność pracy, zaś z drugiej, prowadzi do poważnych nadużyć. Pracownicy nieświadomie lub celowo ułatwiają dostanie się do „zamku” napastnikom, którzy następnie penetrują systemy wewnętrzne.
W czasie pandemii wielu pracowników opuściło „zamek” i znalazło się poza „murem”. Tym samym dane uległy rozproszeniu pomiędzy różnymi dostawcami usług chmurowych, lokalnymi serwerowniami i komputerami zdalnych pracowników. To znacznie zwiększyło powierzchnię ataku i uzmysłowiło wielu szefom IT, że nadszedł czas, aby wprowadzić radykalne zmiany w strategii bezpieczeństwa. Niektórzy z nich już zaczęli działać zgodnie z zasadą „nigdy nie ufaj, zawsze sprawdzaj”. Najwięksi zwolennicy „zerowego zaufania” chcą, aby takie działania obejmowały nie tylko tożsamość, ale również urządzenia, aplikacje, dane, infrastrukturę oraz sieci.
– Wybór odpowiedniej metody nie jest sprawą prostą. Osoby odpowiedzialne za IT będą musiały odnaleźć równowagę pomiędzy bezpieczeństwem sieci, a komfortem pracy personelu. Wprowadzenie nadmiernych restrykcji może negatywnie odbić się na produktywności pracowników. Wyobraźmy sobie na przykład nową osobę, która w pierwszym tygodniu pracy jest pozbawiona dostępu do firmowych danych. Trzeba być wyjątkowo ostrożnym, ponieważ w krańcowych przypadkach spadek produktywności może stać się większym problemem niż ataki hakerów. – mówi Robert Dziemianko, Marketing Manager w G DATA Software.
Dlaczego warto być nieufnym
Koncepcja Zero Trust stanowi wyraźny kontrast w stosunku do tradycyjnych struktur bezpieczeństwa, w których mniej ufa się osobom z zewnątrz, niż tym pracującym przy firmowych biurkach. Zakłada ona, że nie istnieją granice, ponieważ z natury nic i nikt nie jest godny zaufania. Największą jej zaletą jest ochrona przed nieautoryzowanym dostępem do wrażliwych danych i zasobów cyfrowych. Zero Trust wymaga od administratorów wnikliwej kontroli infrastruktury korporacyjnej pod kątem lokalizacji zasobów, także jej użytkowników, aplikacji i realizowanych usług. W ten sposób udaje się upiec dwie pieczenie na jednym ogniu: zwiększyć poziom bezpieczeństwa i ograniczyć wydatki na IT.
Architekturę Zero Trust można również potraktować jako polisę ubezpieczeniową na wypadek utraty lub kradzieży danych. Biorąc pod uwagę, że koszt pojedynczego naruszenia danych przekracza obecnie 4 miliony dolarów, wdrożenie i zarządzanie ramami cyberbezpieczeństwa o zerowym zaufaniu w celu zapobiegania tego typu stratom należy postrzegać jako dobrze wydane pieniądze.
Zero Trust z jednej strony może uprzykrzać życie pracowników, ale pozwala jednocześnie uwolnić ich od zapamiętywania haseł. Jednym z kluczowych elementów Zero Trust jest technika pojedynczego logowania (SSO), która pozwala użytkownikom zalogować się raz, aby uzyskać dostęp do wszystkiego, czego potrzebują. Metoda pomaga wyeliminować niewłaściwe zarządzanie hasłami, umożliwiając użytkownikom łatwe dotarcie do potrzebnych zasobów.
Zero Trust – tor z przeszkodami
Zero Trust wygląda bardzo dobrze na na slajdach Power Pointa, ale w praktyce realizacja tej koncepcji wymaga sporego wysiłku i nakładów finansowych. Na pewno nie jest to architektura dla wszystkich, choć niektórzy mają na ten temat inne zdanie. Szczególnie trudne może być zastosowanie tej koncepcji w korporacyjnych molochach i firmach używających starszych systemów bezpieczeństwa IT.
Zero Trust wymaga dużego zaangażowania ze strony administratorów, bowiem bazuje na rozległej sieci zdefiniowanych uprawnień. Najwięcej pracy mają admini w organizacjach, w których zachodzą dynamiczne zmiany – personel przejmuje nowe zadania lub zmienia lokalizacje, występuje duża rotacja pracowników. W takich przypadkach reguły kontroli dostępu muszą być każdorazowo aktualizowane, aby zapewnić możliwość korzystania z określonych informacji właściwym osobom.
Pewnego rodzaju problemem jest brak zrozumienia samego pojęcia. Niektórym osobom wydaje się, że Zero Trust można kupić w sklepie. Tymczasem jest zbiór zasad bezpieczeństwa wdrażanych pod parasolem konkretnej architektury.
Robert Dziemianko doradza zarówno użytkownikom indywidualnym, jak i właścicielom małych firm, aby spojrzeć na Zero Trust nieco z innej perspektywy niż średnie i duże przedsiębiorstwa.
– Zasadę można równie dobrze stosować każdy internauta i to bez konieczności wymiany oprogramowania czy domowego sprzętu. Rzecz w tym, aby nie ufać e-mailom pochodzącym od nieznajomych, a tym samym nie otwierać załączników bądź nie klikać w linki zamieszczone w wiadomościach od anonimowych nadawców. Z maksymalną nieufnością należy podchodzić do super promocji czy komunikatów oznajmiających, iż wypełniając formularz online możesz wygrać najnowszy model „iPhone’a” – mówi Robert Dziemianko.