Model kepercayaan nol memperolehi stim dengan pakar keselamatan

"Jangan percaya, selalu sahkan." Bunyi seperti akal, kan? Itulah motto di sebalik strategi yang dipanggil Zero Trust, yang mendapat daya tarikan dalam dunia keselamatan siber. Ia melibatkan jabatan IT yang mengesahkan semua pengguna sebelum memberikan keistimewaan akses. Mengurus akses kepada akaun adalah lebih penting berbanding sebelum ini dengan 58 peratus data pelanggaran kecil dan menengah (SMB) melaporkan pelanggaran pada 2017, menurut Laporan Siasatan Pelanggaran Data Verizon 2018.

Konsep Zero Trust diasaskan oleh John Kindervag, bekas penganalisis di Forrester Research dan sekarang Field CTO di Palo Alto Networks. "Kita perlu memulakan strategi yang sebenar, dan itulah yang Zero Trust membolehkan, " kata Kindervag kepada penonton pada 30 Oktober di Sidang Kemuncak Amanah SecurIT Trust di New York City. Beliau menambah bahawa idea Zero Trust berasal ketika dia duduk dan benar-benar menganggap konsep kepercayaan, dan bagaimana pelaku yang berniat jahat yang pada umumnya mendapat keuntungan dari pihak-pihak yang mempercayai pihak yang tidak sepatutnya.

Dr Chase Cunningham menjadi pengganti Kindervag sebagai Penganalisis Utama di Forrester dalam memperjuangkan pendekatan Zero Trust Access. "Zero Trust adalah apa yang diperlukan dalam dua perkataan itu, yang bermaksud tidak percaya, tidak mempercayai pengurusan kata laluan, tidak mempercayai kepercayaan, tidak mempercayai pengguna, dan tidak mempercayai rangkaian, " kata Cunningham kepada PCMag di Zero Trust Sidang Kemuncak.

Kindervag menggunakan contoh Perkhidmatan Rahsia AS untuk menggambarkan bagaimana organisasi harus menjejaki apa yang mereka perlukan untuk melindungi dan yang memerlukan akses. "Mereka sentiasa memantau dan mengemas kini kawalan tersebut supaya mereka dapat mengawal apa yang transit perimeter mikro pada satu masa tertentu, " kata Kindervag. "Ini adalah kaedah perlindungan Perlindungan eksekutif Zero Trust. Ini adalah contoh visual terbaik yang kita cuba lakukan di Zero Trust."

Zero Trust Lessons Belajar di OPM

Satu contoh yang sempurna tentang bagaimana Zero Trust boleh berfungsi untuk memberi manfaat kepada organisasi datang dari bekas CIO kerajaan persekutuan AS. Pada Sidang Kemuncak Amanah Zero, Dr. Tony Scott, yang memegang jawatan CIO AS dari 2015 hingga 2017, menyifatkan pelanggaran data utama yang berlaku di Pejabat Pengurusan Personel AS (OPM) pada tahun 2014. Pelanggaran berlaku akibat pengintipan asing di mana maklumat latar belakang pelepasan keselamatan dan peribadi telah dicuri untuk 22.1 juta orang bersama data cap jari pada 5.6 juta individu. Scott menggambarkan betapa bukan sahaja kombinasi keselamatan digital dan fizikal yang diperlukan untuk menangkis pelanggaran ini, tetapi juga penerapan dasar Zero Trust yang berkesan.

Apabila orang akan memohon pekerjaan di OPM, mereka mengisi borang soal selidik Standard Form (SF) 86 yang lengkap dan data akan dijaga di sebuah gua oleh pengawal dan tangki bersenjata, katanya. "Jika anda adalah entiti asing dan anda ingin mencuri maklumat itu, anda perlu melancarkan gua ini di Pennsylvania dan melepasi pengawal bersenjata. Kemudian anda perlu meninggalkan dengan trak kertas atau mempunyai mesin Xerox yang sangat cepat atau sesuatu, "Kata Scott.

"Ia akan menjadi besar untuk cuba melarikan diri dengan 21 juta rekod, " katanya. "Tetapi perlahan-lahan, kerana automasi datang ke dalam proses OPM, kami mula meletakkan perkara ini dalam fail komputer pada media magnetik dan sebagainya. Itu menjadikannya lebih mudah dicuri." Scott menjelaskan bahawa OPM gagal mencari jenis keselamatan yang setara dengan pengawal bersenjata ketika agensi itu digital. Berikutan serangan itu, Kongres mengeluarkan laporan yang memanggil strategi Zero Trust untuk melindungi jenis pelanggaran di masa depan.

"Untuk memerangi ancaman yang berterusan untuk mencari kompromi atau mengeksploitasi rangkaian IT kerajaan persekutuan, agensi harus bergerak ke arah model 'Zero Trust' keselamatan maklumat dan seni bina IT, " kata laporan kongres tersebut. Bekas US Rep. Jason Chaffetz (R-Utah), kemudian Pengerusi Jawatankuasa Pengawasan, juga menulis jawatan mengenai Zero Trust pada masa itu, yang diterbitkan oleh Federal News Radio. "Pejabat Pengurusan dan Belanjawan (OMB) perlu membangunkan garis panduan bagi jabatan eksekutif dan ketua agensi untuk melaksanakan Zero Trust secara efektif bersama langkah-langkah untuk memvisualisasikan dan log semua trafik rangkaian, " tulis Chaffetz.

Sifar Amanah di Dunia Nyata

Dalam contoh sebenar pelaksanaan Zero Trust, Google mengerahkan secara dalaman inisiatif yang dipanggil BeyondCorp bertujuan untuk memindahkan kawalan akses dari perimeter rangkaian ke peranti dan pengguna individu. Pentadbir boleh menggunakan BeyondCorp sebagai cara untuk membuat dasar kawalan akses berbutir untuk Platform Awan Google dan Google G Suite berdasarkan alamat IP, status keselamatan peranti, dan identiti pengguna. Sebuah syarikat bernama Luminate menyediakan keselamatan Zero Trust sebagai perkhidmatan berdasarkan BeyondCorp. Luminate Secure Access Cloud mengesahkan pengguna, mengesahkan peranti, dan menawarkan enjin yang menyediakan skor risiko yang membenarkan akses aplikasi.

"Matlamat kami ialah dengan selamat menyediakan akses kepada mana-mana pengguna, dari mana-mana peranti, kepada mana-mana sumber korporat tanpa mengira di mana ia dihoskan, di awan atau di premis tanpa menggunakan mana-mana ejen di titik akhir atau apa-apa peralatan seperti rangkaian peribadi maya (VPN) firewall, atau proksi di tapak destinasi, "kata Michael Dubinsky, Ketua Pengurusan Produk di Luminate, kepada PCMag di Persidangan Perlindungan Identiti Hibrid (HIP) 2018 (HIP2018) di NYC.

Disiplin IT utama di mana Zero Trust semakin mendapat daya tarikan adalah pengurusan identiti. Ini mungkin kerana 80 peratus daripada pelanggaran disebabkan oleh salah guna kelayakan istimewa, menurut laporan "Forrester Wave: Privileged Identity Management, Q3 2016". Sistem yang mengawal akses yang dibenarkan ke tahap yang lebih terperinci boleh membantu mencegah insiden ini.

Ruang pengurusan identiti bukan baru, dan terdapat senarai panjang syarikat yang menawarkan penyelesaian seperti ini, dengan kemungkinan Microsoft dan platform Active Directory (AD) yang paling meluas, yang tertanam dalam sistem operasi Windows Server yang masih populer (OS). Bagaimanapun, ada pemain baru yang dapat menawarkan bukan sahaja lebih banyak fungsi berbanding AD, tetapi juga boleh membuat pengurusan identiti lebih mudah untuk dilaksanakan dan diselenggarakan. Syarikat-syarikat sedemikian termasuk pemain seperti Centrify, Idaptive, Okta, dan SailPoint Technologies.

Dan sementara mereka yang telah melabur dalam Windows Server mungkin tidak akan membayar lebih banyak untuk teknologi, mereka rasa mereka telah melabur dalam, seni bina pengurusan identiti yang lebih baik dan lebih baik dapat membuat dividen yang besar dalam pelanggaran dan audit kepatuhan yang tidak dapat dipertahankan. Tambahan pula, kosnya tidak terlalu tinggi, walaupun ia boleh menjadi penting. Sebagai contoh, Centrify Perkhidmatan Infrastruktur bermula pada $ 22 sebulan bagi setiap sistem.

Bagaimana Zero Trust berfungsi

"Salah satu perkara yang Zero Trust tidak menentukan segmentasi rangkaian, " kata Kindervag. Segmentasi adalah konsep utama dalam pengurusan rangkaian dan keselamatan siber. Ia melibatkan pemisahan rangkaian komputer ke subnetwork, sama ada secara logik atau fizikal, untuk meningkatkan prestasi dan keselamatan.

Senibina Amanah Zero bergerak melampaui model perimeter, yang merangkumi lokasi fizikal rangkaian. Ia melibatkan "menolak perimeter ke entiti, " kata Cunningham.

"Entiti itu boleh menjadi pelayan, pengguna, peranti, atau titik akses, " katanya. "Anda menolak kawalan ke paras mikro dan bukannya berfikir bahawa anda telah membina tembok yang sangat tinggi dan anda selamat." Cunningham menerangkan firewall sebagai sebahagian dari perimeter yang biasa. "Ia masalah pendekatan dan strategi dan perimeter, " katanya. "Dinding tinggi dan satu perkara yang besar: mereka tidak berfungsi."

Untuk mendapatkan akses kepada rangkaian, aspek keselamatan yang lama menggunakan router, menurut Danny Kibel, CEO baru Idaptive, sebuah syarikat pengurusan identiti yang berputar dari Centrify. Sebelum Zero Trust, syarikat akan mengesahkan dan kemudian percaya. Tetapi dengan Zero Trust, anda "sentiasa mengesahkan, tidak pernah percaya, " jelas Kibel.

Idaptive menawarkan platform akses Next-Gen yang termasuk Single Sign-On (SSO), pengesahan multifactor adaptif (MFA), dan pengurusan peranti mudah alih (MDM). Perkhidmatan seperti Idaptive menyediakan cara untuk mewujudkan kawalan berbentuk semestinya pada akses. Anda boleh menyediakan atau menolak peruntukan berdasarkan siapa yang memerlukan akses kepada pelbagai aplikasi. "Ia memberikan keupayaan yang baik untuk organisasi untuk mengawal aksesnya, " kata Kibel. "Dan itu sangat penting bagi organisasi yang kita lihat kerana terdapat banyak kelonggaran dari segi akses yang tidak dibenarkan."

Kibel mendefinisikan pendekatan Idaptive untuk Zero Trust dengan tiga langkah: mengesahkan pengguna, mengesahkan peranti mereka, dan kemudian hanya membenarkan akses kepada aplikasi dan perkhidmatan untuk hanya pengguna tersebut. "Kami mempunyai pelbagai vektor untuk menilai tingkah laku pengguna: lokasi, geo-halaju, masa hari, waktu minggu, jenis aplikasi yang anda gunakan, dan walaupun dalam beberapa kes bagaimana anda menggunakan aplikasi itu, " kata Kibel. Monitor Idaptif memantau percubaan masuk yang berjaya dan gagal untuk melihat apabila perlu mengulang semula pengesahan atau menyekat pengguna sama sekali.

Pada 30 Oktober, Centrify memperkenalkan pendekatan keselamatan siber yang dikenali sebagai Zero Trust Privilege di mana syarikat-syarikat memberi akses ke kekayaan yang diperlukan dan mengesahkan siapa yang meminta akses. Empat langkah proses Zero Trust Privilege termasuk mengesahkan pengguna, melihat ke dalam konteks permintaan, mendapatkan persekitaran pentadbir, dan memberikan paling sedikit keistimewaan yang diperlukan. Pendekatan Privilege Zero Trust Centrify melibatkan pendekatan bertahap untuk mengurangkan risiko. Ia juga membawa peralihan dari Pengurusan Akses Keistimewaan (PAM) warisan, yang merupakan perisian yang membolehkan syarikat menyekat akses kepada jenis persekitaran yang lebih baru seperti platform penyimpanan awan, projek data besar, dan bahkan projek pembangunan aplikasi khusus yang lanjutan yang dijalankan dalam web gred perniagaan kemudahan hosting.

Model Zero Trust menganggap bahawa penggodam sudah mengakses rangkaian, kata Tim Steinkopf, Presiden Centrify. Strategi untuk memerangi ancaman ini adalah untuk mengehadkan pergerakan sisi dan memohon MFA di mana-mana, menurut Steinkopf. "Setiap kali seseorang cuba mengakses persekitaran yang istimewa, anda perlu segera mempunyai kelayakan yang betul dan akses yang betul, " kata Steinkopf kepada PCMag. "Cara untuk menguatkuasakan itu adalah untuk menyatukan identiti, dan kemudian anda memerlukan konteks permintaan itu, yang bermaksud siapa, apa, bila, mengapa dan di mana." Selepas itu, anda hanya memberikan jumlah akses yang diperlukan, kata Steinkopf.

"Anda mengambil konteks pengguna, di mana ia boleh menjadi doktor, ia boleh menjadi jururawat, atau mungkin ada orang lain yang cuba mengakses data, " kata Dubinsky. "Anda mengambil konteks peranti dari mana mereka bekerja, anda mengambil konteks fail yang mereka cuba akses, dan kemudian anda perlu membuat keputusan akses berdasarkan itu."

MFA, Zero Trust, dan Amalan Terbaik

Aspek utama model Zero Trust adalah pengesahan yang kuat, dan membenarkan beberapa faktor pengesahan adalah sebahagian daripada itu, kata Hed Kovetz, Ketua Pegawai Eksekutif dan Pengasas Bersama Silverfort, yang menawarkan penyelesaian MFA. Dengan kekurangan perimeter dalam era awan, terdapat keperluan yang lebih besar untuk mengesahkan berbanding sebelum ini. "Keupayaan untuk melakukan apa-apa MFA adalah hampir satu keperluan asas bagi Zero Trust, dan tidak mustahil untuk dilakukan hari ini kerana Zero Trust berasal dari idea di mana tidak ada perimeter lagi, " kata Kovetz kepada PCMag di HIP2018. "Jadi apa sahaja yang menghubungkan dengan apa-apa, dan dalam realiti ini, anda tidak mempunyai pintu masuk yang mana anda boleh mengaplikasikan kawalan."

Forrester's Cunningham telah menggariskan strategi yang dipanggil Zero Trust eXtended (XTX) untuk memetakan keputusan pembelian teknologi kepada strategi Zero Trust. "Kami benar-benar melihat tujuh keping kawalan yang anda perlukan untuk menguruskan persekitaran dengan selamat, " kata Cunningham. Tujuh pilar ini ialah Automasi dan Orchestration, Kebolehlihatan dan Analitis, Beban Kerja, Orang, Data, Rangkaian, dan Peranti. Untuk menjadi platform ZTX, sistem atau teknologi akan mempunyai tiga tiang ini bersama-sama dengan keupayaan pengaturcaraan antara muka aplikasi (API). Beberapa vendor yang menawarkan penyelesaian keselamatan sesuai dalam pelbagai tiang rangka kerja. Centrify menawarkan produk yang menangani keselamatan orang dan peranti, Palo Alto Networks dan Cisco menawarkan penyelesaian rangkaian, dan penyelesaian Security Guardium IBM memberi tumpuan kepada perlindungan data, kata Cunningham.

Model Zero Trust juga perlu melibatkan terowong terenkripsi, awan lalu lintas, dan penyulitan berasaskan sijil, kata Steinkopf. Jika anda menghantar data dari iPad melalui internet, maka anda ingin mengesahkan bahawa penerima berhak mengakses, jelasnya. Menerapkan trend teknologi baru seperti bekas dan DevOps boleh membantu memerangi penyalahgunaan yang diberi kuasa istimewa, menurut Steinkopf. Beliau juga menerangkan pengkomputeran awan sebagai di barisan hadapan strategi Zero Trust.

Dubinky Luminate bersetuju. Bagi SMB, beralih kepada syarikat awan yang menyediakan pengurusan identiti atau MFA sebagai perkhidmatan yang memindahkan tanggungjawab keselamatan ini kepada syarikat yang mengkhususkan diri di kawasan itu. "Anda ingin memuatkan seberapa banyak yang anda boleh kepada syarikat dan orang yang bertanggungjawab sebagai pekerjaan hari mereka, " kata Dubinsky.

Potensi Kerangka Amanah Sifar

Walaupun pakar mengakui bahawa syarikat beralih kepada model Zero Trust, terutamanya dalam pengurusan identiti, ada yang tidak melihat perubahan besar dalam infrastruktur keselamatan untuk mengguna pakai Zero Trust. "Saya tidak pasti ia adalah satu strategi yang saya mahu mengamalkan pada tahap mana-mana hari ini, " kata Sean Pike, Naib Presiden Program untuk Kumpulan Produk Keselamatan IDC. "Saya tidak yakin bahawa kalkulus ROI wujud dalam jangka masa yang masuk akal. Terdapat beberapa perubahan seni bina dan isu-isu kakitangan yang saya fikir menjadikan kos itu terlalu mahal sebagai strategi."

Walau bagaimanapun, Pike melihat potensi untuk Zero Trust dalam telekomunikasi dan IDM. "Saya fikir terdapat komponen yang boleh diterima pakai hari ini yang tidak memerlukan perubahan seni bina-identiti borong, contohnya, " kata Pike. "Walaupun mereka dikaitkan, perasaan saya yang kuat adalah bahawa penggunaan tidak semestinya satu langkah strategik ke arah Zero Trust tetapi sebaliknya satu langkah untuk menangani cara-cara baru pengguna menyambung dan keperluan untuk beralih dari sistem berasaskan kata laluan dan meningkatkan pengurusan akses, " Pike dijelaskan.

Walaupun Zero Trust boleh ditafsirkan sebagai sedikit konsep pemasaran yang mengulangi beberapa prinsip standard keselamatan siber, seperti tidak mempercayai pendatang ke rangkaian anda dan perlu mengesahkan pengguna, ia berfungsi sebagai tujuan sebagai pelan permainan, menurut pakar. "Saya seorang penyokong yang besar untuk Zero Trust, bergerak ke arah mantra semacam itu, semacam strategik dan memperjuangkan organisasi itu, " kata Forrester Cunningham.

Idea Zero Trust yang diperkenalkan oleh Forrester pada tahun 2010 bukan baru dalam industri keselamatan siber, kata John Pescatore, Pengarah Trend Keselamatan yang Muncul di Institut SANS, sebuah organisasi yang menyediakan latihan dan pensijilan keselamatan. "Itu cukup definisi keselamatan cybersecurity-cuba untuk menjadikan segalanya selamat, segmen rangkaian anda, dan menguruskan hak pengguna, " katanya.

Pescatore berkata pada tahun 2004, sebuah organisasi keselamatan yang dipanggil sekarang yang dikenali sebagai Forum Jericho memperkenalkan idea-idea yang sama seperti Forrester mengenai "keselamatan tanpa perimeter" dan disyorkan hanya membenarkan sambungan yang dipercayai. "Ini seperti berkata, 'Bergerak di mana-mana yang tidak mempunyai penjenayah dan cuaca yang sempurna, dan anda tidak memerlukan bumbung atau pintu di rumah anda, ' kata Pescatore. "Zero Trust sekurang-kurangnya dikembalikan dalam pengertian umum segmen-anda selalu segmen dari internet dengan perimeter."

• Beyond the Perimeter: Bagaimana Melakukan Keamanan Layered Di Luar Perimeter: Bagaimana Melakukan Keamanan Layered
• NYC Venture Berminat untuk Berfungsi Pekerjaan, Inovasi dalam Cybersecurity NYC Venture Berjumpa untuk Berani Pekerjaan, Inovasi dalam Cybersecurity
• Cara Bersedia untuk Pelanggaran Keselamatan Seterusnya Anda Cara Sediakan untuk Pelanggaran Keselamatan Seterusnya Anda

Sebagai alternatif kepada model Zero Trust, Pescatore mengesyorkan berikutan Pusat Kawalan Keselamatan Kritikal Pusat untuk Internet. Pada akhirnya, Zero Trust pasti dapat membawa manfaat walaupun gembar-gembur. Tetapi, seperti yang dipetik Pescatore, sama ada ia dipanggil Zero Trust atau sesuatu yang lain, strategi jenis ini masih memerlukan kawalan asas.

"Ia tidak mengubah hakikat bahawa untuk melindungi perniagaan, anda perlu membangunkan proses dan kawalan kebersihan dasar asas serta mempunyai kakitangan yang mahir untuk memastikan mereka berjalan dengan berkesan dan cekap, " kata Pescatore. Itu lebih daripada pelaburan kewangan untuk kebanyakan organisasi, dan satu syarikat perlu memberi tumpuan untuk berjaya.