«Нулевое доверие»: ключевые принципы и применение в современной ИБ
Всё в этом мире уже придумано. То, что сейчас преподносится как новинка, часто является переосмыслением давно существующих подходов, техник и решений благодаря усилиям маркетинговых кампаний. Это относится и к подходам к обеспечению информационной безопасности в компании. Например, несмотря на современную популярность рискориентированного подхода под различными названиями, его суть не изменилась с момента появления.
ПОТЕРЯ ОБЪЕКТИВНОСТИ
Основой данного подхода является определение критичности активов, что подразумевает экспертную оценку. А это, в свою очередь, приводит к потере объективности. В итоге при внедрении рискориентированного подхода в ИБ мы стремимся сконцентрироваться в первую очередь на недопущении критичных событий, но рискуем упустить из виду другие критичные, но недооценённые в силу субъективности риски.
Поэтому, безусловно, имеет смысл постараться минимизировать влияние экспертной субъективности. Например, считая критичным всё и виноватыми всех по умолчанию. Для этого можно обратиться к существующим методологиям, которые за годы своего существования подтвердили свою актуальность и универсальность.
КОНЦЕПЦИЯ ZEROTRUST
Концепция Zero Trust, или «нулевого доверия», пересматривает рабочие процессы на основе отсутствия доверия к любому пользователю перед началом каждой операции. Как и рискориентированный подход, Zero Trust сформулирован достаточно давно, но представляется более применимым в современных условиях. Во многих исследованиях, проведённых «Лабораторией Касперского», мы обнаруживаем, что часто самые разрушительные атаки связаны с рисками, которые не были учтены просто потому, что вектор атаки совершенно новый и связан, например, с развитием технологий, используемых в инфраструктуре.
ПРИНЦИПЫ ZERO TRUST
О том, что собой представляет данная концепция, как она реализуется и насколько применима в условиях современного ИТ-ландшафта, сказано довольно много, поэтому тут приведём только принципы из NIST SP 800-207 — Zero Trust Architecture, на которых основана концепция:
- Принцип «нулевого доверия»: ни одна сущность в сети не считается автоматически доверенной. Все запросы и доступы должны быть проверены и авторизованы независимо от их источника или положения в сети.
- Микропериметры: рекомендуется создание микропериметров для сегментации сети на мелкие и контролируемые зоны. Это позволяет ограничить доступ и уменьшить поверхность атаки.
- Многофакторная аутентификация: использование нескольких методов аутентификации (например, пароль и биометрические данные) для повышения безопасности.
- Постоянный мониторинг: важность непрерывного мониторинга сети и активности пользователей для обнаружения подозрительных действий или аномалий.
- Политики доступа: разработка и применение строгих политик доступа, определяющих условия предоставления доступа к ресурсам сети.
- Шифрование: использование шифрования для защиты данных в пути и в покое.
- Управление идентификацией и доступом (IAM): использование системы управления идентификацией и доступом для эффективного контроля над правами доступа пользователей.
- Сегментация сети: разделение сети на сегменты с использованием сетевых механизмов и политик безопасности.
- Автоматизация и оркестрация: использование автоматизации для более эффективного и надёжного управления безопасностью.
- Анализ поведения и обнаружение угроз: использование технологий и методик для обнаружения подозрительного поведения и предотвращения угроз.
- Автоматическая реакция на угрозы: реагирование на обнаруженные угрозы автоматически или с минимальным участием человека.
- Использование облачных сервисов: при необходимости использования облачных сервисов учитывать контекст архитектуры Zero Trust.
- Обучение персонала: обучение сотрудников и периодическое обновление их знаний в области информационной безопасности.
- Управление рисками: оценка и управление рисками, связанными с безопасностью сети и ресурсов.
- Непрерывное обновление и патчинг систем: регулярное обновление и установка патчей для операционных систем и приложений.
- Отслеживание и аудит активности пользователей: мониторинг и регистрация активности пользователей для обеспечения прозрачности и отслеживания потенциальных нарушений безопасности.
- Защита от вредоносного программного обеспечения: применение методов и технологий для предотвращения и обнаружения вредоносного программного обеспечения.
- Управление конфиденциальностью и целостностью данных: защита данных от несанкционированного доступа и внесения изменений.
- Резервное копирование и восстановление данных: регулярное создание резервных копий данных и возможность восстановления в случае сбоев или атак.
- Мониторинг и защита конечных точек: обеспечение безопасности устройств и конечных точек, включая мобильные устройства и компьютеры.
ПРЕИМУЩЕСТВА МИНИМИЗАЦИИ
Перечисленные принципы можно разделить на те, которые относятся к организации процессов, и те, которые реализуются благодаря использованию соответствующих средств защиты информации (СЗИ). Если мы говорим о необходимости выбора СЗИ, то сталкиваемся с рядом сопутствующих сложностей. Одна из основных — множество вариантов решений от разных поставщиков. И тут хочется отметить, что найти единого поставщика всех средств защиты совсем непростая задача, но при этом минимизация количества производителей будет иметь значительные преимущества.
- Простота администрирования. Использование меньшего количества поставщиков средств защиты информации упрощает процесс управления и обслуживания ИБ-системы. Вместо того чтобы иметь дело со множеством различных интерфейсов и настроек, администраторы могут сосредоточиться на работе с ограниченным числом интегрированных решений, в идеале – в единственном интерфейсе. Это позволяет сэкономить время и усилия, а также уменьшить вероятность ошибок в конфигурации систем ИБ.
- Нативная интеграция. При использовании средств защиты от одного поставщика повышаются шансы на нативную интеграцию между СЗИ. Это позволяет реализовать более гармоничное взаимодействие между различными модулями и создать единое целое для более надёжной защиты информации. Благодаря интеграции данные могут легко передаваться между разными средствами защиты, обеспечивая быстроту реагирования на угрозы безопасности.
- Упрощение обучения и поддержки. Обучение администраторов и аналитиков и поддержка систем становятся более простыми и эффективными. Интерфейсы систем и логика их работы схожи, что способствует более быстрому освоению необходимых навыков и повышает производительность. Кроме того, становится возможным упрощение поддержки благодаря более чёткому пониманию единого процесса обслуживания и взаимодействия средств защиты.
- Экономия ресурсов. Объединение закупок и лицензий может обеспечить лучшие условия для получения скидок или объёмных лицензий. Это позволяет снизить расходы на приобретение и поддержку средств защиты информации. Кроме того, уменьшение количества используемых СЗИ от разных производителей способствует более эффективному использованию ресурсов, таких как время и усилия, необходимые для управления системами и их обслуживания.
РЕШЕНИЕ КЛАССА XDR
Один из способов, помогающих сформировать набор решений от минимального количества производителей, — выбрать решение класса XDR, которое объединяет в себе различные технологии и платформы для обеспечения комплексной и эффективной защиты организации. Решения класса XDR позволяют автоматизировать процессы обнаружения и реагирования на угрозы, а также предоставляют комплексный обзор всей сетевой инфраструктуры.
KASPERSKY SYMPHONY XDR
Мы в «Лаборатории Касперского» уже более двух лет имеем в своём портфолио решение Kaspersky Symphony XDR, в состав которого входят многие зрелые решения для обеспечения всесторонней защиты ИТ-инфраструктуры:
- автоматическая защита конечных точек (физических, мобильных и виртуальных) от массовых угроз;
- передовое обнаружение сложных угроз на уровне конечных точек и реагирование на них;
- детектирование с помощью передовой песочницы и реагирование на обнаружения;
- защита электронной почты и веб-трафика;
- глубокий анализ сетевого трафика и реагирование на уровне шлюзов;
- комплексный мониторинг и корреляция событий ИБ, встроенный модуль ГосСОПКА;
- унифицированный интерфейс представления информации, единый граф расследования, оркестрация и управление инцидентами;
- платформа повышения киберграмотности сотрудников;
- управление аналитическими данными о киберугрозах и встроенные потоки данных.
При этом есть и возможность подключения сторонних различных ИБ-систем.
БОЛЬШЕ ПОЛЬЗЫ — ЭТО ВАЖНО!
Если оценить степень покрытия, то получается, что перечисленных возможностей Kaspersky Symphony XDR достаточно, чтобы выполнить больше половины принципов Zero Trust, упомянутых выше. Получается, что в едином интерфейсе управления и мониторинга объединяется большая часть средств защиты информации, необходимых для обеспечения высокого уровня защищённости инфраструктуры. И при этом даёт доступ ко всем преимуществам единого производителя.
Фактически независимо от того, на какой концепции основываться при построении ИБ, рискориентированной или Zero Trust, все перечисленные плюсы от формирования набора решений от минимального количества производителей остаются актуальными. Соответственно, комплексный подход, который есть в решениях класса XDR, актуален в любом случае. Но на наш взгляд, его применение при реализации концепции Zero Trust приносит наибольшую пользу в киберзащите организаций.
Реклама: АО «Лаборатория Касперского», ИНН 7713140469, erid:2Vfnxy74FgU