Technologie 

Zero trust: Nikomu nevěř, vždycky ověřuj. Aneb jak zavést nový bezpečnostní koncept?

„Důvěřuj, ale prověřuj“ (Trust but verify) bylo jedním z rčení, která Ronald Reagan užíval při jednání s Michailem Gorbačovem. Také se ovšem jedná o jednu z dlouhodobě aplikovaných zásad kybernetické bezpečnosti. Ta je založena na implicitní důvěryhodnosti určitých entit. Primárně se jedná o důvěru ve vnitřní prostředí (nejčastěji interní podnikovou síť nebo interní uživatele – zaměstnance) a naopak nedůvěru nebo alespoň ostražitost k vnějšímu světu. V čem je zero trust architektura nová? A jak s ní ve firmě začít?

Společenské a technologické změny tento zažitý způsob uvažování do značné míry nabourávají, ať již se jedná o vzdálenou práci mimo „bezpečný podnikový perimetr“, využití vlastních zařízení, nebo stále častější outsourcing IT služeb, dnes nejčastěji ve formě různých cloudových řešení. Efektivita bezpečnostního přístupu „trust but verify“ nebyla ovšem nikdy příliš vysoká, o tom ostatně svědčí i fakt, že naprostá většina kybernetických incidentů využívá lidské chyby a principů sociálního inženýrství (tedy přicházela z tohoto rádoby bezpečného prostředí).

Ke kybernetickým útokům čas od času může dojít…

Minimálně v posledních 10 letech ovšem dochází k intenzivnímu hledání náhrady tohoto přežitého principu. Prvním významným krokem k nápravě je v lidské psychologii vždy akceptace. Ta neznamená souhlas, ale přijetí stavu, jaký je, a je tedy klíčem ke změně a k účinnému řešení. Z hlediska paradigmat v kybernetické bezpečnosti k této akceptaci asi nejvíce přispěl kybernetický útok na společnost RSA v roce 2011. Po tomto sofistikovaném útoku začala řada společností akceptovat fakt, že ke kybernetickému útoku dříve či později může dojít, a to i přes aplikaci víceúrovňové obrany (princip „defense in depth“), zaškolený personál a nejnovější technologie.

Novým architektonickým principem, který ještě dále posouvá stávající přístupy k řízení bezpečnosti, můžeme shrnout rčením „Nikomu nevěř, vždy ověřuj“. Tedy architektura nebo principy označované jako „zero trust“.  Nejedná se ovšem o další next generation technologii, která má společnostem zázračně vytrhnout trn z paty, i když to tak při čtení některých produktových příspěvků může působit. Ve skutečnosti tato architektura jen výrazně akcentuje jeden ze základních principů kybernetické bezpečnosti, a to princip least privilege, známý již od 70. let minulého století.

5 kroků na cestě k zero trust architektuře

V čem je tedy zero trust architektura nová, nebo dokonce průlomová? Znamená skutečně naprostou ztrátu důvěry v uživatele, zařízení i síť? Ne tak docela, tento koncept je jen více kontextově nebo, chcete-li, situačně orientován a zohledňuje právě skutečnost, že entita přistupující k prostředku (resource) může být kompromitována. Tato implicitní podezřívavost pak staví na pěti fundamentech:

  1. Bez znalostí to nejde. Zmapujte a pochopte povahu dat, datových toků, uživatelů a jejich zvyklostí, stav zařízení a jeho zdraví, využívané služby a aplikace. Vytvořte funkční asset management, klasifikaci dat, asset discovery, konfigurační a patch management. Vnímejte rizika a přizpůsobte jim svůj risk management program.
  2. Autentizujte a autorizujte, každého, vždy a všude. Zajistěte, aby byl přístup povolen jen ověřeným a dostatečně autorizovaným uživatelům, zařízením i službám. Využívejte silné, vícefaktorové autorizace identit a koncept podmíněného přístupu. Autentizujte a autorizujte nejen uživatele, ale i služby a aplikace.  Při autorizaci myslete i na uživatelskou zkušenost (uživatelé se pak nebudou snažit obejít tyto mechanismy), používejte řešení nesnižující tuto zkušenost, jako je biometrie, mobilní tokeny atp.
  3. Využívejte data a důsledně ověřujte zjištěné poznatky. Kontextová a situační znalost vyžaduje velké množství dat a hlavně jejich pochopení. Toho je možné dosáhnout jak díky datové analytice a AI, tak díky propojení kybernetické bezpečnosti, business vlastníků a zástupců uživatelů. Zároveň je nutné tento model kontinuálně aktualizovat – povaha práce s daty je dynamická a vyvíjí se (statické modely dlouhodobě selhávají).
  4. Žádné síťové prostředí není bezpečné. Využívejte konceptů, jako je mikrosegmentace a mikroperimetry, k vytvoření důvěryhodného prostředí.
  5. Maximalizujte využití automatizace. Jak pochopení dat, tak bezprostřední reakce na potenciální či skutečné ohrožení se neobejde bez výrazné automatizace technologií a procesů.

Je tedy vůbec možné v kontextu zero trust někomu nebo něčemu důvěřovat? Určitý stupeň důvěry, minimálně k některým klíčovým službám a datovým zdrojům, je nezbytný. Příkladem může být identity management systém, konfigurační databáze nebo antimalware řešení. Tedy autoritativní zdroje dat, bez kterých není možné ověřovat důvěryhodnost identit, zařízení a zdrojů. Významnosti těchto prvků by měla odpovídat i míra opatření realizovaných ke zvýšení důvěryhodnosti, ať již se bavíme o procesní úrovni (např. způsob prověřování nových i existujících zaměstnanců oddělením HR), či vysoké míře bezpečnostního a provozního zabezpečení těchto služeb.

Silný identity management s podporou MFA

Vypadá to komplikovaně? Jak a kde s uvedením architektury zero trust ve společnosti začít? V první řadě je nutné vytvořit prostředí, ve kterém je možné koncept zero trust budovat a dále rozvíjet – tedy silný identity management s podporou MFA a kvalitní znalost koncového bodu/zařízení. Následně je možné přistoupit k implementaci konceptu na prvních aplikacích. Doporučujeme začít u malých a ideálně nových systémů a aplikací, které nejsou z hlediska společnosti obchodně kritické, a teprve po úspěšné adopci postupně rozšiřovat tento koncept i na další oblast s větším obchodním dopadem a větším počtem uživatelů. Pochopení dat a vzorců chování totiž vyžaduje čas a nemalou součinnost IT, bezpečnosti, obchodních útvarů i uživatelů samotných.

Odměnou za aplikaci principů zero trust pak může být kromě snížení dopadů kybernetických útoků i zvýšení spolehlivosti technologií a lepší uživatelský zážitek v důsledku odstranění některých léta přežívajících bariér.

Kybernetická bezpečnost

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right