Naruszenia bezpieczeństwa przynoszą organizacjom coraz większe straty finansowe. W latach 2020-2021, jak podaje IBM Security w raporcie Cost of a Data Breach Report, wzrosły o 10%, co daje największy jednoroczny wzrost w ciągu ostatnich siedmiu lat. W takich realiach niezbędna jest zmiana podejścia do bezpieczeństwa IT i wykorzystanie rozwiązań opartych na idei zerowego zaufania – Zero Trust.
W postcovidowej rzeczywistości, która dla wielu firm wiązała się z nagłą potrzebą odpowiedzi na pracę zdalną, wzywaniami przestawienia się na model BOYD (Bring Your Own Device) oraz przeniesieniem danych, aplikacji i infrastruktury do chmury, nie ma już miejsca na rozwiązania tymczasowe. Dziś prowizoryczne poprawki bezpieczeństwa muszą zostać zastąpione trwałymi, skalowalnymi metodami ochrony opartymi na modelu Zero Trust.
Na skróty:
Jak zrozumieć to podejście i od czego zacząć wdrażanie polityki Zero Trust w firmie?
Zacznijmy od VPN-ów, bo to na nich jeszcze do niedawna opierano kwestie zapewnienia bezpiecznego dostępu zdalnego do zasobów organizacji. Dziś sieci VPN z trudem radzą sobie z wyzwaniem zapewnienia wielu zdalnym użytkownikom i urządzeniom bezpiecznego dostępu do sieci korporacyjnej, a także z tym, że nie wszyscy użytkownicy muszą lub powinni mieć takie same prawa dostępu do firmowych danych, aplikacji i systemów.
– To prawda, że najbardziej łakomym kąskiem dla cyberprzestępców są użytkownicy uprzywilejowani, posiadający szeroki, a często wręcz nieograniczony dostęp do zasobów – np. administratorzy IT. Przestępcy wiedzą jednak doskonale, że najłatwiej kradnie się dane uwierzytelniające osób nietechnicznych lub pracowników zdalnych – mówi Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która w swoim portfolio posiada rozwiązanie Barracuda CloudGen Access, pozwalające na wdrożenie polityki Zero Trust w firmie. – Takie konta często są bagatelizowane – mają słabe lub nie mają wcale mechanizmów kontrolnych – stając się furtką do najpilniej strzeżonych tajemnic przedsiębiorstwa.
Organizacje potrzebują dziś pewności, że po drugiej stronie monitora – niezależnie, czy w firmie, czy w domu – znajduje się osoba uprawniona, a nie podszywający się pod nią cyberprzestępca.
Patchworkowe bezpieczeństwo
Próby ochrony użytkowników przed phishingiem i złośliwym oprogramowaniem doprowadziły do tego, że w wielu przypadkach w firmach funkcjonuje zbyt skomplikowana infrastruktura bezpieczeństwa.
– Takie infrastruktury bezpieczeństwa często nie mają zintegrowanej widoczności, co utrudnia określenie, kto i skąd próbuje uzyskać dostęp do różnych części sieci – dodaje Mateusz Ossowski. – Takim patchworkowym systemem połączonych ze sobą firewalli, sieci VPN, bram internetowych i rozwiązań kontroli dostępu do sieci po prostu nie da się skutecznie zarządzać.
Jak na lotnisku
Odpowiedzią na te problemy jest polityka Zero Trust, czyli podejście zakładające ciągłą weryfikację tego kto, skąd, kiedy, do czego i dlaczego posiada dostęp i zapewnia, że użytkownicy otrzymują go tylko do tych zasobów, których potrzebują.
W zrozumieniu tego, czym jest Zero Trust pomocne może być przywołanie przykładu lotniska. Kiedy pasażer przychodzi do stanowiska odprawy, potwierdza swoją tożsamość za pomocą paszportu. Można uznać, że jest to zaliczenie pierwszego etapu podróży. Jednak, aby mógł wejść na pokład samolotu, musi mieć jeszcze kartę pokładową oraz za każdym razem musi przejść szczegółową kontrolę bezpieczeństwa. Bez tych elementów nie będzie mógł kontynuować podróży.
– Powyższa analogia bardzo dobrze oddaje nowoczesne podejście do dostępu do sieci. Jeśli użytkownik nie może, zarówno uwierzytelnić swojej tożsamości, jak i udowodnić, że ma wymagane uprawnienia dostępowe, zwyczajnie nie będzie mógł pójść dalej – kontynuuje Mateusz Ossowski.
Trzy kluczowe korzyści z wdrożenia modelu Zero Trust:
1. Automatyczne blokowanie wszelkich podejrzanych prób dostępu do sieci z powodu braku uprawnień.
2. Rejestrowanie każdego urządzenia, lokalizacji i tożsamości użytkownika, który próbuje uzyskać dostęp do sieci.
3. Pełna automatyzacja, która oszczędza czas działu IT. Pracownicy mają całkowicie bezobsługowy dostęp zdalny, są bardziej produktywni i odporni na cyberzagrożenia.
Trzy kluczowe pytania
Aby z sukcesem rozpocząć pracę w modelu Zero Trust, każda firma powinna zadać sobie trzy kluczowe pytania.
1. Co chcę chronić? Tutaj należy pomyśleć o ważnych dla organizacji danych, krytycznych aplikacjach i usługach, aktywach, urządzeniach i własności intelektualnej.
2. Kto, w jakim stopniu i na jak długi okres potrzebuje pozwolenia na dostęp do wyżej wymienionych elementów?
3. Co trzeba zrobić, żeby na każdym etapie mieć pewność, że użytkownicy, urządzenia i wszelkie działania w sieci są prawdziwe i stale monitorowane?
Nową i kluczową perspektywą dla bezpieczeństwa IT jest stała i podlegająca weryfikacji kontrola dostępu do wszystkich firmowych zasobów. W obliczu wyzwań – pracy z domu, często z własnych urządzeń – obowiązkiem każdej organizacji jest zapewnienie bezpieczeństwa firmowych zasobów. Procedury bezpieczeństwa polegają między innymi na skrupulatnej analizie kont użytkowników, uprawnień, urządzeń oraz wdrożeniu polityk bezpieczeństwa.