В связи с растущим внедрением парадигмы zero trust (нулевого доверия) директора по информационной безопасности должны учитывать все возможные «слепые зоны» в организации, будь то неконтролируемые устройства Интернета вещей или сторонние системы, чтобы гарантировать, что злоумышленники не смогут проникнуть внутрь.
Принятие нулевого доверия не является надежным средством защиты от кибератак. Злоумышленники постоянно находят новые способы обойти нулевое доверие, и это часто происходит потому, что не все в среде функционирования организации было учтено. Среди упущенных из виду рисков — устаревшие системы, неконтролируемые устройства Интернета вещей или злоупотребление привилегированным доступом.
Нулевое доверие — это парадигма кибербезопасности (на самом деле философия), в которой каждый пользователь, каждое устройство, каждое сообщение считаются недоверенными, если не доказано обратное. Это альтернатива старому подходу, основанному на периметре, когда субъектам доступа, находящимся снаружи, не доверяли, а субъекты доступа внутри корпоративных сетей автоматически считались заслуживающими доверия. Другими словами, у предприятий была твердая оболочка и мягкие внутренности.
В эпоху, когда периметр повсюду, когда сотрудники могут находиться как дома, так и в офисе, когда вычислительные ресурсы распределены между многочисленными центрами обработки данных, облаками и третьими сторонами, старые подходы больше не работают. Нулевое доверие — современный ответ на эту проблему. Согласно опросу Okta, в котором приняли участие 700 компаний, опубликованному в 2022 году, 55% организаций уже реализовали инициативу нулевого доверия (по сравнению с 24% в 2021 году), а 97% планировали реализовать ее в ближайшие 12–18 месяцев.
Однако нулевое доверие – это не панацея. По данным Gartner , до 2026 года более половины кибератак будут направлены на области, которые не охватываются нулевым доверием и от которых невозможно защититься. «Есть две большие проблемы с нулевым доверием. Одним из них является масштаб, например устаревшие технологии или теневые ИТ. Вторая большая проблема заключается в том, что существуют атаки, которые обходят механизмы нулевого доверия», — говорит аналитик Gartner Джон Уоттс.
Компании медленно внедряют нулевое доверие
По данным опроса Cybersecurity Insiders , в котором приняли участие 400 специалистов в области ИТ и кибербезопасности в США, опубликованного в марте, только 19% организаций уже внедрили нулевое доверие . При этом 30% заявили, что проекты реализуются, а 38% заявили, что они все еще находятся на стадии планирования. Эти оценки могут быть чрезмерно оптимистичными. По данным Gartner , менее 1% организаций имеют зрелую и измеримую программу нулевого доверия, и только 10% будут иметь ее к 2026 году.
Даже если внедрено нулевое доверие, это не означает, что все проблемы безопасности решены. У нулевого доверия есть несколько слепых зон, включая устаревшие системы, в которых не реализованы механизмы zero trust, привилегированные пользователи, делающие то, чего не должны, неконтролируемые устройства IoT, сторонние системы и, конечно же, постоянная проблема управления изменениями.
Итак, вот пять областей, где само по себе нулевое доверие не защитит организации
1. Устаревшие системы
Не все системы и приложения легко обновляются до принципов нулевого доверия. Например, многие устаревшие системы просто не имеют того, что нужно. Страховой брокер PIB Group был основан всего семь лет назад, но с тех пор он приобрел еще 92 компании, большинство из которых — страховые компании. Число сотрудников выросло с 12 до 3500. «Мы приобретаем множество платформ, и они написаны чьим то двоюродным братом, который ушел на другую работу и не поддерживает их должным образом», — рассказал CSO директор по информационной безопасности Джейсон Озин.
Даже нынешняя система управления персоналом компании не будет поддерживать нулевое доверие, говорит Озин. «Они даже не поддерживают двухфакторную аутентификацию. Только имя пользователя и пароль. Они будут поддерживать белый список IP-адресов». Но белый список IP-адресов не очень полезен, когда все работают дома или в другом удаленном месте.
Компания собирается перейти на новую систему управления персоналом, но другие системы не так быстро заменить. Пока они не созданы, у Озина есть обходной путь. «Что мы можем сделать, так это обернуть вокруг него оболочку с нулевым доверием. Вы пройдете аутентификацию. Вы из места, которое мы знаем? Вы используете двухфакторную систему?» Только после аутентификации оболочка будет передавать трафик в устаревшую систему. Устаревшая система — например, текущая система управления персоналом — проверит IP-адрес, чтобы убедиться, что он исходит от платформы с нулевым доверием. Некоторые устаревшие системы настолько ужасны, что у них даже нет имени пользователя и пароля, говорит Озин. «Но никто не может попасть туда, минуя прокси».
Пандемия стала основным стимулом для перехода к нулевому доверию, как и быстрый рост компании, хотя к тому времени, когда PIB начала внедрять нулевое доверие, пандемия уже закончилась. «Мой план — избавиться от каждой устаревшей системы, которая у нас есть», — говорит Озин. «Но на самом деле этого никогда не произойдет. Меня не удивит, если через шесть лет я все еще буду ими управлять».
Но чтобы все обновить, нужны ресурсы и деньги. «Мы решили сделать это для начала с некоторыми высокорисковыми системами», — говорит он.
2. Интернет вещей
Озин говорит, что в организации имеется множество устройств Интернета вещей: «У меня есть Интернет вещей, о котором я даже не знаю». Это проблема, особенно когда, например, местный офис решает установить домофонную систему, ни с кем предварительно не поговорив. «Они устанавливают его, и парень говорит: «Могу ли я получить ключ доступа к сети Wi-Fi?» И кто-то может им это дать», — говорит Озин.
Без нулевого доверия ко всем шлюзам Wi-Fi компания использует обходной путь — отдельную сеть для несанкционированных устройств, не имеющих доступа к каким-либо корпоративным данным. У PIB также есть инструменты, которые позволяют им проводить аудит, чтобы убедиться, что к основной сети подключены только одобренные устройства.
Уоттс из Gartner согласен с тем, что Интернет вещей и OT могут создавать проблемы безопасности для компаний. «Сложнее реализовать позицию нулевого доверия для этих устройств и систем. У них меньше гарантий идентичности». «Если нет пользователя, то нет и учетной записи пользователя», — говорит он. «Здесь не существует надежного способа аутентификации. Это становится сложной проблемой».
По словам Уоттса, некоторые компании исключают IoT из своей области нулевого доверия, потому что они не могут решить эту проблему. Однако некоторые поставщики помогут компаниям защитить эти системы, говорит он. Фактически, Gartner опубликовала рыночное руководство по обеспечению безопасности киберфизических систем, в которое входят Armis, Claroty и Dragos. «Но как только вы внедрите эти технологии, вам придется больше доверять поставщикам. Если у них есть свои уязвимости и проблемы, злоумышленники найдут слабое место», — говорит Уоттс CSO.
3. Привилегированный доступ
Риск инсайдерской угрозы является проблемой для всех компаний. Нулевое доверие не поможет в тех случаях, когда привилегированный инсайдер имеет легальный доступ к конфиденциальным ресурсам, поскольку этому сотруднику доверяют.
Некоторые технологии могут снизить этот риск, говорит Озин. «У кого-то могут быть все привилегии, но вдруг он окажется в Интернете в 3 часа ночи? Чтобы уловить это, вы можете поместить поведенческую аналитику рядом с нулевым доверием. Мы используем это как часть нашего EDR (технология проактивного обнаружения нетиповых угроз и целевых атак на конечных точках) и как часть входа в систему Okta. У нас также есть программа предотвращения утечек — они печатают 60 страниц, хотя обычно ничего не печатают?»
Инсайдерские угрозы представляют собой основной остаточный риск после внедрения нулевого доверия, говорит Уоттс из Gartner. Кроме того, с помощью социальной инженерии доверенных инсайдеров можно обманом заставить слить данные или позволить злоумышленникам проникнуть в системы. «Инсайдерские угрозы и атаки по захвату учетных записей — это два риска, которые остаются в идеальном мире с нулевым доверием», — говорит он.
Еще есть компрометация служебной электронной почты, когда людей, имеющих доступ к деньгам компании, обманом заставляют отправлять средства злоумышленникам. «Компрометация служебной электронной почты может сочетаться с социальной инженерией, когда члену организации звонят и просят перевести деньги на другой счет», — говорит Уоттс. «И ничто из этого на самом деле не затрагивает ваши меры нулевого доверия». Чтобы справиться с этой проблемой, компаниям следует ограничить доступ пользователей, чтобы возможный ущерб был минимизирован. «С привилегированной учетной записью это сложно», — говорит он. Аналитика поведения пользователей и объектов может помочь обнаружить внутренние угрозы и атаки с целью захвата учетных записей. Ключевым моментом является разумное внедрение технологии, чтобы ложные срабатывания не мешали кому-либо полностью выполнять свою работу.
Например, аномальная активность может привести к срабатыванию механизмов адаптивного контроля, например изменение доступа на режим «только чтение» или блокировку доступа к наиболее критичным приложениям. Компаниям необходимо убедиться, что они не предоставляют слишком широкий доступ слишком большому количеству пользователей. «Это не просто технологическая проблема. Для этого нужны значительные ресурсы (люди и процессы)», — говорит Уоттс.
Согласно опросу Cybersecurity Insiders, 47% говорят, что доступ сотрудников с избыточными привилегиями является главной проблемой, когда дело доходит до развертывания нулевого доверия. Кроме того, 10% компаний утверждают, что все пользователи имеют больше прав доступа, чем им нужно, 79% говорят, что они есть у некоторых или нескольких пользователей, и только 9% говорят, что ни у одного пользователя нет избыточных привилегий. Исследование Dimensional Research , проведенное по поручению BeyondTrust, показало, что 63% компаний сообщили о проблемах с идентификацией за последние 18 месяцев, которые были напрямую связаны с привилегированными пользователями или учетными данными.
4. Сторонние сервисы
CloudFactory — компания, занимающаяся данными искусственного интеллекта, в которой работают 600 сотрудников и 8000 «облачных работников», работающих по требованию. Компания полностью перешла на нулевое доверие, сообщил CSO руководитель службы безопасности Шейн Грин. «Мы вынуждены это сделать, поскольку мы поддерживаем огромное количество пользователей».
Удаленные работники входят в систему с помощью аутентификации Google, с помощью которой компания может применять свои политики безопасности, но есть пробел, говорит Грин. Некоторые важные сторонние поставщики услуг не поддерживают единый вход или интеграцию языка разметки утверждений безопасности. В результате сотрудники могут войти в систему с несанкционированного устройства, используя свое имя пользователя и пароль, говорит он. «Тогда ничто не помешает им выйти за пределы нашей видимости». По словам Грина, поставщики технологий осознают, что это проблема, но они отстают и им необходимо наращивать темпы.
CloudFactory — не единственная компания, у которой есть проблемы с этим, но проблемы безопасности поставщика выходят за рамки того, какие механизмы аутентификации использует поставщик. Например, многие компании предоставляют свои системы третьим лицам через API. При определении масштаба развертывания с нулевым доверием можно легко упустить из виду API .
«Вы можете взять принципы нулевого доверия и применить их к API», — говорит Уоттс. Это может привести к улучшению ситуации с безопасностью, но только в определенной степени. «Вы можете контролировать только тот интерфейс, который вы предоставляете и предоставляете третьим лицам. Если у третьей стороны нет надлежащего контроля, то и вы не сможете это контролировать». Когда третья сторона создает приложение, которое предоставляет пользователям доступ к их данным, аутентификация на клиенте может стать проблемой. «Если он слабо защищен, кто-то может украсть токен сеанса», — говорит Уоттс.
Компании могут проверять своих сторонних поставщиков, но проверки обычно представляют собой разовую проверку или проводятся на разовой основе. Другой вариант — развернуть аналитику, которая может дать возможность обнаружить, когда что-то делается без соответствующей авторизации. Это дает возможность обнаруживать аномальные события. По словам Уоттса, уязвимость в API может проявиться как одно из таких аномальных событий.
5. Новые технологии и приложения
Согласно опросу Beyond Identity , в котором приняли участие более 500 специалистов по кибербезопасности в США в этом году, новые приложения стали третьей по значимости проблемой на пути внедрения нулевого доверия, на которую указали 48% респондентов. Добавление новых приложений — не единственное изменение, которое компании могут захотеть внести в свои системы. Некоторые компании постоянно пытаются улучшить свои процессы и улучшить поток коммуникаций, говорит Джон Кэри, управляющий директор группы технологических решений глобальной консалтинговой фирмы AAArete. «Это противоречит концепции доверия к данным, которая ставит барьеры перед свободным перемещением данных».
Это означает, что если нулевое доверие будет реализовано или спроектировано неправильно, производительность может пострадать, говорит Кэри. Одной из областей, где это может произойти, являются проекты искусственного интеллекта. У компаний появляется все больше возможностей для создания индивидуальных, точно настроенных моделей ИИ, специфичных для их бизнеса, включая, в последнее время, генеративный ИИ.
Чем больше информации у ИИ, тем она полезнее. «При использовании ИИ вы хотите, чтобы у него был доступ ко всему. В этом цель ИИ, но если его взломают, у вас возникнут проблемы. А если он начнет раскрывать то, что вам не нужно, это проблема», — говорит CSO Мартин Фикс, технологический директор компании Star, консультант по технологиям.
По словам Фикса, существует новый вектор атаки, называемый «оперативным взломом», когда злонамеренные пользователи пытаются обманом заставить ИИ сказать им больше, чем следует, умело формулируя задаваемые ими вопросы. Одним из решений, по его словам, является отказ от обучения ИИ общего назначения работе с конфиденциальной информацией. Вместо этого эти данные можно было бы хранить отдельно, используя систему контроля доступа, которая проверяет, разрешен ли пользователю, задающему вопрос, доступ к этим данным. «Результаты могут быть не такими хорошими, как при использовании неконтролируемого ИИ. Это требует больше ресурсов и большего контроля».
Основная проблема здесь заключается в том, что zero trust меняет методы работы компаний. «Продавцы говорят, что это легко. Просто установите периферийную систему безопасности там, откуда приходят ваши пользователи. Нет, это непросто. И сложность нулевого доверия только начинает проявляться», — рассказывает CSO руководитель нулевого доверия в США в KPMG Дипак Матур. По его словам, это один большой недостаток, о котором в нулевом доверии никогда не говорят. Когда компании внедряют технологии нулевого доверия, должны произойти изменения в процессах. Вместо этого слишком часто считается само собой разумеющимся, что люди должны исправить процессы.
Источник: https://www.csoonline.com/article/651393/5-areas-zero-trust-cant-protect-organizations.html