Chcete zabezpečiť svoj biznis na najvyššej úrovni? Prechod na model Zero Trust je nevyhnutný krok pre moderné firmy. Získajte komplexný pohľad na to, ako posunúť svoju kybernetickú bezpečnosť na nový level. Zbavte sa závislosti na tradičných perimetrových riešeniach a chráňte svoje dáta nezávisle na ich umiestnení. Zistite, ako minimalizovať riziko útokov a zvýšiť odolnosť vašej organizácie pomocou konceptu Just-in-Time prístupu a ďalších moderných bezpečnostných mechanizmov
ZeroTrust perimetrová bezpečnost implementace
digitální transformace strategické plánování
Tento článok vám poskytne praktické rady a príklady implementácie, ktoré vám pomôžu pri transformácii vašej IT infraštruktúry.
Kľúčové témy, ktoré v článku nájdete:
- Prečo je Zero Trust nevyhnutný v dnešnom digitálnom svete?
- Ako funguje koncept Just-in-Time prístupu a aké výhody prináša?
- Aké sú najväčšie výzvy pri prechode na Zero Trust a ako ich prekonať?
- Ako zvýšiť viditeľnosť v sieti a včas odhaliť bezpečnostné hrozby?
- Aká je rola ľudského faktora v zabezpečovaní organizácie?
Získajte všetky potrebné informácie a začnite budovať bezpečnejšiu budúcnosť pre vašu organizáciu ešte dnes!
Zhrnutie 2. časti článku
Predchádzajúca 2. časť článku sa zaoberala komplexným procesom transformácie IT infraštruktúry na model Zero Trust. Tento model, ktorý vychádza z princípu „never trust“ (nedôveruj nikomu), predstavuje zásadný posun v oblasti kybernetickej bezpečnosti.
Hlavné témy predchádzahjúceho článku boli:
- Postupné zavádzanie: Transformácia na Zero Trust nie je náhla zmena, ale postupný proces, ktorý si vyžaduje dôkladné plánovanie a prípravu.
- Zhodnotenie súčasného stavu: Prvým krokom je analýza existujúcej infraštruktúry a identifikácia možností na jej využitie v novom modeli.
- Definovanie cieľa: Na základe analýzy sa definuje cieľová architektúra a jej jednotlivé komponenty.
- Pilotný projekt: Implementácia nového modelu sa začína pilotným projektom na vybranej časti organizácie.
- Kľúčové princípy Zero Trust: Článok zdôrazňuje tri základné princípy: predpoklad porušenia, nedôvera a neustále overovanie.
- Zmena kultúry: Úspešná transformácia si vyžaduje zmenu myslenia a správania všetkých zamestnancov.
- Technické aspekty: Článok detailne popisuje rôzne technologické aspekty implementácie Zero Trust, od identifikácie a autentifikácie až po sieťovú bezpečnosť.
- Význam ľudského faktora: Zdôrazňuje sa dôležitosť ľudského faktora a potreba vzdelávania zamestnancov.
- Prekonávanie výziev: Článok upozorňuje na rôzne výzvy, ktoré môžu vzniknúť počas transformácie, a ponúka možné riešenia.
Záverom možno konštatovať, že transformácia na Zero Trust je komplexný proces, ktorý si vyžaduje dlhodobú investíciu času a zdrojov. Prináša však významné benefity v oblasti bezpečnosti a flexibility IT infraštruktúry.
Článok poskytuje cenné informácie pre organizácie, ktoré zvažujú prechod na tento model.
Prechod z perimetrovej bezpečnosti na identitu/koncové zariadenie
ZeroTrust model presúva bezpečnostné opatrenia na IDENTITU a DÁTA. Inak povedané, je jedno kde sa identita a údaje spoločnosti nachádzajú, či sú v internete, alebo pred/za perimetrom, vždy sú vybavené nástrojmi na prevenciu, detekciu a reakciu na prípadný pokus o prienik. Tým pádom vznikajú úplne iné podmienky hĺbkovej obrany. Toto dáva možnosť izolovať bezpečnostný incident na menšie časti, ktorých izolácia nebude mať drastický dopad na biznis a fungovanie a získať tak čas potrebný na ďalšie opatrenia na zvládanie bezpečnostného incidentu.
Prechod z perimetrovej bezpečnosti na model identity/endpoint prináša minimálne nasledovné benefity:
- Zvýšená flexibilita a škálovateľnosť.
- Lepšia ochrana aktív bez ohľadu na ich polohu.
- Zníženie závislosti od statických firewallov a VPN.
- Zjednodušenie správy a údržby IT a procesov.
- Modernizácia IT a zvýšenie mobility používateľov.
- Zvýšenie viditeľnosti na vstupe aj výstupe.
- Príležitosť zlepšovať sa vďaka zvýšenej viditeľnosti.
Perzistencia ako bezpečnostný problém
Perzistencia administrátorských privilégií predstavuje významnú zraniteľnosť a umožňuje útočníkovi využiť oprávnenia administrátora systému, či koncového zariadenia na úspešnú kompromitáciu organizácie. Snaha je zrušiť perzistenciu a zaistiť stav, kedy administrátorské oprávnenie na koncovom zariadení (napr.: počítač zamestnanca, server, databáza, aplikácia) budú vždy len na dobu určitú, dostatočne krátku (minúty) na to, aby stačila na potrebný úkon správcu systému. Následne musia byť oprávnenia automaticky odobrané, aby v prípade rekognoskácie v danom segmente útočníkom nenašiel tento administrátorský účet, ktorý by mohol skúsiť zneužiť.
Elimináciu perzistencie na minimum je možné efektívne dosiahnuť cez tzv. „Just In Time“ (JIT) koncept riadenia administrátorského prístupu.
Koncept Just in Time (JIT)
Koncept JIT prístupu umožňuje udeliť prístup k systémom, koncovým zariadeniam a dátam len na nevyhnutne potrebný čas, plne pod kontrolou identity, ktorá je overená cez viac faktorovú autentifikáciu.
V prípade využívania výlučne cloudových služieb sú tieto koncepty natívne dostupné. Veľká časť organizácií však stále prevádzkuje infraštruktúru vo vlastných či prenajatých dátových centrách.
Riešenie JIT nie je nevyhnutne o investíciách. Je možné využiť bežne dostupné technológie, ako napríklad:
- LDAP (Microsoft ActiveDirectory, FreeIPA, OpenLDAP, a i.).
- JIT synchronizačný skript (power shell skript, prípadne iný vlastne vytvorený softvér).
- Asset Inventory databáza (evidencia serverov a ich napojenie na aplikácie).
- Používateľské rozhranie, kde bude možné iniciovať JIT požiadavku (IAM nástroj, alebo iná aplikácia, ktorá podporuje silné overenie).
- V prípade MacOS alebo WIN OS počítačov je možné využiť funkcionalitu MakeMeAdmin. Používateľ firemného PC, ktorý má v IAMe vopred schválenú rolu byť lokálnym administrátorom (napr.: Developer) na firemnom počítači, toto oprávnenie nemá aktivované a teda, ak by jeho počítač ovládol útočník, nenašiel by v skupine „local admins“ tohoto používateľa. Cez funkcionalitu MakeMe- Admin si oprávnený používateľ môže dvihnúť privilégiá bezpečným spôsobom so silným overením a počas stanovenej doby (napr.: 10 min) môže inštalovať SW, následne mu systém oprávnenia odoberie.
Princíp pri serveroch je postavený na LDAP autentifikácií. Server je nakonfigurovaný tak, aby autentifikáciu vykonával cez bind operáciu smerom na LDAP na základe členstva používateľa v príslušnej skupine. Ak ho tam server nenájde, používateľa neoverí.
Aplikuje sa princíp eliminácie perzistencie. Ak sa útočník nachádza v segmente a vykonáva rekognoskáciu v sieti, kde sú umiestnené servery, po stiahnutí adresára o používateľoch nenájde žiadnych administrátorov, iba tých, ktorí sú práve prihlásení a majú aktívnu reláciu.
JIT nástroj vykonáva plnenie LDAP skupín na základe požiadavky používateľa o príslušnú JIT rolu pre aplikáciu, na ktorú sú v databáze aktív priradené príslušné servery. JIT nástroj vykoná zápis v LDAPe automaticky a po uplynutí času zasa členstvo odoberie. Overenie prístupu do JIT nástroja je možné iba cez viacfaktorové overenie. LDAP musí byť úplne oddelený od iných adresárových služieb, ktoré sú určené pre bežných používateľov (emaily, intranet...). Toto opatrenie má sekundárny efekt, kedy databáza aktív musí byť v 100% kvalite, aby sa administrátori serverov dostali na svoje servery.
Paradox zamestnanec verzus dodávateľ
Častým javom v organizáciách sa stáva, že na zamestnancov a ich koncové zariadenia, spravidla manažované centrálnymi politikami, aplikuje organizácia prísnejšie opatrenia ako na dodávateľov, ktorí pristupujú na aktíva organizácie, najčastejšie cez tradičný perimeter SSL VPN.
Najdôležitejšou úlohou je dostať pod kontrolu práve nemanažované zariadenia. V zásade triedenie identít, resp. koncových zariadení sa zúži na manažované a nemanažované.
Treba čím skôr zabrániť, aby sa nemanažované zariadenia dostali priamo k citlivým zdrojom, k manažmentom. Tu sa aplikuje predpoklad „never trust“. NDA vašu organizáciu neochráni. Jediné čo dáva zmysel je držať všetky nemanažované zariadenia mimo citlivý segment a tieto púšťať do citlivého segmentu cez riešenia, ktoré galvanicky oddelia toto potenciálne kompromitované zariadenie od významných aktív organizácie, napríklad:
- SSL VPN ak sa bude jednať o privilegované operácie, ktorá bude kontrolovať stav zariadenia (minimum: aktuálny OS, šifrovanie disku, aktuálny Antivírus).
- NG FW (vytvorenie skupiny GLOBAL ext), ktorá umožní overenej identite dovidieť iba a len na nižšie uvedené prístupové body. Všetko ostatné bude zakázané.
- Virtualizačné technológie SSH/RDP proxy (PAM riešenia s možnosťou nahrávania relácie a rotácie hesiel).
- Dedikovaný a hardenovaný prístup cez Virtualizované desktop aplikácie (VDA), výlučne pre ssh/rdp operácie, oddelený od bežného neprivilegovaného používateľského prostredia na prístup k enterprise aplikáciám.
- SSH JUMP/WIN TS riadený cez JIT s dedikovanou adresárovou službou pre autentifikačné a autorizačné služby.
- Virtual Desktop Infraštruktúra (VDI).
To všetko centrálne riadené systémom IAM so silným viacfaktorovým overením na každom prístupovom bode.
VPN je privilégium, nie nástroj pre masy
VPN technológia musí byť v kontexte ZeroTrust vnímaná ako privilégium a výsada pre špecifické prípady. Nesmie byť používaná ako nástroj na prístup na bežné biznis aplikácie (https). Prístup na aplikácie musí byť realizovaný prostredníctvom riešení, ktoré tunelujú komunikáciu na aplikáciu pre konkrétnu identitu (access proxy). Je dôležité využívať aktuálne koncepty cez protokoly „single sign on“ ako sú SAML, OAuth, OpenID a i. To zaručí, že používateľ nebude potrebovať pristupovať do korporátnej siete na to, aby si vyplnil služobnú cestu, prípadne aby obslúžil zákazníka v CRM systéme, či pristúpil na iné webové aplikácie. Ochranu pred odpočúvaním komunikácie (Man in the Middle – MitM útok) bude riešiť šifrované spojenie (https) a tunelovanie komunikácie per Identita cez tzv. AccessProxy alebo IdentityProvider, ktorý bude vykonávať autentifikáciu aj autorizáciu cez obohacovanie hlavičky v https spojení, pričom takáto access proxy dokáže kontrolovať stav identity a zariadenia či spĺňa definované ZeroTrust politiky na prístup k firemným zdrojom. V závislosti od citlivosti dát cieľovej destinácie je možné definovať úroveň politík. Problém masívneho vynucovania VPN je, že v sieti je terminovaný zbytočne vysoký počet používateľov, ktorí v podstate nepotrebujú byť v korporátnej sieti a vidieť na hrany iných segmentov, iných backend sietí. Obrazne povedané je zbytočné tlačiť používateľov do čakárne, kde vidia mnoho zamknutých dverí do iných segmentov, môže sa stať, že niekto zabudne v niektorých dverách kľúče, prípadne budú mať zraniteľnosť, čo využije útočník, ktorý sa v množstve návštevníkov v čakárni ľahko zamaskuje. Organizácie musia naštartovať zmeny, ktoré využívanie VPN postupne zredukujú iba na privilegované operácie pre zaistenie hĺbkovej obrany, na prístup do manažmentov a osobitne regulovaných segmentov siete.
Viditeľnosť a skorá detekcia prieniku, ako zdroj zlepšovania imunity organizácie
V dnešnom dynamickom a komplexnom sieťovom prostredí je kľúčová antifragilita. To znamená, že sieť by sa mala vedieť nielen ubrániť pred výzvami a narušeniami, ale aj z nich profitovať a stať sa odolnejšou. Viditeľnosť siete je nevyhnutnou podmienkou pre dosiahnutie antifragility. Viditeľnosť siete je schopnosť vidieť a pochopiť všetky aktivity a správanie v sieti. To zahŕňa:
- Viditeľnosť sieťovej prevádzky: všetky pakety, ktoré prechádzajú cez sieť, vrátane ich zdroja, cieľa, obsahu a protokolov.
- Viditeľnosť sieťových zariadení: všetky zariadenia pripojené k sieti, ako sú smerovače, prepínače, brány firewall a koncové body.
- Viditeľnosť aplikácií: všetky aplikácie, ktoré sa používajú v sieti, ako sú webové aplikácie, klientske aplikácie a serverové aplikácie.
- Viditeľnosť používateľov: všetkých používateľov, ktorí pristupujú k sieti, ako sú zamestnanci, dodávatelia a zákazníci.
Dôležité je mať plán viditeľnosti siete a túto viditeľnosť budovať opäť postupne. Vyvarovať sa zbieraniu veľkého množstva udalostí a potom uvažovať, čo sa bude vyhodnocovať.
Vždy treba ísť od konečného výsledku a tým je scenár, ktorý spustí výstrahu operátorovi SOC (Security Operation Center), ktorý vykonáva dohľad nad takýmto riešením. Je potrebné zvoliť nástroj pre centrálny dohľad a analýzu nad týmito udalosťami, spravidla sa využívajú SIEM riešenia. Tento plán by mal definovať, aké typy údajov o viditeľnosti sú potrebné, ako sa tieto údaje budú zbierať a ako sa budú používať.
Používateľská komunikácia, koncové zariadenia, emaily, sieťová komunikácia na vstupe a sieťová komunikácia do internetu, DNS, prístupové technológie, front a Middle FW, SSH jump servry, RDP terminál servery, virtualizácia desktopov a aplikácii, VPN, access proxy, LDAP sú azda najdôležitejšie pre skorú detekciu kompromitácie endpointu, identity či systému v sieti.
Simulácie útokov a účinnosť detekčných mechanizmov a komunikačných procesov reakcie na bezpečnostný incident je potrebné pravidelne testovať. Najčastejšie nálezy a nedostatky bývajú v oblasti komunikácie.
Viditeľnosť siete je kľúčová pre dosiahnutie antifragility v dnešnom komplexnom sieťovom prostredí. Implementáciou riešenia viditeľnosti siete môžu organizácie zlepšiť svoju bezpečnostnú vyspelosť, výkonnosť siete, riešenie problémov a dodržiavanie predpisov.
Záver
Implementácia ZeroTrust Security modelu je „beh na dlhú trať”. Nie je možné zrealizovať takúto rozsiahlu transformačnú zmenu bez radikálnych zmien na technologickej, procesnej a kulturálnej úrovni. Ak by sa čitateľ opýtal otázku: „ktorá z týchto úrovní je najnáročnejšia“, odpoveďou bude vždy: „kulturálna zmena, zmena myslenia a postoja jednotlivca“. Práve táto zmena bude trvať až dekádu, a je potrebné s ňou neustále pracovať, rozvíjať a hľadať spôsoby a cesty, ako postoj „JA SOM ZRANITEĽNOSŤ“ dostať do podvedomia a každodenného správania jednotlivca, zamestnanca či dodávateľa. Formovať túto DNA si vyžaduje neustálu aktivitu, ktorá musí byť podporená vedením organizácie.
V súčasnom období zvýšených hrozieb kybernetických útokov na subjekty kritickej infraštruktúry si vyžadujú iné riešenia, účinnejšie, flexibilnejšie a v neposlednom rade aj finančne náročnejšie. Najdôležitejším predpokladom je kvalitný bezpečnostný personál, ktorý je zárukou udržateľnej obrany každej organizácie.
Spoločnosti za poslednú dekádu úsporných opatrení dosiahli tzv. technologický dlh, ktorý sa stretol s exponenciálnym rastom kybernetických útokov, nedostatkom bezpečnostných expertov na trhu a nástupom umelej inteligencia, ktorá pomáha obom stranám obrane aj útočníkovi.
Externalizácia a závislosť od dodávateľov vo výrobnom procese, v službách, v IT a Telco priemysle je významná a celosvetová. Je dôležité mať na zreteli, že riziká tretích strán predstavujú veľkú časť problému v súčasnej dobe. Zamestnancov a interné ekosystémy môže mať spoločnosť pod kontrolou, ale to, v akom stave je bezpečnosť dodávateľa, je úplne mimo kontroly zákazníka. NDA ani zmluva o dielo neochránia zákazníka pred kybernetickým útokom, zmluvné paragrafy sa uplatnia po útoku pri pokutách.
Bezpečnosť sa musí stať DNA, stavebným prvkom každej funkcie spoločnosti, pretože v súčasnej dobe už nie je otázka „či“, ale „kedy“. Mať na zreteli, že útočník je už „dnu“ dáva celej obrannej stratégii iný rozmer, opatrenia budú prirodzene vychádzať na povrch.
Správny líder transformačnej zmeny je kľúčový. Musí vedieť vytvoriť zápal pre vec, postaviť kvalitný tím, ktorý bude vykonávať infiltráciu zmeny naprieč celou spoločnosťou. Jeho psychická odolnosť, vnútorná motivácia a odhodlanie na cieľ, disciplína a konzistentnosť a technická znalosť konceptov sú strategické predpoklady úspešnej zmeny, ktorá bude trvať 5 až 10 rokov.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Použité zdroje:
[ 1 ] Antifragility pojem (Nassim Nicholas Taleb), https://en.wikipedia.org/wiki/Antifragility
[ 2 ] Google ZeroTrust Security Model, https://cloud.google.com/blog/topics/developers-practitioners/zero-trust-and-beyondcorp-google-cloud
[ 3 ] Gallup Talenty. Dostupné na https://www.gallup.com/cliftonstrengths/en/253715/34-cliftonstrengths-themes.aspx