Сегодня Zero Trust – “модная" тема: о ней пишут все издания, посвященные информационным технологиям. Действительно ли Zero Trust столь популярна у российских корпоративных заказчиков, как утверждают выступающие на конференциях по кибербезопасности эксперты? Попробуем разобраться.
Автор: Александр Ветколь, ведущий системный инженер Varonis Systems
Разработанная в 2010 г. бывшим аналитиком Forrester Джоном Киндервагом модель безопасности с нулевым доверием считается одной из основных отраслевых концепций. Главное ее преимущество – отсутствие необходимости строить детальную модель угроз, что стало актуальным из-за пандемии коронавируса и перевода сотрудников на удаленную работу. Если подвоха можно ждать откуда угодно, значит, доверять нельзя никому, а если доверяешь, то постоянно перепроверяй.
Хотя новая концепция безопасности была сформулирована более 10 лет назад и благосклонно принята аудиторией, реальное внедрение Zero Trust началось далеко не сразу. Бизнес крайне неохотно тратит деньги на новые "игрушки", если те не дают измеримый в твердой валюте эффект. Даже государственные зарубежные организации не торопились выделять бюджеты, пока Эдвард Сноуден в 2013 г. не "положил на обе лопатки" систему обеспечения безопасности АНБ США. Конечно, значительный объем попавших к журналистам секретных документов требовался Сноудену по работе, но к большей их части он не должен был иметь доступа.
После столь показательного, да еще и публичного, инцидента началось уже осознанное развитие Zero Trust и появились конкретные рекомендации, а также лучшие отраслевые практики. На них, к слову, основан и наш подход к проблеме. Сейчас с необходимостью построения корпоративных систем обеспечения безопасности в соответствии с требованиями концепции нулевого доверия никто не спорит и даже прописывают положения политик ИБ и ИТ с целью обеспечения их выполнения техническими средствами. Но это на Западе. В российских реалиях дело обстоит несколько иначе.
Когда в России говорят про Zero Trust, обычно имеют в виду корпоративные сети. Это связано с высокой активностью на рынке производителей оборудования, продвигающих концепцию нулевого доверия в интересном им направлении. Сети защищать, безусловно, необходимо, но однобокий подход затуманивает специалистам по безопасности взгляд на концепцию в целом. Так сложилось, что они не знают другой безопасности, кроме сетевой, чаще всего в виде межсетевого экранирования и шифрования, VPN-соединений, большей частью – по ГОСТу; сейчас будет чрезвычайно сложно найти организации среднего бизнеса, у которых нет описанных решений. Реже – "расширения" функциональности межсетевых экранов или отдельные решения для обнаружения/предотвращения проникновений (IDS/IPS – Intrusion Detection/Prevention System) и фильтрации трафика на прикладном уровне (L7 – Application Filtering), еще реже используется защита от атак на отказ в обслуживании ((D)DoSP – (Distributed) Denial of Service Protection) и защита веб-приложений (WAF – Web Application Firewall).
Еще можно вспомнить широко распространенные антивирусные решения (здесь вообще хоть пиратский антивирус или Microsoft Defender, он есть на каждом компьютере с Windows даже в малых организациях), сканеры безопасности или системы управления уязвимостями, и иногда руки доходят до применения средств противодействия утечкам данных (DLP – Data Loss/Leak Prevention). При этом чаще всего внедрение последних не доводится до конца, ограничиваясь поиском в пересекающих периметр файлах и текстовых сообщениях регламентированных данных лишь по ключевым словам, с большим числом ложных срабатываний. Кроме того, часто эти данные только обнаруживаются в потоке. Зачастую никто не блокирует происходящую утечку, поскольку не задумывались о критериях риска при выявлении или же о технической реализации этой возможности даже на этапе проекта, отсекая себе пути к демаршу и развитию функциональности настройкой правил, а не переработкой архитектуры уже внедренного решения. Если же злоумышленник обходит систему, данные уйдут за периметр незамеченными.
Встречаются и инсталляции систем информирования о событиях информационной безопасности (SIEM – Security Information and Event Management). Эти системы чаще являются банальными сборщиками журналов в пыльном архиве, а не фактически оповещают об инцидентах, хотя подходы отдельных производителей и радуют реально приносимой ИБ-пользой при корреляции данных из нескольких источников, правда настроены они часто на этапе пилота и впоследствии не обновляются и не улучшаются заказчиком.
Этим подход к практической безопасности зачастую и ограничивается. То есть, например, то же централизованное шифрование самих данных или томов дисков/контейнеров на серверах совершенно не распространено, хоть изредка и встречается, не говоря уже о понимании того, кто к каким данным имеет доступ, легитимно ли этот доступ предоставлен и не начата ли подготовка данных к "выносу".
Безусловно, используя перечисленные технологии, можно реализовать защищенный периметр и даже частично увидеть след атаки в собранных журналах. Но систему с нулевым доверием невозможно построить без глубокого погружения в первичные активы – в живущие внутри сети информационные системы и хранящиеся в них данные, о которых постсоветская информационная безопасность часто не думает. Как оборонять нажитое непосильным трудом от внешних и внутренних злоумышленников, имея только защиту периметра, антивирус и систему оповещения о части утечек данных, с неким архивом событий в довесок? Сложно дать ответ на этот вопрос.
Вендоры стали больше говорить про Zero Trust, заказчики, разумеется, начинают задавать вопросы. Поскольку исторически на российском рынке самые сильные позиции у поставщиков сетевых решений, то их голоса громче остальных. Какие-то комплексные проекты по нулевому доверию в стране, безусловно, реализуются, но по-прежнему только на уровне доступа к сети и, возможно, отдельным сервисам, зачастую только к тем, что опубликованы за традиционным периметром.
Что касается защиты конкретных активов, приложений и сервисов, то зрелые модели использования технического инструментария для реализации Zero Trust декларируются в основном российскими филиалами зарубежных компаний, хотя и у них руки до практики не всегда доходят.
Например, недавно подобный кейс был у компании Varonis, которая обеспечила автоматизацию управления киберрисками и повысила уровень кибербезопасности во Всероссийском банке развития регионов (ВБРР). Внедрение решений вендора позволило ВБРР привести систему безопасности к соответствию модели наименьших привилегий (и иной части модели нулевого доверия) за счет использования как стандартного функционала анализа прав доступа и обнаружения критичных данных, так и поведенческого анализа, позволяющего при необходимости повторно производить проверку доверия к подозрительно себя ведущим учетным записям.
Несмотря на довольно печальную ситуацию с внедрением практических решений вне сетевого сегмента, интерес к модели Zero Trust у российских компаний и организаций начинает расти. Очень популярны, в частности, многофакторная аутентификация (MFA – MultiFactor Authentication) и микросегментация на уровне доступа между сетями, необходимость которых мы вовсе не подвергаем сомнению. Конечно, подобные решения относятся не к данным как таковым, а скорее к периметрам для ограничения доступа к ним. Но движение в сторону новых технологий для ограничения доступа к данным и критичным сервисам – хороший шаг.
Сегодня самая актуальная задача – довести до сведения заказчиков, что Zero Trust представляет собой намного большее, нежели просто сетевой доступ и усиленное пограничное подтверждение легитимности доступа. И первые шаги в правильном направлении уже делаются. Российские специалисты начинают понимать, что многофакторная аутентификация и другие частные решения – всего лишь отдельные слои, усложняющие атакующим доступ за счет проведения проверок, повышающих уровень доверия к действующему лицу или резко его снижающих при непрохождении одного или нескольких из контролей.
Когда мы начинаем предоставлять пользователям доступ к файловым активам конкретного сервера гранулярно, обычно все настраивается на уровнях сетевых папок и файловой системы (чаще всего – NTFS).
Группы, политики, списки контроля доступа в первозданном виде, без ошибок, связанных с человеческим фактором, работают в небольшой сети очень малого предприятия с количеством уникальных прав на папках, которые можно пересчитать по пальцам, но в ИТ-инфраструктуре более крупных компаний, особенно сегмента среднего или крупного бизнеса, ситуация намного сложнее и контролировать процесс вручную, даже на отдельно взятом сервере, уже невозможно, не говоря о более крупных разделенных системах хранения данных. Потребуется автоматизация учета прав доступа, а также поведенческий анализ для поиска формально легитимных нарушителей спокойствия.
Одним из столпов Zero Trust является контроль доступа к данным, в котором "зашит" еще более старый принцип предоставления наименьших необходимых для выполнения рабочих функций привилегий. Тот же принцип следует применять и в ролевой модели при выдаче прав доступа к конкретным приложениям и их внутренним модулям. Нужно обеспечить для каждой отдельной учетной записи на основе ее бизнес-роли и, возможно, дополнительных динамических условий доступ через конкретные группы безопасности только к тем данным и функционалу, что "здесь и сейчас" необходимы для решения бизнес-задач.
Использовать же для этого придется системы управления доступа к данным (DAG – Data Access Governance и более эффективные за счет добавления классификации и поведенческого анализа DCAP – Data-Centric Audit and Protection), а также комплексные проекты по внедрению систем заявок для автоматизированного предоставления доступа по запросу. При этом можно начать с более простых систем заявок и интегрировать их с более сложными, например с системами управления учетными записями и доступом (IdM/IAM – Identity Management/Identity and Access Management). Уже на этом этапе рекомендуется предоставлять доступы стандартизированно, на основе конкретных бизнес-ролей.
Чтобы скомпрометированный компьютер или пользователь не имел возможности остаться на предыдущем уровне доверия, помимо системы реагирования на его подозрительную и, возможно, вредоносную деятельность стоит внедрить многофакторную аутентификацию и развитые средства контроля доступа к сети (NAC – Network Access Control) и/или внешний брокер доступа к облачной среде (CASB – Cloud Access Security Broker), выполняющий примерно те же функции, но уже для облачных систем и приложений. При этом данные системы следует интегрировать между собой.
Последние две упомянутые системы анализируют устройства, пытающиеся получить доступ, и вычисляют рейтинг безопасности с учетом их аппаратно-программной конфигурации, а также учетной записи, которая используется для попытки доступа. На основании заданных индикаторов риска к ним применяются политики безопасности для предоставления требуемого доступа, либо же устройства попадают в изолированный сегмент для доступа к средствам обеспечения возможности прохождения проверки после их инсталляции и повторного проведения проверок, либо доступ блокируется.
Доступ к ресурсам при этом открываться должен вовсе не навсегда даже в течение сеанса подключения: некоторые системы по определенному алгоритму периодически могут проверять, не изменилось ли состояние безопасности подключенных устройств, а также принимать сигналы о необходимости проведения заново полного цикла проверки. Конечно, это еще не полноценное внедрение концепции Zero Trust, но уже достаточно весомый шаг в верном направлении. Стоит всегда помнить о том, что сегодня атакующим для проникновения в сеть требуется лишь наличие свободного времени и мотивации. Понимая это, нужно выстраивать внутренние барьеры и кропотливо отслеживать все происходящее, чтобы выявить действия злоумышленников. Обеспечить достойный уровень защиты способна именно стратегия нулевого доверия, которая будет эффективна против утечек данных и современных киберугроз.