- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 203 zobrazení
"Zero trust" se stala nejnovějším módním heslem v bezpečnostním průmyslu. Koncept nedůvěry k uživatelům nebo zařízením i po autentizaci způsobil revoluci v tom, jak organizace vnímají správu přístupu v datovém centru.
Teoreticky to zní skvěle; mentalita „vinný, dokud se neprokáže nevinnost“ dobře vyhovuje zabezpečení. Je však užitečné analyzovat model z pohledu útočníka a identifikovat předpoklady nebo akce, které by mohly poskytnout oporu kyberzločincům.
Faktem je, že mnoho organizací má nasazeno mnoho různých řešení kybernetické bezpečnosti. Stále však musí určit, kde je v jejich sítích potenciálně příliš velká důvěra, aby útočníci měli příležitost zneužít zranitelnosti. Útočníci hledají způsoby, jak využít slabých míst, což jsou oblasti, kde organizace vkládají větší důvěru, než by měly.
Vzdálený přístup k datovému centru
Podívejme se na příklad vzdáleného připojení. Zaměstnanci se obvykle připojují k firemnímu datovému centru prostřednictvím virtuální privátní sítě (VPN) a pravděpodobně k tomu používají nějaké ověřování.
Uživatelská jména a hesla jsou běžnými ověřovacími mechanismy, ale jsou velmi slabá a někdy je lze snadno uhodnout nebo odcizit. Tento pár není dostatečně dobrý jako identifikátor pro autentizaci a útočníci toho běžně využívají. Důvěřovat někomu jen proto, že zná konkrétní heslo, které v první řadě není tak silné, může vyústit v potíže.
Mnoho organizací půjde nad rámec toho nasazením dalších mechanismů ověřování, které umožní přístup uživatelů k VPN. Mohou použít vícefaktorové ověřování k prokázání, že konkrétní uživatel je tím, za koho se vydává, než získá přístup.
Tato metoda však není také úplně spolehlivá, protože útočníci ji mohou obejít. Přestože jsou uživatelé ověřeni a používají svá hesla, tým zabezpečení nemůže předpokládat, že tato konkrétní osoba má přístup do datového centra. Útočník může zneužívat přístupová práva uživatele k získání přístupu k firemním datům. Toto je jeden z běžnějších útočných vektorů.
Jedním potenciálním řešením pro zabezpečení vzdáleného přístupu je nasazení technologie EDR (endpoint detection and response) k ochraně koncových bodů. Tyto nástroje jsou navrženy tak, aby shromažďovaly data z koncových zařízení, jako jsou notebooky, a poté je analyzovaly, aby odhalily potenciální kybernetické hrozby a problémy, jako jsou pokusy o hackování.
Snižuje se tím riziko, že se neautentizovaný uživatel pokouší získat přístup, a zní to, jako by problém mohl být vyřešen. Ale každý zkušený útočník se může pokusit odstranit EDR nebo jiné řešení zabezpečení koncového bodu, aby získal přístup, a toto se občas děje.
Uvnitř datového centra
Řešení zabezpečení EDR a VPN neřeší jeden z nejrozšířenějších problémů, kterým organizace čelí: nadměrná oprávnění uživatelů. Když je lidem poskytnut příliš velký přístup ke zdrojům, je jim poskytována příliš velká důvěra. To je špatné z několika důvodů. Jedním z nich je, že zaměstnanec nemusí mít nejlepší úmysly nebo dokonce představovat vnitřní hrozbu. Další je, že pokud vnější vetřelec nějak získá přístup pomocí přihlašovacích údajů zaměstnance, vetřelec získá přístup ke stejným zdrojům, které má zaměstnanec k dispozici. V každém případě může být dopad značný.
Klíčem je, aby byl přístup z VPN vysoce selektivní a specifický pro uživatele. Konfigurace VPN s přístupem založeným na identitě nebo pomocí modernějších řešení, jako je přístup k síti s "zero trust" (ZTNA), zajistí, že kdokoli přistupující k síti bude autentizován a bude mít přístup pouze k těm aplikacím, ke kterým by měl mít.
Prolomení datového centra
Kromě těchto potenciálních vektorů útoku kyberzločinci často využívají další vstupní body do datových center, včetně zranitelných internetových aplikací, které běží na produkčních serverech, databázích a webových serverech. A i když organizace řádně chrání své servery a udržuje je interně v síti - buďte si jisti, že útočníci si najdou cestu a budou se pohybovat bočně, aby dosáhli důležitých aktiv.
Nejlepší způsob, jak zajistit zdroje IT před potenciálními hrozbami, je segmentovat datová centra a cloudové služby. Softwarová segmentace zejména pomáhá společnostem dosáhnout vyšší úrovně zabezpečení, zmenšit povrch útoku, zabránit laterálnímu pohybu a chránit kritická IT aktiva.
Na rozdíl od starších nástrojů segmentace, jako jsou brány firewall a virtuální sítě LAN (VLAN), nejnovější segmentační platformy integrují hloubkovou viditelnost celého prostředí IT do modulu zásad, což umožňuje týmům zabezpečení vytvářet podrobnější a přesnější programy a zásady zabezpečení.
Mohou automaticky vizualizovat celé prostředí datového centra, mapovat závislosti a toky aplikací, identifikovat mezery v zabezpečení a vytvářet zásady na základě klasifikace aktiv.
"zero trust" musí být flexibilní
I když díky názvu Zero Trust zní jako nepohyblivá strategie, je důležité, aby ji vedoucí představitelé zabezpečení v průběhu času neustále vylepšovali. Například narušení dat nebo útok zasvěceného člověka zevnitř společnosti může narušit schéma důvěryhodnosti, které vyžaduje okamžité a spontánní přiřazení k seznamu bloků. Organizace mohou také potřebovat převzít zpět důvěru na základě chování nebo vlastností, jako je například indikátor kompromisu počítače (IOC). Vytvoření pravidel rychlých bloků v síti pomáhá omezit poloměr dosahu kyberútoků.
Poskytování adekvátní kybernetické bezpečnosti, zejména v nově vznikajícím hybridním pracovním prostředí, může být skličující. Vektory hrozeb se někdy mohou zdát zdrcující a je jen málo jasné, jaká řešení budou dlouhodobě účinná. Přijetí myšlení útočníka poskytuje mnoha organizacím objektivní referenční rámec pro testování nových strategií a identifikaci problémů, než se stanou úniky dat.
Autor původního článku: Ophir Harpaz
Překlad: Ondřej Strachota