СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
20.07.2023
#Статьи #Dev#ИБ#ИИ#Инфра#Облака

Zero Trust — модель «нулевого доверия»

Zero Trust 8212 модель нулевого доверия

Zero Trust («нулевое доверие») — модель безопасности, которая была создана экс-аналитиком Forrester Джоном Киндервагом в 2010 году. На текущий момент выступает в качестве одной из наиболее распространенных концепций в глобальном кибербезе. Многочисленные утечки информации, происходящие в разных странах мира и в различных по размеру организациях, только лишний раз подтверждают необходимость предприятиям уделять огромное внимание информационной безопасности. И модель Zero Trust для многих может стать правильным выбором.

Под реализацией концепции Zero Trust понимается принцип «недоверия по умолчанию» ко всем участникам, даже если они находятся внутри защищенного периметра. Осуществление этого подхода включает микросегментацию, обеспечивающую детальное управление доступом и снижение возможной поверхности атаки за счет деления сети на множество сегментов. Вместо традиционной концепции «поверхности атаки», модель Zero Trust предлагает ориентир на «поверхность защиты», тем самым меняя привычные представления о безопасности. Следуя принципу минимальных привилегий, модель предоставляет участникам сети только те права, которые необходимы для выполнения их ролей. Многофакторная аутентификация становится обязательным элементом, усиливающим надежность идентификации пользователей и устройств. Все эти меры способствуют созданию системы, в которой осуществляется полный контроль над всеми действиями в сети, обеспечивая требуемый уровень безопасности и соответствие регуляторным нормам.

Редакция CISOCLUB опросила российских экспертов на тему модели Zero Trust. Мы поговорили о том, как применять моделирование угроз с учетом принципов Zero Trust, кто в компании должен отвечать за эту модель, и стоит ли привлекать подрядчиков к построению Zero Trust внутри организации, какие инструменты должны использоваться для контроля за соблюдением модели, а также задали ряд других вопросов. Мы пообщались со следующими специалистами:

  • Сергей Пыжик, первый заместитель генерального директора Infosecurity a Softline Company;
  • Станислав Навсегда, руководитель отдела сетевой безопасности и аудита компании Axoft;
  • Роман Подкопаев, генеральный директор Makves;
  • Дмитрий Пудов, генеральный директор NGR Softlab;
  • Дмитрий Ковалев, руководитель департамента информационной безопасности «Сиссофт»;
  • Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC;
  • Кай Михайлов, руководитель направления информационной безопасности, iTPROTECT.

Можете объяснить суть модели Zero Trust и почему важно придерживаться политики «никому не доверять» в сфере информационной безопасности?

Сергей Пыжик, первый заместитель генерального директора Infosecurity a Softline Company:

Сергей Пыжик, первый заместитель генерального директора Infosecurity a Softline Company

«Модель Zero Trust, или «Нулевого доверия» — это не просто концепция, это наша стратегия выживания в мире, где угрозы информационной безопасности могут исходить отовсюду. Это подход, который предполагает, что ни одному пользователю или устройству нельзя доверять по умолчанию, независимо от того, находятся ли они внутри или за пределами нашей сети.

Традиционные подходы к информационной безопасности, которые сосредоточены на защите периметра, уже не работают. Мы не можем просто построить стену вокруг нашей сети и надеяться, что это нас защитит. Угрозы могут прийти изнутри, от сотрудников, которые, возможно, даже не осознают, что они стали инструментом атаки. Или угрозы могут прийти извне, от хакеров, которые используют все более сложные и изощренные методы для проникновения в наши системы.

Вот почему мы принимаем модель Zero Trust. Мы не доверяем никому и ничему по умолчанию и требуем подтверждения идентичности и проверки безопасности на каждом шагу. Это не означает, что мы не доверяем нашим сотрудникам или партнерам. Это означает, что мы понимаем риски и делаем все возможное, чтобы их минимизировать».

Роман Подкопаев, генеральный директор Makves:

Роман Подкопаев, генеральный директор Makves

«Традиционно при организации системы информационной безопасности компании оперировали понятием «защита периметра». При этом внутри периметра (в корпоративной сети) образуется доверенная зона, в которой пользователи обладают определенной свободой действий. Такой подход был бы основополагающим длительное время, но свой вклад сначала внесла пандемия, размывшая периметры многих компаний. Далее ситуация усложнилась ростом атак на российские организации. На этом фоне растет популярность стратегии нулевого доверия, базовые принципы которой были сформулированы аналитиками компании Forrester более 10 лет назад.

Нулевое доверие на практике означает, что каждую попытку доступа к сети или приложению как внутри периметра, так и из-за его пределов, ИБ-системы должны воспринимать как потенциальную угрозу. Zero Trust — это модель информационной безопасности, которая по умолчанию запрещает доступ к приложениям и данным. Ваши данные — это и есть основная цель злоумышленников. Поэтому их защита является одной из основополагающих концепций стратегии «нулевого доверия». Учитывая текущую ситуацию с массовыми утечками данных и атаками на российские компании, переход к модели Zero Trust выглядит вполне реальным».

Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC:

Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC

«Модель Zero Trust является хоть и не новым, но современным подходом в информационной безопасности, который, как следует из названия, предполагает отсутствие доверия к любому пользователю или устройству даже во внутренней корпоративной сети.

Другими словами, эта модель подразумевает постоянную аутентификацию, авторизацию и проверку каждого запроса на доступ к ресурсам всех пользователей (учитывая уровень их привилегий), а не только внешних, как это было принято раньше.

Этот подход имеет целый ряд важных преимуществ:

  1. Повышение защищенности от внутренних угроз. Поскольку злоумышленники или скомпрометированные устройства могут попасть или даже находиться внутри организации, политика Zero Trust позволит предотвратить несанкционированный доступ и защитить корпоративную информацию.
  2. Использование принципа наименьших привилегий для обеспечения доступа к ресурсам организации только после прохождения идентификации и определения уровня привилегий пользователя, что снижает риски компрометации чувствительных данных.
  3. Повышение уровня защищенности от внешних угроз и уменьшение вероятности успешных сетевых атак благодаря снижению площади потенциальной угрозы, а также ограничению доступа и сдерживанию в случае ее успеха.
  4. Увеличение вероятности обнаружения инцидентов информационной безопасности. За счет механизма аудирования данная модель регистрирует все запросы на доступ, предоставляя детальную сетевую статистику, что позволяет обогатить обрабатываемую информацию и быстрее выявлять несоответствия политике безопасности организации, выявляя нарушения.

Модель Zero Trust в той или иной степени является де-факто стандартом в отрасли и распространена довольно широко. Однако набор технологий и их имплементаций, лежащих в основе принципа нулевого доверия, может сильно отличаться в зависимости от технологической зрелости компании и от ее размера. Особенно востребована данная модель среди организаций, у которых информационные и ИТ-активы имеют ключевое значение для бизнеса, например, финансовые учреждения, компании, относящиеся к здравоохранению, производству и промышленности, телекоммуникациях, ритейлу и другие.

Принцип нулевого доверия существует уже много лет. Эволюционируя и развиваясь, он постоянно обрастает новыми функциями, которые мы успешно применяем в услуге STEP SOC Центра сервисов информационной безопасности STEP LOGIC. В частности:

  • контекстная аутентификация позволяет нам вводить дополнительные факторы защиты, основанные на геоданных, машинном обучении и проводить поведенческий анализ, выявляя вредоносную активность,
  • благодаря микросегментации мы имеем возможность разделить сеть с использованием строгих политик ИБ,
  • при защите конечных точек можно фокусироваться на приложениях и устройствах независимо от их местонахождения,
  • механизмы аутентификации, гранулярного контроля доступа к облачным ресурсам и шифрования данных усиливают уровень защиты облачных услуг».

Кай Михайлов, руководитель направления информационной безопасности, iTPROTECT:

Кай Михайлов, руководитель направления информационной безопасности, iTPROTECT

«В прошлом информационная безопасность строилась довольно просто. Все устройства, которые были внутри периметра, были по умолчанию доверенными, а все, которые во вне – нет. Какие-то элементы внутри инфраструктуры считались более доверенными, а какие-то наоборот. Однако, мир не стоит на месте. После начала пандемии COVID-19, большая доля сотрудников перешла на удаленную или гибридную работу, и эта модель сохранилась во множестве организаций. Также многие компании осознали, что злоумышленник может проникнуть внутрь периметра без каких-либо больших затруднений, например, устроиться на работу. Это привело к тому, что прежний подход стал уходить в прошлое: теперь любое устройство может в какой-то момент можешь считаться недоверенным.

Концепция Zero Trust актуальна по причине того, что злоумышленник может находиться где угодно и в любой момент времени иметь доступ к корпоративной сети. Поэтому необходимо внедрять концепцию безопасности, в которой будет происходить проверка устройства на соответствие требованиям, выполняться идентификация или аутентификация пользователя, обеспечиваться защита и применение политик к устройствам, а также происходить реагирование в случае, если это устройство становится, например, заражено или к ним есть какие-то подозрения.

Как строилась «безопасная» инфраструктура ранее? Несколько слоев сетей, между которыми была устроена фильтрация. Долгое время это считалось достаточным. Теперь же нам требуется вводить политики на устройство и добавлять на них дополнительные звенья защиты. Чтобы этого добиться, необходима система, которая имеет глубокую интеграцию с проверкой устройств, осуществляющая идентификацию и аутентификацию.

Вкратце описать концепцию Zero Trust можно, разделив ее на 4 блока – аутентификация (SSO, MFA), мониторинг (SIEM), реагирование (EDR) и разграничение доступа с помощью модели, где применяются соответствующие политики. Самое важное в Zero Trust – данные, т.к. они – главный актив компании, а защитить его – цель всей концепции. Относительно этого актива строятся все принципы и определяется, что такое устройство, сеть и т. п.».

Из каких ключевых элементов должна состоять модель Zero Trust, с точки зрения процессов, средств защиты информации, персонала и ИТ-инфраструктуры?

Станислав Навсегда, руководитель отдела сетевой безопасности и аудита компании Axoft:

Станислав Навсегда, руководитель отдела сетевой безопасности и аудита компании Axoft

«Ключевые элементы, из которых должна состоять модель Zero Trust:

  • Во-первых, это возможность аутентификации и идентификации пользователя, а также возможность использования второго фактора, как пример – сертификат.
  • После авторизации необходимо определить ресурсы, до которых пользователь имеет доступ, с ограничениями по портам, IP, приложениям. Как пример: если администратору необходим доступ до сервера по RDP и SSH, нужно предоставить доступ только по этим приложениям до определенного ресурса.
  • Далее, необходимо всё это «хозяйство» анализировать, мониторить подключения и активность, иметь возможность использования политик. Например, подключение исключительно из RU зоны, подключение только с определенными параметрами и т. д.»

Дмитрий Пудов, генеральный директор NGR Softlab:

Дмитрий Пудов, генеральный директор NGR Softlab

«Ключевые принципы Zero Trust: по умолчанию всем объектам не доверяют; обеспечивается доступ с наименьшими привилегиями; реализован комплексный мониторинг безопасности. За время своего существования модель успела эволюционировать, появились стандарты и рекомендации, описывающие архитектуру, подходы к реализации в зависимости от фокуса и уровня зрелости компании. Для воплощения принципов Zero Trust в жизнь, скорее всего, не обойтись без модернизации инструментов управления доступом, сетевой безопасности, безопасности данных. Отдельно стоит обратить внимание, что принятие решения, исходя их текущего контекста, вероятно, потребует более интеллектуальных систем ИБ, таких как UEBA/NTBA».

Дмитрий Ковалев, руководитель департамента информационной безопасности «Сиссофт»:

Дмитрий Ковалев, руководитель департамента информационной безопасности «Сиссофт»

«Важно определить алгоритм развертывания модели Zero Trust исходя из специфики компании — начнете ли вы с наиболее критичных ресурсов или сначала протестируете новый подход на менее важных ресурсах прежде, чем масштабируете его на всю систему.

При разработке архитектуры Zero Trust важно точно определить, что и от кого защищать. От ответов на эти вопросы будет зависеть набор ключевых элементов и подсистем модели. Концепция подразумевает отсутствие доверия к пользователям, устройствам и самой сети, поэтому предполагает внедрение систем контроля и тотальной верификации. Это, в том числе, решения для аутентификации пользователей и доступа сотрудников к рабочим систем, системы контроля действий привилегированных пользователей, ПО для мониторинга работы корпоративных систем, анализа сетевого трафика, защиты периметра и так далее».

Кай Михайлов поддержал мнение коллег, заявив, что можно выделить сразу несколько элементов. Первый – шлюз, к которому устройство подключается в рамках удаленного доступа. Агентом может быть, например, NGFW или VPN-шлюз с возможностью аутентификации пользователя и проверки его на соответствие требованиям компании. Второй элемент – сервер управления, на котором будут составляться политики и который будет управлять работой в рамках концепции. Также, для защиты от внутреннего нарушителя, следует использовать решения класса NAC, которые позволят тому, кто задумался о внедрении Zero Trust, контролировать гостевой доступ и проводить аутентификацию устройств внутри, чтобы не допускать подключение неизвестных устройств к сети или важным активам, а также проводить проверку на соответствие внутренним требованиям по безопасности.

«Что касается Zero Trust с точки зрения процессов, то здесь есть два главных элемента: персонал и ИТ-инфраструктура. Ко второму относятся свитчи, маршрутизаторы, межсетевые экраны, которые интегрируются в систему Zero Trust. Если NAC является частью этой системы, то осуществляется в том числе и интеграция данных сетевых устройств в NAC. С точки зрения процессов и персонала концепция также вносит большие изменения. Например, раньше удаленный сотрудник подключался по VPN и попадал в инфраструктуру. Теперь же служба безопасности устанавливает на его домашней рабочей станции агент, который будет проверять его устройство на соответствие требованиям.

В целом же модель Zero Trust это скорее набор рекомендаций, на основе которых каждая конкретная компания старается выстроить работу «под себя». Выбор конкретного подхода зависит от того, какой из них более выгоден экономически, и более целесообразен. Кому-то будет достаточно перестроить СЗИ, кому-то потребуется заменить их на совместимые с Zero Trust», — пояснил эксперт.

Сергей Пыжик заметил, что модель Zero Trust – это стратегический подход к информационной безопасности, который предполагает отсутствие доверия по умолчанию. Этот подход включает в себя несколько ключевых элементов, а именно – процессы, средства защиты информации (СЗИ), персонал, ИТ-инфраструктуру.

«Процессы. В основе модели Zero Trust лежат четко определенные процессы, которые обеспечивают минимальные привилегии и постоянную аутентификацию. Это означает, что каждый запрос на доступ к ресурсам должен быть проверен, и никому не предоставляется больше доступа, чем необходимо для выполнения его задач.

СЗИ. Эффективная модель Zero Trust требует использования передовых технологий защиты информации. Может включать в себя системы идентификации и управления доступом, шифрование, инструменты для анализа поведения пользователей и другие меры безопасности.

Персонал. Люди играют центральную роль в модели Zero Trust. Они должны быть обучены принципам этой модели и понимать, как их действия влияют на безопасность организации.

ИТ-инфраструктура. Инфраструктура организации должна быть спроектирована таким образом, чтобы поддерживать принципы Zero Trust. Это может включать в себя сегментацию сети для изоляции различных систем и данных, а также меры безопасности на уровне приложений для защиты информации даже в случае проникновения в сеть».

Роман Подкопаев заявил, что в связи с тем, что защита данных является одной из основополагающих концепций стратегии «нулевого доверия», логично начать внедрение модели именно с этого процесса. Понимание того, какая информация в компании является конфиденциальной, где такая информация находится, и кто к ней обращается, — является основой защиты данных от потенциальных угроз. Очевидно, что в инфраструктуре любой компании курсируют тысячи документов, которые имеют реальную коммерческую ценность и запросто могут попасть «не в те руки».

«И если раньше было принято считать, что утечка данных происходит при пересечении информационного периметра компании, то согласно концепции нулевого доверия, фактическая утечка происходит во время предоставления доступа к данным. К примеру, сотрудники, которые еще вчера были лояльны компании, сегодня могут начать действовать совсем иначе по личным, политическим или экономическим мотивам. Поэтому важно понимать, кто является владельцем данных и кто использует их в своей работе. Именно такие задачи призваны решать DCAP системы», — подчеркнул генеральный директор Makves.

Каковы основные шаги и ключевые факторы успешного внедрения модели Zero Trust в организацию?

Дмитрий Пудов посоветовал в этом случае ориентироваться на рекомендации Forrester, которые ввели термин Zero Trust в 2010 году. В частности, для построения подробной дорожной карты они рекомендуют установить зрелость Zero Trust, определить текущие бизнес-инициативы и существующие возможности безопасности, а также желаемое состояние зрелости и временные рамки для ее достижения.

«Детальную дорожную карту предлагается разрабатывать с горизонтом двух-трех лет. За это время важно учитывать стратегию развития организации и ее подразделений. Подобные изменения с большой вероятностью потребуют пересмотра стратегии ИБ организации. Таким образом, поддержка руководства компании — один из ключевых факторов успеха программы внедрения Zero Trust, как и наличие соответствующих ресурсов. Forrester считает, что перемещение с 0 на 5 уровень зрелости может занимать до десяти лет», — отметил генеральный директор NGR Softlab

По словам Кая Михайлова, самый правильный путь – начать с работы по обеспечению соответствия стандартам и требованиям, т.е. проанализировать свои текущие политики и регламенты по ИБ, чтобы понять, соответствуют ли они концепции как таковой.

«Далее следует пересмотреть список средств защиты, годятся ли они для реализации такой модели. Если нет, надо заменить несовместимые. За один проект ZT (Zero Trust) не построить, это процесс, который в рамках внедрения тех или иных решений позволяет добиться реализации концепции Zero Trust.

Что касается конкретных решений, то следует начать с разграничения сетевого доступа, и доступа к приложениям и данным, затем провести работы по повышению уровня аутентификации и уровня логирования событий», — прокомментировал руководитель направления информационной безопасности, iTPROTECT.

Как провести эффективный диалог с сотрудниками и топ-менеджерами о значимости и принципах работы модели Zero Trust?

Кай Михайлов уверен, что ключевым звеном безопасности является донесение до сотрудников важности этой проблемы и поддержание их навыков в актуальном состоянии, иначе они могут начать саботировать внедренные практики и политики.

«Конечно, можно собрать всех в актовом зале и рассказать, что мир меняется и появились новые риски, поэтому теперь у нас изменится концепция безопасности. Однако, также это можно сделать с помощью специальных платформ класса Awareness, которые, продемонстрируют пользователям, как эти угрозы реализуются на практике, а также поднимут их уровень компетенции в данном вопросе. Это резко снизит поток негатива и вопросов в сторону ИБ-сотрудников организации. Такие мероприятия не проводятся единожды, это непрерывный процесс, однако со временем вопросов со стороны сотрудников станет меньше, а их лояльность к концепции повысится.

Что касается топ-менеджмента, тут нужно говорить с собеседником на его языке. Их язык – риски, а именно – какими убытками обернется успешная реализация атаки. Сообщив эту информацию, требуется донести, что хотя внедрение Zero Trust не является панацей, оно снижает потенциальную вероятность ущерба для бизнеса», — уточнил эксперт.

Как применять моделирование угроз, учитывая принципы модели Zero Trust?

Сергей Пыжик заявил, что реализация модели Zero Trust – это объективно сложная задача, и для ее успешного осуществления требуется вовлечение многих людей на разных уровнях организации.

«Но если сказать коротко и ясно, то основную ответственностью за внедрение Zero Trust должна нести команда ИБ. Именно специалисты ИБ обладают необходимыми знаниями и опытом, чтобы понять, как правильно применять принципы Zero Trust к существующей инфраструктуре.

Но вот что важно понять: хоть и команда ИБ и является главным драйвером этого процесса, Zero Trust – это не только вопрос технологий. Это также вопрос культуры и процессов в организации. Поэтому, чтобы действительно внедрить Zero Trust, нужно вовлечь и другие отделы. Например, отдел HR может помочь в обучении сотрудников принципам Zero Trust, а отдел управления может помочь в интеграции этих принципов в бизнес-процессы.

В конечном итоге, все должны понимать и принимать принципы Zero Trust. Это подразумевает изменение мышления на всех уровнях организации – от рядовых сотрудников до топ-менеджеров.

Как это организовать? В идеале начать с обучения и заручиться поддержкой от руководства. Важно, чтобы руководство понимало ценность и необходимость Zero Trust и активно поддерживало его внедрение. Далее нужна сильная ИБ-команда, которая будет вести этот процесс. И, конечно, желательно включить в этот процесс как можно больше людей из разных отделов, чтобы они могли внести свой вклад и помочь адаптировать Zero Trust к их специфическим потребностям».

По мнению Станислава Навсегда, в этом случае всё зависит от организации. Если она достаточно развита, то в реализации будут принимать участие команды, отвечающие за архитектуру, мониторинг, написание политик и администрирование систем. Если компания только начинает свой путь в ИБ, располагая не всеми средствами защиты, то организационная работа ляжет на плечи администратора системы. В реализации процесса ему помогут документы ФСТЭК России №239 и ГОСТ Р 57580».

Кай Михайлов заметил, что лучше всего на эту роль подойдет либо руководитель по ИБ (CISO), либо Certificate Auditor, который как раз плотно работает со всеми вопросами, касающимися соответствия стандартам и требованиям. Если же такого человека нет, подойдет кто-то со схожей экспертизой. Также можно рассмотреть вариант привлечения внешнего подрядчика.

Дмитрий Пудов уверен, что ответственность за реализацию должен брать на себя CISO/CSO или руководитель профильного подразделения.

Как лучше строить модель Zero Trust: самостоятельно или с привлечением подрядчика? Напишите плюсы и минусы обоих подходов

Дмитрий Ковалев подчеркнул, что выстроить безопасность компании на базе концепции Zero Trust можно и самостоятельно. Например, в открытых источниках сейчас много информации о том, как это сделать.

«Однако, опытный подрядчик позволит реализовать проект эффективнее и быстрее, так как выделит на это отдельные ресурсы и команду, а также будет опираться на свою экспертизу. Zero Trust всегда подразумевает аудит ИТ-ландшафта. «Третья сторона» сможет свежим взглядом посмотреть на инфраструктуру, выделить ее сильные и слабые стороны. У экспертов не будет «замыленного взгляда» и скрытых мотивов — это большой плюс», — заявил руководитель департамента информационной безопасности «Сиссофт».

По словам Дмитрия Пудова, традиционно ответ на этот вопрос зависит от ряда параметров: наличия собственной экспертизы, достаточных ресурсов и сроков реализации.

«Если организация привлечет экспертного подрядчика, имеющего опыт реализации подобных проектов, скорее всего, удастся избежать проблем архитектурного и ресурсного характера. Минусы очевидны: носители экспертизы уйдут после реализации проекта, и организация может столкнуться со сложностями в поддержке и развитии своей архитектуры Zero Trust. В силу длительности подобных проектов стоит обращаться к подрядчикам, на которых вы можете положиться в долгосрочной перспективе», — ответил на вопрос генеральный директор NGR Softlab.

Какие критерии и параметры важны при выборе подрядчика для внедрения модели Zero Trust?

Как заявил Кай Михайлов, оценивать и выбирать подрядчиков следует по таким критериям, как количество компетенций, наличие сертификатов, наличие ценных специалистов по ИБ, и их опыту.

В свою очередь, Дмитрий Ковалев порекомендовал обратить внимание на опыт и набор компетенций потенциального подрядчика. Для построения модели Zero Trust нужна не только экспертиза в инвентаризации инфраструктуры, но и опыт внедрения каждой новой подсистемы. В том числе в условиях гибридного формата работы организаций.

Как организовать процесс контроля за соблюдением модели Zero Trust и какие инструменты для этого лучше всего подходят?

Кай Михайлов: «Первым делом – система корреляции событий, SIEM. В рамках Zero Trust основная задача — повысить уровень логирования, но, если будет слишком много логов, не хватит ресурсов на отслеживание. Поэтому SIEM – оптимальный инструмент для выстраивания работы с данными о нарушениях. Впоследствии следует развить работу до полноценного SOC.

Второе – использовать решения класса Awareness, чтобы повысить уровень киберграмотности сотрудников.

Третье – автоматическое реагирование. Работа с инцидентами – комплексный процесс, который включает в себя несколько этапов. Для того чтобы усилить защиту конкретного звена инфраструктуры сразу после фиксации инцидента большая часть современных средств защиты имеет функционал по автоматическому реагированию на угрозы. Автоматические действия зачастую несут целью не точно устранить угрозу т.к. а, скорее, локализовать проблему и изолировать её, чтобы не допустить дальнейшего распространения».

Какие действия следует предпринять в случае обнаружения рисков или угроз в рамках модели Zero Trust?

По словам Кая Михайлова, основные понятия и рекомендации по тому, как работать с рисками и угрозами, прописаны в различных регламентах и стандартах, например, ISO 27005. Основываясь на них, каждая организация уже сама строит работу с рисками в рамках Zero Trust так, как подходит ей. При этом стоит использовать инструменты для автоматизации управления рисками, например SGRC.

Как проводить оценку эффективности модели Zero Trust и какие показатели при этом стоит учитывать?

Кай Михайлов подчеркнул, что Zero Trust – концепция не абстрактная. Она развивается естественно из всех наработок по ИБ, которые применяются в течение многих лет.

«Поэтому, здесь нет ничего нового в плане технологий и подходов по проверке. Следует проводить регулярную инвентаризацию активов и рисков, проводить Pentest’ы, а, в идеале, организовать работу Red Team – команды, которая будет тестировать системы, имитируя действия злоумышленников».

Можете дать несколько общих рекомендаций для компаний, которые только начинают внедрение модели Zero Trust?

Кай Михайлов: «На самом деле, многие организации уже могут задуматься о внедрении Zero Trust. Большинство компаний используют NGFW-решения, и именно с них можно начать, настроив их так, чтобы они подходили под методологию концепции. В целом же, если вы используете те или иные СЗИ, вы можете протестировать работу концепции на них и уже в дальнейшем основывать работу на результатах этого испытания».

Станислав Навсегда: «Перед внедрением любого продукта необходимо провести аудит. И ZTNA (Zero Trust Network Access – Сетевой доступ с нулевым доверием) – не исключение. Далее, нужно разработать план внедрения, который определит, кому и куда будет предоставлен доступ, а также кто будет отслеживать этот доступ и активности пользователя. Следующий этап – после внедрения – выход на пусконаладочные работы и удаление всех «шероховатостей». Это позволит эксплуатировать систему в комфортном режиме. Нелишней будет разработка инструкции для внутренних и внешних пользователей».

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: