“Презумпцията за пробив“ в киберсигурността помага за откриване и изолиране на нашествениците, преди да нанесат сериозни щети (снимка: CC0 Public Domain)
В съвременния динамичен пейзаж в сферата на киберсигурността всички доставчици и експерти предлагат още и още технологии, системи, комбинации и цели портфейли от продукти. Но специалистите са на мнение, че начинът, по който се внедряват различните решения за защита, трябва да бъде подчинен на нов подход в мисленето: „презумпция за пробив“.
Традиционните периметрови модели за ИТ сигурност вече не са подходящи за днешния свят на бизнес, в който технологичната инфраструктура включва облачни услуги и мобилни потребители. Опитните и добре мотивирани нападатели могат да проникнат в корпоративните мрежи и да останат извън радара на вниманието в продължение на седмици или дори месеци.
Затова от доста време специалистите по виртуална защита повтарят, че въпросът днес не е дали ще ни се случи пробив, а кога. Именно в това е същността на новата парадигма в киберсигурността. Тя предполага приемането на идеята, че пробивът ще се случи рано или късно, а може би дори вече се е случил. От това следва нуждата от структуриране на ИТ системите така, че да се сведат до минимум щетите и да се опазят „скъпите“ елементи.
Крадецът е вътре
Ако сравним ИТ инфраструктурата на организацията с жилището на едно семейство, то новата парадигма предполага да приемем, че рано или късно в дома ще влезе крадец, колкото и решетки и ключалки да са монтирани. Оттам насетне въпросът за семейството е какво ще намери и открадне бандитът. Най-важните, най-ценните неща трябва да бъдат прибрани така, че да останат недосегаеми дори за опитния обирджия.
Когато е налице „презумпция за пробива“, важно е да се помогне за откриването и изолирането на нашествениците, преди да преминат през фирмената мрежа и да нанесат сериозни щети. Работата с подобно разбиране генерално променя стратегиите за откриване и реагиране на инциденти.
„Нулево доверие“
Приемането на пробива е тясно свързано с концепцията за „нулевото доверие“. Това означава да се предполага, че пробивът дебне на всяка стъпка и съответно е нужно ограничаване на доверието към приложения, услуги, идентификационни данни, мрежи. Всички те следва да се третират – независимо дали са вътрешни или външни – като несигурни и вероятно вече компрометирани.
Всичко това не изключва усилията и грижите за предпазване от пробиви. Задължителни си остават всички мерки за защита, мониторинг и забелязване на нередности. Но презумпцията за пробив помага за повишаване на защитните сили чрез упражняване и измерване на реактивните способности в случай на евентуален пробив.
С презумпцията за пробив“ акцентът върху сигурността се променя и пренасочва към идентифициране и адресиране на пропуски в:
- Откриването на атаки и случаи на проникване;
- Реагиране на атаки и проникване;
- Възстановяване при изтичане на данни, подправяне или компрометиране;
- Предотвратяване на бъдещите атаки и прониквания.
„Презумпцията за пробив“ всъщност проверява дали механизмите за защита, откриване и реагиране са внедрени правилно – намалявайки потенциалните заплахи от „добре осведомени злодеятели“ (такива, които използват легитимни активи, например компрометирани профил;и и машини).
Принцип за справяне
За ефективното справяне с предполагаемите пробиви специалистите препоръчват ИТ инфраструктурата да се структурира така, че да има няколко нива и тези нива да са добре защитени едно от друго. Обичайно най-ниското ниво обхваща крайните устройства, където е най-вероятно да се случи пробивът. Останалата част от инфраструктурата е добре да е защитена от крайните устройства, изхождайки от разбирането, че те са най-вероятният вектор на атаката. Централните, главни и най-важни елементи от инфраструктурата следва да са обособени в трето ниво, което на свой ред е защитено от останалата инфраструктура.