Подходът на т.нар. нулево доверие за контрол на достъпа в киберсигурността е на повече от 15 години, но организациите по света продължават да се затрудняват в неговото внедряване. До голяма степен това се дължи на фрагментирания инструментариум и остарялата инфраструктура.
Неотдавнашен доклад на Accenture рисува картина на масово разпространени трудности в индустрията на киберсигурността, когато става дума за внедряването на технологии с нулево доверие. Наблюдението съвпада с опита на експертите по ИТ сигурността.
Инфраструктурите, базирани на нулево доверие, стъпват на рамка за киберсигурност, при която никой потребител или устройство не се ползва с доверие „по подразбиране“. При нулевото доверие всеки опит за достъп е съпроводен с удостоверяване на самоличността и съответствие на устройството, независимо дали произхожда от самата организация или не.
Този подход замени традиционния модел, наричан „замък, обграден от ров“, при който устройствата в корпоративна мрежа се ползват с доверие по подразбиране.
Много предприятия напредват бавно по пътя си към въвеждането на т. нар. нулево доверие. До голяма степен е така, защото внедряването изисква фундаментална промяна както в начина на мислене, така и в инфраструктурата. Основните пречки включват:
- остарели системи, които не са проектирани въз основа на принципите на нулевото доверие,
- фрагментирани инструменти за управление на идентичността и достъпа, които затрудняват унифицираното прилагане,
- културна и организационна съпротива срещу променящите се дългогодишни модели на доверие.
Нулевото доверие остава една от най-неразбраните трансформации в киберсигурността, смята Кайл Уикърт, главен технически директор в AlgoSec. „Много организации все още се колебаят дали да внедрят метода, защото свързват нулевото доверие с твърди архитектури, оперативна сложност и високи разходи за внедряване“, казва Уикърт.
„Това възприятие се корени в отминалите дни на преназначаване на IP адреси, препроектиране на маршрутизацията, пренастройване на VLAN мрежи или физическо пренасочване на среди, само за да се наложат политики за сегментиране“, допълва той.
Преминаването към софтуерно дефинирани и облачно управлявани центрове за данни до голяма степен елиминира старите предизвикателства, но същевременно създаде нови проблеми под формата на нарастваща сложност на политиките и приложенията.
„Една от най-големите пречки за постигането на нулево доверие в мащаб вече не е инфраструктурата, а предизвикателството да се дефинират, управляват и поддържат политики, които се адаптират в хибридните мрежи, обхващащи локални защитни стени, облачни контроли, SDN, SD-WAN и SASE технологии“, казва Уикърт.
„Най-ефективният начин за преодоляване на тези предизвикателства е да се измести фокусът на сегментирането от „устройства и подмрежи“ към приложенията и тяхната свързаност“, допълва той.
Важно е да се разбере, че нулевото доверие представлява метод за подобряване на сигурността на организацията, а не набор от продукти и услуги, подчертава Ричард Холанд, CISO на терен в компанията за киберсигурност Quorum Cyber.
„Технологията за постигане на нулево доверие съществува от известно време и CISO и CIO може би вече са се озовали насред пътната карта на внедряването му, без да осъзнават, че това, което правят, се казва нулево доверие“, казва Холанд.
„Когато разбирате нулевото доверие като път за подобряване на киберсигурността, стъпка по стъпка можете да преминете през серия от подобрения в относително бърза последователност“, подчерта той.
Други експерти по киберсигурност твърдят, че миграциите с нулево доверие предлагат възможност за подкрепа на по-амбициозни проекти за ИТ трансформация.
Преминаването от мрежово базирани правила към правила, базирани на идентичност, присъщи на внедряванията с нулево доверие, предлага пътна карта към „по-безопасни, по-прости и по-издръжливи“ корпоративни архитектури, казва Стивън Фридакис, CISO в Cyderes.
„IP диапазоните, VLAN и физическите местоположения са крехки и остарели, особено при случаи на сливания и придобивания и при възприемане на облачни технологии“, обяснява Фридакис. „Достъпът, базиран на идентичност, следва потребителя и устройството, а не мрежата“.
Всъщност нулевото доверие прави ненужно разгръщането на защитни стени, намалява инженерните разходи и извежда на преден план намерението, вместо инфраструктурата.
По-умно
Има няколко често срещани причини, поради които проектите за т. нар. нулево доверие се провалят, казва Джордж Фини, CISO на Тексаския университет. На първо място сред тях е вътрешната политика.
„Технологиите в дадена компания обикновено се управляват и поддържат изолирано едни от други“, казва Фини. „Тази разпокъсаност може да доведе до неразбиране на общата картина – колко голям риск може да представлява един пробив в киберсигурността – което води до противопоставяне на промяната“.
Обратно, в организациите, които успешно са преминали към нулево доверие, „ръководството във всяка област е съгласно, че сигурността е основна част от успеха на организацията като цяло“, казва Фини.
Недостатъчното образование може също да действа като бариера, възпрепятстваща успешното внедряване на технологии за нулево доверие.
„Стартирането на проект за нулево доверие изисква повече от обикновена промяна на дизайна на мрежа или модифициране на някои настройки в някое приложение“, казва той. „Всеки в екипа трябва да разбира какво е нулево доверие, защо организацията го прави и каква роля ще играе то за бизнеса“.
Това означава, че всеки проект за нулево доверие трябва да започне най-напред с образование. Това ще помогне за промяна не само на технологията, но и на културата на организацията.
„Прекалено сложният подход“ към нулевото доверие е друга често срещана причина. Това води до увеличение на разходите и сроковете, предупреждава Гари Брикхаус, CISO в GuidePoint Security. „Повечето организации биха се възползвали от опростен подход, основан на риска, който идентифицира критичните сценарии на употреба, които са постижими и водят желания резултат за намаляване на риска“, казва Брикхаус.
Необходима е „стратегическа пътна карта“, която лидерите по ИТ защитата следва да очертаят, преди да се заемат с какъвто и да е проект за нулево доверие, отбелязва Роб Форбс, CISO в Stratascale.
„CISO трябва да започнат с цялостна оценка на текущото състояние и активите по отношение на сигурността“, съветва Форбс. „След това могат да разработят пътна карта за внедряване на нулево доверие, като приоритизират критичните активи и областите с висок риск“.
AI „подсилва“ парадигмата за нулево доверие
Тъй като агентните AI все по-често стават част от бизнеса, стандартните принципи за нулево доверие трябва да бъдат разширени, за да се гарантира сигурността на предприятието.
До 2027 г. растежът на AI агентите ще подтикне 50% от ИТ директорите да преструктурират и автоматизират управлението на достъпа и оторизациите. Така те могат да намалят злоупотребата и изтичането на информация като част от архитектурата за нулево доверие, според анализаторската фирма IDC.
Експертите по сигурност призовават организациите да мислят за „нова вълна на нулево доверие“, която се простира отвъд хората и устройствата – за да обхване и AI агентите. На практика това означава прилагане на строги граници на контекста, контрол на доверените домейни и ревизии на сигурността от гледна точка на AI.
„AI не променя парадигмата за нулево доверие – той я подсилва“, казва Джон Киндерваг, главен евангелист в Illumio. „AI работи в рамките на ограниченията на основните правила на киберсигурността и атаките работят само ако има отворена врата“, твърди Киндерваг. По думите му, по-големият риск идва от моделите с изкуствен интелект.
„Моделите с изкуствен интелект могат да се превърнат в пасив, ако не се управляват от принципа на нулево доверие“, казва той. „Ако една организация не третира своите модели с изкуствен интелект като защитни повърхности, тя рискува да й се случат манипулации, отравяне или кражба“.
