Подход к кибербезопасности, основанный на принципе «нулевого доверия» (zero trust), существует более 15 лет, однако организации продолжают сталкиваться с трудностями в его внедрении, во многом из-за фрагментированных инструментов и устаревшей инфраструктуры.
Недавний отчет компании Accenture демонстрирует широкую распространенность проблем в отрасли при развертывании технологий нулевого доверия, что соответствует опыту экспертов и специалистов по безопасности, опрошенных CSO.
Сеть нулевого доверия предполагает применение системы безопасности, в которой ни один пользователь или устройство не доверяется по умолчанию. В рамках подхода нулевого доверия каждая попытка доступа сопровождается подтверждением личности и соответствием устройства требованиям, независимо от того, исходит она ли изнутри организации или нет.
Этот подход контрастирует с традиционными моделями «замка и рва», где устройства внутри корпоративной сети автоматически считались надежными.
Многие предприятия медленно продвигаются в своих путях к внедрению нулевого доверия, главным образом потому, что реализация требует коренного изменения как мышления, так и инфраструктуры. Ключевые препятствия включают:
- Устаревшие системы, которые не были разработаны с учетом принципов нулевого доверия,
- Фрагментированные инструменты управления идентификацией и доступом, затрудняющие централизованное применение политик, и
- Культурное и организационное сопротивление изменениям устоявшихся моделей доверия.
Кайл Уикерт, технический директор AlgoSec, утверждает, что нулевое доверие остается одной из самых недопонимаемых трансформаций в сфере кибербезопасности.
«Многие организации по-прежнему не решаются перейти к нему, потому что ассоциируют нулевое доверие с жесткой архитектурой, операционной сложностью и высокими затратами на внедрение», – говорит Уикерт. «Это представление уходит корнями в прошлое, когда для применения сегментации политик приходилось перераспределять IP-адреса, перепроектировать маршрутизацию, перестраивать VLAN или даже физически перепрокладывать кабели.»
Общий переход к программно-определяемым и облачным ЦОД (центрам обработки данных) облегчил решение проблем, связанных с устаревшими системами, но при этом создал новые проблемы в виде растущей сложности политик и приложений.
«Одно из самых больших препятствий для внедрения нулевого доверия в масштабе больше не является инфраструктура, – отмечает Уикерт. – Это задача определения, управления и поддержания политик, которые адаптируются в гибридных сетях, охватывающих межсетевые экраны, встроенные в облако средства управления, SDN, SD-WAN и SASE-технологии». Он добавляет: «Наиболее эффективный способ преодолеть эти проблемы — сместить акцент сегментации с «устройств и подсетей» на «приложения и их подключение».
Ричард Холланд, технический директор по безопасности Quorum Cyber, специализирующейся на кибербезопасности, основанной на угрозах, утверждает, что нулевое доверие – это метод повышения зрелости системы безопасности организации, а не набор продуктов и услуг.
«Я бы сказал, что технология для достижения нулевого доверия существует уже некоторое время, и CISO и CIO, возможно, уже находятся на пути к этому, даже не осознавая этого», – говорит Холланд. «Рассматривая нулевое доверие как путь к улучшению кибербезопасности, и прибегая к небольшим, пошаговым улучшениям, можно быстро итерировать серию усовершенствований.»
Другие эксперты в области кибербезопасности считают, что миграция к нулевому доверию предоставляет возможность поддержать более масштабные проекты трансформации ИТ-инфраструктуры.
Стивен Фридакис, CISO-резидент в Cyderes, говорит, что переход от сетевых правил к правилам, основанным на идентификации, которые присущи внедрению нулевого доверия, предоставляет карту пути к более «безопасным, простым и надежным» корпоративным архитектурам.
«Диапазоны IP-адресов, VLAN и физические местоположения недолговечны и быстро устаревают, особенно с учетом слияний и поглощений и внедрения облаков», – объясняет Фридакис. «Доступ, основанный на идентификации, следует за пользователем и устройством, а не за сетью.»
Он добавляет: «Это устраняет разрастание межсетевых экранов, сокращает накладные расходы инженеров и обеспечивает применение намерения, а не инфраструктуры.»
Будьте в курсе
CISO Университета Техаса Джордж Финни обсудил нулевое доверие со сотнями руководителей служб безопасности. Эти разговоры выявили несколько общих факторов, объясняющих, почему проекты нулевого доверия терпят неудачу.
Во-первых, внутренняя политика может сорвать внедрение нулевого доверия. «Технологии в компании обычно обслуживаются и поддерживаются в отдельных подразделениях», – говорит Финни. «Эти подразделения могут не понимать общую картину того, какой риск представляет собой нарушение кибербезопасности и сопротивляться изменениям.»
Напротив, в организациях, успешно перешедших к нулевому доверию, «руководство во всех областях соглашается с тем, что безопасность является ключевым элементом успеха организации в целом», – говорит Финни.
Недостаточная осведомленность также может служить препятствием для успешного развертывания технологий нулевого доверия, по словам Финни.
«Начало проекта нулевого доверия требует большего, чем просто изменение дизайна сети или внесение изменений в настройки приложения», – говорит он. «Все члены команды должны понимать, что такое нулевое доверие, почему организация это делает и какую роль они будут играть в его поддержке.»
«Это означает, что каждый проект нулевого доверия должен начинаться с обучения, чтобы изменить не только технологии, но и культуру организации», – добавляет он.
Гэри Брикехаус, CISO в GuidePoint Security, отмечает, что «излишне сложный подход» к внедрению нулевого доверия привел к увеличению затрат и сроков, поскольку организации стремятся к слишком строгому соответствию принципам нулевого доверия.
«Большинству организаций будет полезен упрощенный подход, основанный на оценке рисков, выявление критически важных сценариев использования, которые достижимы и обеспечивают желаемое снижение рисков», – говорит Брикехаус. «Ранние успехи в улучшении безопасности организации и продвижении “делового процесса ZT” повышают уверенность в организации.»
Роб Форбс, CISO в Stratascale, советует руководителям служб безопасности разрабатывать стратегическую дорожную карту до начала любого проекта нулевого доверия.
«[CISO] должны начать с комплексной оценки текущего состояния безопасности и активов», – советует Форбс. «Затем разработайте дорожную карту для внедрения нулевого доверия, уделяя приоритетное внимание критическим активам и областям высокого риска.»
Эти шаги должны сопровождаться инвестициями в обучение и инструменты для поддержки перехода к модели нулевого доверия, которые должны быть открыты для дальнейшей доработки по мере развития требований.
«[Компании] должны регулярно пересматривать и обновлять свою стратегию нулевого доверия, чтобы адаптироваться к новым угрозам и технологиям», – добавляет Форбс.
ИИ «усиливает» парадигму нулевого доверия
По мере того как Агентный ИИ все больше интегрируется в бизнес, стандартные принципы нулевого доверия должны быть расширены для обеспечения безопасности предприятия.
К 2027 году рост ИИ-агентов заставит 50% CIO перестроить и автоматизировать управление доступом к данным и авторизацию, чтобы снизить злоупотребления и утечки в рамках архитектуры нулевого доверия, согласно аналитической компании IDC.
Эксперты в области кибербезопасности призывают организации внедрить новую волну нулевого доверия, распространив его действие на ИИ-агентов. На практике это означает применение строгих контекстных границ, контроль доверенных доменов и специализированные проверки безопасности ИИ.
Джон Киндерваг, главный евангелист Illumio, говорит CSO, что «ИИ не меняет парадигму нулевого доверия — он ее укрепляет.»
«ИИ работает в рамках основных правил кибербезопасности, и атаки работают только при наличии открытой двери», — утверждает Киндерваг.
Больший риск исходит от моделей ИИ, по словам Киндервага.
«Модели ИИ могут стать проблемой, если ими не управлять в режиме нулевого доверия», — говорит он. «Если организация не рассматривает свои модели ИИ как защищаемые поверхности, она рискует манипуляцией, отравлением или кражей.»
В большинстве случаев ИИ поддерживает внедрение нулевого доверия.
«Хороший ИИ выделяет шаблоны связи с высоким уровнем риска, выявляет необычное поведение и ускоряет процессы, такие как маркировка и реализация политики», — объясняет Киндерваг. «ИИ может помочь на каждом этапе пятиступенчатой методологии нулевого доверия, но он действительно помогает организациям выходить за рамки устойчивости к антихрупкости.»
Автор – John Leyden
