Díky vysoké sofistikovanosti současných kybernetických hrozeb mohou být zdánlivě pevné hradby vašeho digitálního prostředí snadno překonány. Stačí nalézt jediný slabý článek v řetězci – uniklé heslo, nezabezpečený počítač či špatně nastavenou cloudovou aplikaci. V tomto článku se proto zaměřím na základní pilíře moderního zabezpečení postaveného na principech nulové důvěry – Zero Trust.
(Ne)důvěryhodný síťový perimetr
Tradiční bezpečnostní koncept na bázi zabezpečení perimetru, je model, který se zaměřuje na zabezpečení sítě prostřednictvím ochrany jejich hranic. Bezpečnost je zajištěna díky implementaci firewallů, sítí VPN a dalších bezpečnostních opatření na okraji sítě, aby se zabránilo neoprávněnému přístupu zvenčí. Vše uvnitř sítě je důvěryhodné a vše mimo ni nikoli.
V dnešním velmi dynamickém IT prostředí ovšem není možné bezpečnostní perimetr ohraničit stěnami budovy, kanceláře či vnitropodnikovou sítí. Datová úložiště a mailové servery běžící ve vaší serverovně jsou nahrazovány moderními cloudovými nástroji. Zaměstnanci pracují hybridně a k firemním zdrojům se připojují z různých míst a z různých zařízení, včetně těch soukromých. Rychlá a efektivní spolupráce mezi interními uživateli, externími dodavateli a zákazníky se stala nezbytností. Transformace prodejních či zákaznických systémů do cloudu z důvodu snadného škálování, průběžného vývoje a zrychlení nasazení nových verzí je dnes obrovskou konkurenční výhodou.
Všechny zmíněné faktory zásadně ovlivňují celkovou bezpečnost vašeho IT prostředí. Kyberzločincům se nabízí mnohonásobně více možností ke kompromitaci vašich identit či zařízení, infiltraci do vašeho prostředí, zcizení dat, poškození vaší reputace. Nejrůznější studie také uvádí, že útoky nepřicházejí vždy pouze zvenčí, ale zhruba 30% útoků je vedeno zevnitř organizace. Ať už se jedná o úmyslné chování či nedbalost.
Důvěra v interní prostředí, firemní zařízení či identitu zaměstnance je tak velmi iluzorní.
Nulová důvěra
Koncept nulové důvěry je založen na axiomu, že samotná důvěra je zranitelnost. Slogan “nikomu nevěř, vždy ověřuj” (never trust, aways verify) pak jasně signalizuje, že tento bezpečnostní model stojí v přímém protikladu proti perimetrické ochraně.
Nejedná se přitom o módní výstřelek posledního roku či dvou. První reálné nasazení tohoto konceptu v enterprise prostředí společnosti Google (iniciativa BeyondCorp) se datuje do roku 2009. Bezpečnostní model se od té doby stále více rozšiřuje a je považován za efektivní reakci na komplexitu a proměnlivost kybernetických hrozeb. Zároveň nejde o pouhou sadu konkrétních technologií, ale holistickou bezpečnostní filozofii, která prostupuje každý aspekt infrastruktury organizace a proaktivně ji chrání před vyvíjejícími se kybernetickými hrozbami.
Co jsou klíčové principy Zero Trustu?
- Explicitní ověřování – Před udělením přístupu k firemním zdrojům musí být každý uživatel a zařízení ověřeno a autorizováno. Bez ohledu na lokaci.
- Minimální oprávnění – Uživatelům a zařízením je udělena pouze minimální úroveň přístupu nezbytná k provádění jejich úkolů, což snižuje potenciální dopad v případě kompromitace.
- Mikrosegmentace – Nikdy není udělen plošný přístup. Pohyb mezi síťovými zónami či různými firemními aplikacemi je neustále ověřován a autorizován.
- Nepřetržité monitorování – Aktivita je nepřetržitě monitorována, aby bylo možné detekovat a reagovat na podezřelé chování v reálném čase.
Ochrana je typicky vícevrstvá a velmi důležitou roli v ní hraje schopnost úzké integrace mezi použitými technologiemi. Představme si ty nejzásadnější.
Identita uživatele
Moderní systémy řízení identit a přístupů (Identity and Access Management – IAM) hrají v dnešním IT prostředí klíčovou roli. Díky nim snadno propojíte zaměstnance, obchodní partnery i zákazníky a umožníte jim efektivní a bezpečnou spolupráci odkudkoli. Tyto nástroje vám umožní zavést centralizovat správu všech uživatelských účtů, moderní způsoby autentizace (multi-factor, passwordless), jednotného přihlašování a řízení přístupu do všech firemních aplikací. Díky nim zvýšíte bezpečnost, ale také zlepšíte uživatelskou zkušenost.
Správa koncových bodů
V rámci nulové důvěry se moderní správa zařízení (koncových bodů) stala kritickým prvkem první linie obrany. Každý koncový bod totiž představuje potenciální vstupní bránu útočníka do vašeho prostředí. Moderní nástroje MDM (Mobile Device Management) / UEM (Unified Endpoint Management) usnadňují nejen nasazení, konfiguraci a správu všech firemních zařízení, ale organizacím nabízí také dohled na využitím soukromých zařízení v režimu BYOD, zajišťují shodu s firemními bezpečnostními politikami a hrají klíčovou roli při autorizaci přístupu zařízení na firemní zdroje.
EDR a XDR
Klasické antiviry založené na aktualizaci virové báze dodavatelem řešení jsou dávno přežitek. Systémy EDR (Endpoint Detection and Response) neustále monitorují koncové body, zda nevykazují známky kompromitace. Analyzují a vyhodnocují anomálie s využitím strojového učení (ML) a umělé inteligence (AI), aby zabránili dosud neznámým typům útoků, využívajících takzvané zero-day zranitelnosti. XDR (Extended Detection and Response) nástroje rozšiřují tuto funkcionalitu o další ochranné mechanismy na úrovni síťové, cloudové a aplikační vrstvy.
Zero Trust Network Access
Technologie ZTNA (Zero Trust Network Access) umožní nahradit vaši současnou VPN (Virtual Private Network). Namísto širokého přístupu na úrovni sítě, klade důraz na mikrosegmentaci a moderní přístup na úrovni aplikací. K dispozici je také ochrana před internetovými hrozbami díky klasifikaci a inspekci síťového provozu.
Ochrana dat
Řízení toku dokumentů a ochrana organizace před únikem dat je dalším důležitým bezpečnostním prvkem. Systémy umožňují automatizovanou klasifikaci a ochranu emailů a dokumentů na základně typu úložiště, výskytu klíčových slov, definovaných textových vzorů atd. Zabraňují tak jejich nepovolenému sdílení mimo organizaci anebo okruh příjemců.
SIEM a SOAR
Systémy SIEM (Security Information and Event Management) slouží k centrálnímu sběru aplikačních a systémových logů a auditních záznamů pro účely následné analyzy. Jsou to oči a uši, které prosévají velké množství získaných informací, aby v nich rozeznaly potenciální hrozby. Platformy SOAR (Security Orchestration, Automation and Response) doplňují SIEM zavedením automatizace a orchestrace do procesu odezvy. V dnešní době opět s využitím umělé inteligence.
Úskalí adopce Zero Trust konceptu
Velkou roli při adopci Zero Trust principů hraje jasně definovaná IT strategie a koncepční postup. Není v silách žádné organizace přijmout všechny principy a technologie v jeden okamžik. Při nasazení jednotlivých komponent je proto vždy nutné postupovat systematicky, v promyšlených krocích a také s ohledem na dopad na existující procesy a uživatele. Dobře provedená adopce může dramaticky posílit bezpečnost organizace a zároveň zlepšit uživatelskou zkušenost díky sjednocení a zjednodušení přístupu, autentizace a autorizace. Nesprávné nasazení může naopak vést k velké nespokojenosti uživatelů, záměrnému obcházení bezpečnostních pravidel a pozdějším nekoncepčním ústupkům.
Na závěr je dobré si zopakovat, že přijetím těchto moderních bezpečnostních principů nepřijímáme pouze novou sadu nástrojů. Pěstujeme tím kulturu myšlení, komplexního dohledu a proaktivních protiopatření. Je to nepřetržitá a nekonečná cesta s cílem minimalizace rizika a dopadů případného kybernetického útoku.