6 המלצות CISO מהנחיית אפס אמון של ה-NSA

6 המלצות CISO מהנחיית אפס אמון של ה-NSA

חותמת זמן: 15 במרץ 2024 8:25

המציאות של אבטחת סייבר עבור חברות היא שיריבים מתפשרים על מערכות ורשתות כל הזמן, ואפילו תוכניות למניעת פריצות מנוהלות היטב נאלצות להתמודד לעתים קרובות עם תוקפים בתוך ההיקף שלהן.

ב-5 במרץ, הסוכנות לביטחון לאומי המשיכה בהמלצת השיטות הטובות ביותר שלה לסוכנויות פדרליות, ופרסמה את גיליון המידע האחרון בנושא אבטחת סייבר (CIS) על עמודת הרשת והסביבה של מסגרת אפס האמון שלה. מסמך ה-NSA ממליץ לארגונים לפלח את הרשתות שלהם כדי להגביל משתמשים לא מורשים לגשת למידע רגיש באמצעות פילוח. הסיבה לכך היא שאמצעי אבטחת סייבר חזקים יכולים למנוע מהפשרות להפוך להפרות מלאות על ידי הגבלת הגישה של כל המשתמשים לאזורים ברשת שבהם אין להם תפקיד לגיטימי. 

השמיים הנחיות מה-NSA מאפשרת גם לצוותי אבטחה להגיש מקרים עסקיים חזקים יותר להנהלה לצורך הגנות אבטחה, אבל CISOs צריכים להגדיר ציפיות מכיוון שהיישום הוא תהליך מדורג ומורכב.

בעוד שהמסמך מכוון לארגונים ותעשיות ממשלתיות הקשורות לביטחון, העולם העסקי הרחב יכול להפיק תועלת מהנחיה אפס אמון, אומר סטיב וינטרפלד, CISO מייעץ בענקית שירותי האינטרנט Akamai.

"המציאות היא לא אם יש לך אירועי גישה לא מורשית, זה אם אתה יכול לתפוס אותם לפני שהם הופכים להפרות", הוא אומר. "המפתח הוא 'נראות עם הקשר' שמיקרו-פילוח יכול לספק, מגובה ביכולת לבודד במהירות התנהגות זדונית."

לחברות יש יצא ליוזמות אפס אמון כדי להפוך את הנתונים, המערכות והרשתות שלהם לקשים יותר לפשרה, וכאשר הם נפגעים, להאט את התוקפים. המסגרת היא מערכת מוצקה של קווים מנחים כיצד להמשיך, אבל היישום שלה אינו קל, אומר מייק מסטרוביץ', CISO ב-Rubrik, ספק אבטחת מידע ואפס אמון.

"רוב הרשתות התפתחו עם הזמן וקשה מאוד לחזור ולעצב אותן מחדש תוך שמירה על העסק", הוא אומר. "זה בר ביצוע, אבל זה יכול להיות יקר הן במונחים של זמן וכסף."

להלן שישה המלצות מהנחיית ה-NSA.

1. למד את כל שבעת העמודים של אפס אמון

המסמך האחרון של הסוכנות לביטחון לאומי צולל אל הנדבך החמישי מבין שבעת עמודי התווך של אפס אמון: הרשת והסביבה. עם זאת, ששת עמודי התווך האחרים חשובים באותה מידה ומראים "עד כמה אסטרטגיית אפס אמון צריכה להיות רחבת טווח ומהפכה כדי להצליח", אומרת אשלי לאונרד, מנכ"לית Syxsense, חברה אוטומטית לניהול נקודות קצה ופגיעות.

שבעת עמודי התווך של אפס אמון של NSA

"רשת וסביבה" היא הנדבך החמישי בשבעת עמודי האמון של הסוכנות לביטחון לאומי. מקור: NSA

"עבור חברות המעוניינות להתחיל עם אפס אמון, אני מאוד ממליץ להן לעיין בדפי המידע של NSA על עמודי המשתמש והמכשיר - העמוד הראשון והשני של אפס אמון, בהתאמה", הוא אומר. "אם חברה רק מתחילה, להסתכל על עמוד הרשת והסביבה הזה זה קצת כמו לשים את העגלה לפני הסוס."

2. צפו שתוקפים יפרצו את ההיקף שלכם

עמוד התווך של הרשת והסביבה של תוכנית אפס האמון של ה-NSA עוסק בניסיון לעצור את התוקפים מלהרחיב את הפרצה לאחר שכבר התפשרו על מערכת. הנחיות ה-NSA מצביעות על הפרת יעד לשנת 2013 - מבלי לנקוב במפורש בשם החברה - מכיוון שהתוקפים נכנסו דרך נקודת תורפה במערכת HVAC של צד שלישי של החברה, אך לאחר מכן הצליחו לעבור דרך הרשת ולהדביק מכשירי נקודת מכירה בתוכנות זדוניות.

חברות צריכות להניח שהן ייפגעו ולמצוא דרכים להגביל או להאט תוקפים, מנהל אבטחת הסייבר של NSA, רוב ג'ויס, אמר בהצהרה מכריזה על שחרור מסמך ה-NSA.

"ארגונים צריכים לפעול מתוך חשיבה לפיה איומים קיימים בגבולות המערכות שלהם", אמר. "הנחיה זו נועדה לחמש את בעלי הרשתות והמפעילים בתהליכים הדרושים להם כדי להתנגד, לזהות ולהגיב בצורה ערנית לאיומים המנצלים חולשות או פערים בארכיטקטורה הארגונית שלהם."

3. מפה נתונים זורמים כדי להתחיל

הנחיית ה-NSA היא מודל מדורג, שבו חברות צריכות להתחיל עם היסודות: מיפוי זרימות נתונים ברשתות שלהן כדי להבין מי ניגש למה. בעוד שאפס אמון אחרים שניגשים אליהם תועדו, כגון SP 800-207 Zero Trust Architecture של NIST, עמודי התווך של ה-NSA מספקים דרך לארגונים לחשוב על בקרות האבטחה שלהם, אומר וינטרפלד של אקמאי.

"הבנת זרימת הנתונים מספקת בעיקר מודעות למצב היכן ומהם הסיכונים הפוטנציאליים", הוא אומר. "זכור, אתה לא יכול להגן על מה שאתה לא יודע עליו."

4. עבור ל-Macrosegmentation

לאחר התמודדות עם כל עמודי יסוד אחרים, חברות צריכות להסתכל על ההתחלה שלהן לתוך עמוד הרשת והסביבה על ידי פילוח הרשתות שלהן - אולי בהתחלה בצורה רחבה, אבל בפירוט הולך וגובר. תחומים פונקציונליים עיקריים כוללים מגזרי עסק לעסקים (B2B), מקטעים פונים לצרכן (B2C), טכנולוגיה תפעולית כגון IoT, רשתות נקודות מכירה ורשתות פיתוח.

לאחר פילוח הרשת ברמה גבוהה, על החברות לשאוף לחדד עוד יותר את הפלחים, אומר מסטרוביץ' של רובריק.

"אם אתה יכול להגדיר את אזורי הפעולה הפונקציונליים האלה, אז אתה יכול להתחיל לפלח את הרשת כך שלישויות מאומתות בכל אחד מהאזורים הללו אין גישה מבלי לעבור תרגילי אימות נוספים לאזור אחר", הוא אומר. "מבחינות רבות, תגלו שסביר מאוד שמשתמשים, מכשירים ועומסי עבודה הפועלים באזור אחד אינם זקוקים למעשה לזכויות לפעולה או למשאבים באזורים אחרים."

5. רשת בוגרת להגדרת תוכנה

רשת אפס אמון דורשת מחברות להיות מסוגלות להגיב במהירות למתקפות פוטנציאליות, מה שהופך את הרשת המוגדרת בתוכנה (SDN) לגישה מרכזית לא רק בחיפוש אחר מיקרו-פילוח, אלא גם לנעול את הרשת במהלך פשרה אפשרית.

עם זאת, SDN היא לא הגישה היחידה, אומר וינטרפלד של אקמאי.

"SDN עוסק יותר בניהול תפעול, אבל ייתכן שתלוי בתשתית שלך אינו הפתרון האופטימלי", הוא אומר. "עם זאת, אתה צריך את סוגי היתרונות ש-SDN מספק ללא קשר לאופן שבו אתה בונה את הסביבה שלך."

6. הבינו שההתקדמות תהיה איטרטיבית

לבסוף, כל יוזמת אמון אפס אינה פרויקט חד פעמי אלא יוזמה מתמשכת. לא רק שארגונים צריכים להיות בעלי סבלנות והתמדה בפריסת הטכנולוגיה, אלא שצוותי האבטחה צריכים לבחון מחדש את התוכנית ולשנות אותה כשהם מתמודדים - ומתגברים - על אתגרים.

"כשחושבים להתחיל במסע אפס אמון, ההנחיה שלהם להתחיל במיפוי זרימות נתונים ואז פילוחם מתאימה", אומר וינטרפלד, "אבל אוסיף שזה לעתים קרובות איטרטיבי מכיוון שתהיה לך תקופה של גילוי שתדרוש מעדכן את התוכנית."

בול זמן:

עוד מ קריאה אפלה