6 выводов CISO из руководства АНБ по нулевому доверию

Реальность кибербезопасности компаний такова, что злоумышленники постоянно подвергают риску системы и сети, и даже хорошо управляемым программам предотвращения взломов часто приходится иметь дело с злоумышленниками внутри их периметра.

5 марта Агентство национальной безопасности продолжило давать федеральным агентствам рекомендации по передовой практике, опубликовав последний Информационный бюллетень по кибербезопасности (CIS) по компоненту «Сеть и окружающая среда» своей структуры нулевого доверия. Документ АНБ рекомендует организациям сегментировать свои сети, чтобы ограничить доступ неавторизованных пользователей к конфиденциальной информации посредством сегментации. Это связано с тем, что строгие меры кибербезопасности могут помешать компрометации превратиться в полномасштабные нарушения, ограничивая доступ всех пользователей к областям сети, в которых они не имеют законной роли. 

Ассоциация руководство АНБ также позволяет группам безопасности представить руководству более убедительные экономические обоснования мер по обеспечению безопасности, но директора по информационной безопасности должны определить ожидания, поскольку внедрение — это многоуровневый и сложный процесс.

Хотя документ нацелен на правительственные организации и отрасли, связанные с обороной, более широкий деловой мир может извлечь выгоду из руководства по принципу нулевого доверия, говорит Стив Винтерфельд, консультативный директор по информационной безопасности гиганта интернет-услуг Akamai.

«Реальность заключается не в том, есть ли у вас инциденты несанкционированного доступа, а в том, сможете ли вы отловить их до того, как они станут нарушениями», — говорит он. «Ключевым моментом является «видимость с контекстом», которую может обеспечить микросегментация, подкрепленная возможностью быстро изолировать вредоносное поведение».

Компании имеют приступили к инициативам нулевого доверия чтобы их данные, системы и сети было труднее скомпрометировать, а в случае их взлома замедлить действия злоумышленников. Эта структура представляет собой солидный набор рекомендаций о том, как действовать, но реализовать ее непросто, говорит Майк Местрович, директор по информационной безопасности компании Rubrik, поставщика услуг безопасности данных и нулевого доверия.

«Большинство сетей со временем развивались, и очень сложно вернуться назад и перестроить их, сохраняя при этом бизнес», — говорит он. «Это выполнимо, но может стоить дорого как по времени, так и по деньгам».

Вот шесть выводов из руководства АНБ.

1. Изучите все семь столпов нулевого доверия.

Последний документ Агентства национальной безопасности рассматривает пятый из семи столпов нулевого доверия: сеть и окружающую среду. Тем не менее, остальные шесть столпов не менее важны и показывают, «насколько масштабной и преобразующей должна быть стратегия нулевого доверия, чтобы быть успешной», — говорит Эшли Леонард, генеральный директор Syxsense, компании по автоматизированному управлению конечными точками и уязвимостями.

«Компаниям, желающим начать работу с нулевым доверием, я настоятельно рекомендую ознакомиться с информационными листами АНБ по компонентам пользователя и устройства — первому и второму столпам нулевого доверия соответственно», — говорит он. «Если компания только начинает свою деятельность, рассмотрение этого компонента сетевых технологий и окружающей среды немного похоже на то, чтобы ставить телегу впереди лошади».

2. Ожидайте, что злоумышленники ворвутся в ваш периметр

Основа плана нулевого доверия АНБ, связанного с сетью и средой, заключается в попытке помешать злоумышленникам расширить уязвимость после того, как они уже скомпрометировали систему. Рекомендации АНБ указывают на Целевое нарушение 2013 г. — без явного названия компании — потому что злоумышленники проникли через уязвимость в сторонней системе HVAC компании, но затем смогли пройти через сеть и заразить устройства торговых точек вредоносным ПО.

Компании должны предположить, что они будут скомпрометированы, и найти способы ограничить или замедлить действия злоумышленников. Об этом заявил директор АНБ по кибербезопасности Роб Джойс. объявляя о выпуске документа АНБ.

«Организации должны действовать с пониманием того, что угрозы существуют внутри границ их систем», — сказал он. «Это руководство предназначено для того, чтобы вооружить владельцев и операторов сетей процессами, необходимыми для бдительного противодействия, обнаружения и реагирования на угрозы, которые используют слабые места или пробелы в их корпоративной архитектуре».

3. Сопоставьте потоки данных для начала

Руководство АНБ представляет собой многоуровневую модель, в которой компаниям следует начинать с основ: картирования потоков данных в своих сетях, чтобы понять, кто к чему имеет доступ. Хотя были задокументированы и другие подходы с нулевым доверием, такие как Архитектура нулевого доверия NIST SP 800-207«Основы АНБ дают организациям возможность задуматься о мерах безопасности», — говорит Винтерфельд из Akamai.

«Понимание потока данных в первую очередь обеспечивает ситуационную осведомленность о том, где и каковы потенциальные риски», — говорит он. «Помните, вы не можете защитить то, о чем не знаете».

4. Переходите к макросегментации

После решения любых других фундаментальных направлений компаниям следует начать работу над направлением «Сеть и окружающая среда» с сегментирования своих сетей — сначала, возможно, широко, но с возрастающей детализацией. Основные функциональные области включают сегменты «бизнес для бизнеса» (B2B), сегменты, ориентированные на потребителя (B2C), операционные технологии, такие как Интернет вещей, сети точек продаж и сети разработки.

После сегментации сети на высоком уровне компаниям следует стремиться к дальнейшему совершенствованию сегментов, говорит Местрович из Рубрика.

«Если вы сможете определить эти функциональные области работы, вы сможете начать сегментировать сеть так, чтобы аутентифицированные объекты в любой из этих областей не имели доступа без прохождения дополнительных упражнений по аутентификации к любым другим областям», — говорит он. «Во многих отношениях вы обнаружите, что весьма вероятно, что пользователям, устройствам и рабочим нагрузкам, которые работают в одной области, на самом деле не нужны никакие права для работы или ресурсы в других областях».

5. Переход к программно-определяемым сетям

Сеть с нулевым доверием требует от компаний возможности быстро реагировать на потенциальные атаки, что делает программно-определяемую сеть (SDN) ключевым подходом не только к микросегментации, но и к блокировке сети во время потенциального взлома.

Однако SDN — не единственный подход, говорит Винтерфельд из Akamai.

«SDN больше ориентирован на управление операциями, но в зависимости от вашей инфраструктуры это может быть неоптимальным решением», — говорит он. «Тем не менее, вам действительно нужны те преимущества, которые предоставляет SDN, независимо от того, как вы проектируете свою среду».

6. Осознайте, что прогресс будет итеративным

Наконец, любая инициатива с нулевым доверием — это не разовый проект, а постоянная инициатива. Организациям необходимо не только проявлять терпение и настойчивость при развертывании технологии, но и группам безопасности необходимо пересматривать план и изменять его по мере того, как они сталкиваются с проблемами и преодолевают их.

«Когда вы думаете о начале пути с нулевым доверием, их рекомендации по началу с картирования потоков данных, а затем их сегментации являются точными», — говорит Винтерфельд, — «но я бы добавил, что это часто итеративно, поскольку у вас будет период открытий, который потребует обновление плана».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cybersecurity-operations/6-ciso-takeaways-nsa-zero-trust-guidance