|
|
|
|
Основные принципы «нулевого доверия» как методологии безопасности
Автор публикации в журнале Security Magazine Патрик Беггс утверждает, что т.н. «нулевое доверие» в системе построения корпоративной безопасности имеет фундаментальное значение. «Оно лежит в основе всеобъемлющего, стратегического подхода к проблемам безопасности, обеспечивая надежный контроль над пользователями и гаджетами, имеющими разрешенный допуск в корпоративные сети».
Автор напомнил о старинной поговорке: «Если кому-то не доверяешь, то лучше не доверяй никому». В этом и заключается суть «нулевого доверия». Нельзя доверять, если кто-то или что-то не прошло тщательной, надежной проверки.
С развитием цифровых технологий традиционный периметр безопасности размывается. Цифровые данные охватывают практически неисчислимую, постоянно увеличивающуюся массу сервисов, дивайсов, приложений, наконец, самих пользователей. Границы цифрового пространства в привычном понимании не существуют. Работники, имеющие допуск к сетям своих организаций, могут находиться где угодно. Если компания продолжает придерживаться устаревшего подхода к периметру безопасности, то рискует потерять контроль над своими цифровыми устройствами.
Какие требования предъявляет политика «нулевого доверия»? Это целый ряд лучших практик безопасности, учитывающих современный ландшафт угроз, в первую очередь, киберугроз. Автор называет наиболее важные, базовые меры и процедуры:
- мультифакторная аутентификация, которая удостоверяет подлинность личности;
- регулярное устранение уязвимостей в системе защиты информации, обновление программных продуктов;
- всеохватывающий мониторинг корпоративных сетей, сбор информации для контроля доступа в них;
- ограничение доступа в сеть строго определенным кругом необходимых для работы компьютерных устройств, баз данных, приложений, иных ресурсов.
Начинать надо с выяснения, что именно нуждается в прочной защите. Собственно, это и есть первый шаг к «нулевому доверию» - не разбрасывать усилия по всему периметру безопасности, а для начала понять и определить, что наиболее важно для обеспечения бесперебойной работы предприятия и требует защиты в первую очередь (какие данные, приложения, операции, сервисы, и т.п.).
Следующий шаг: поиск дыр и трещин в корпоративной сети с учетом ее топологии последней (топология сети – физическая или логическая конфигурация телекоммуникационной системы; физическая топология – схема соединений компонентов кабелями и проводами, логическая топология описывает, как по сети проходят сообщения). Необходимо четко себе представлять, у кого имеется доступ в сеть, какими компьютерными устройствами, сервисами и базами данных они пользуются. После того, как топология сети обозначена, надо проверить, как системы защиты действуют. При этом важно определить для каждого пользователя сегменты сети, куда ему/ей разрешён допуск. При условии, что пользователь отвечает всем требованиям безопасности.
Третий шаг: непрерывная валидация, т.е. проверка и подтверждение достаточной эффективности выстроенной защиты.
Если организация выбирает подход «нулевого доверия», она должны быть готова к тому, что все без исключения сотрудники, находящиеся внутри и вне организации, подвергаются жестким мерам аутентификации, авторизации и валидации, прежде чем получить и пользоваться допуском в корпоративные сети. Это не разовое мероприятие, а непрекращающаяся процедура, обеспечивающая эффективность защиты сетевой архитектуры.
Политика «нулевого доверия» охватывает все аспекты работы компании, включая работу на «удалёнке», гибридные облачные системы, защиту против разрушительных киберугроз, таких как вымогательские хакерские атаки.
Следуя упомянутым выше шагам, понимая ценность фундаментальных принципов «нулевого доверия», пишет в заключение статьи Патрик Беггс, компании могут успешно применять на практике эту стратегию безопасности, которая обеспечивает защиту и устойчивость корпоративных сетей.
|