Відповідно до звіту TechTarget Enterprise Strategy Group за 2024 рік, більше двох третин організацій стверджують, що впроваджують політику нульової довіри. Що це за модель, чому вона стає все популярнішою та навіщо компанії її впроваджують — розбираємо в статті.
Що таке модель нульової довіри (Zero Trust)
Zero Trust Security – це сучасний підхід до кібербезпеки, що працює за принципом: «Ніколи не довіряй, завжди перевіряй».
Традиційна безпека базується на захисті периметра мережі, де внутрішні користувачі вважаються довіреними. Натомість Zero Trust оцінює кожне з’єднання між користувачами, пристроями, програмами та даними незалежно від їхнього розташування.
Такий підхід захищає бізнес від витоків даних, атак програм-вимагачів та хакерських вторгнень, що особливо актуально для хмарних сервісів, IoT та віддаленої роботи.
Історія впровадження
У 2010 році аналітик Forrester Research Джон Кіндерваг запропонував концепцію «нульової довіри» для кращого захисту корпоративних ресурсів. Замість захисту лише периметра мережі цей підхід фокусується на кожному окремому ресурсі.
Будь-який користувач, пристрій або запит вважається потенційною загрозою. Щоб отримати доступ, потрібно проходити автентифікацію та авторизацію щоразу при підключенні до нового ресурсу. Це мінімізує ризики та гарантує, що тільки перевірені користувачі можуть працювати з цінними даними.
Традиційна безпека мережі вже не працює — потрібен підхід нульової довіри. Раніше компанії захищали свої мережі брандмауерами, вважаючи внутрішніх користувачів надійними. Але цифрова трансформація зруйнувала цей периметр: бізнес працює в хмарі, з мобільними сервісами, IoT та віддаленими працівниками.
Через це компанії стають вразливішими до кібератак, витоків даних і програм-вимагачів.
Як працює Zero Trust
Безпека нульової довіри базується на постійній перевірці користувачів, програм, пристроїв та даних. Це не одне рішення, а комплексний підхід, що включає контроль доступу, автоматизацію та управління мережею.
Організації впроваджують нульову довіру за різними моделями, такими як система Forrester, стандарти NIST (SP 800-207) та модель CISA (ZTMM). Незалежно від обраної структури, всі стратегії нульової довіри включають ключові принципи безпеки:
- три принципи нульової довіри;
- п’ять основних принципів нульової довіри;
- та доступ до мережі з нульовою довірою (ZTNA).
Три принципи нульової довіри
Zero Trust Security не є одним рішенням — це комплексна стратегія. Вона охоплює:
- постійний моніторинг і перевірку;
- принцип найменших привілеїв;
- припущення про злом.
Основні принципи Zero Trust Security
Постійний моніторинг і перевірка
Доступ до мережі за замовчуванням заблокований. Кожен користувач, пристрій чи процес проходить автентифікацію перед підключенням та повторну перевірку під час роботи.
Принцип найменших привілеїв
Користувачі та пристрої отримують лише мінімально необхідний доступ, який автоматично скасовується після завершення роботи.
Припущення про злом
Система працює так, ніби зловмисники вже в мережі. Це означає постійний моніторинг, сегментацію мережі та швидке реагування на підозрілу активність користувача, пристрою та процесу в мережі.
П’ять стовпів нульової довіри
Модель безпеки нульової довіри CISA окреслює п’ять основ, на яких організації можуть зосередитися під час впровадження нульової довіри:
- ідентичність;
- пристрої;
- мережі;
- додатки та навантаження;
- дані.
Ідентичність
Автентифікація ідентифікаторів користувачів і надання цим користувачам доступу лише до схвалених корпоративних ресурсів — фундаментальна можливість безпеки без довіри.
Загальні інструменти, які організації використовують для цієї мети, включають системи керування ідентифікацією та доступом (IAM), рішення єдиного входу (SSO) і багатофакторну автентифікацію (MFA).
Пристрої
Кожен пристрій, який підключається до мережевого ресурсу, має повністю відповідати політикам нульової довіри та засобам безпеки організації. Це включає в себе робочі станції, мобільні телефони, сервери, ноутбуки, пристрої IoT, принтери тощо.
Організації з нульовою довірою ведуть повні та актуальні інвентаризації всіх авторизованих кінцевих пристроїв. Неавторизованим пристроям забороняється доступ до мережі.
Мережі
Організації переходять від традиційної сегментації мережі до мікросегментації в середовищі нульової довіри. Ресурси та робочі навантаження розділені на менші, більш безпечні зони, які допомагають організаціям краще стримувати порушення. Зловмисники навіть не можуть бачити ресурси, які вони не мають права використовувати.
Організації також можуть застосовувати інші методи запобігання мережевим загрозам, наприклад шифрування мережевого трафіку та моніторинг поведінки користувачів і об’єктів.
Додатки та навантаження
Як і будь-який інший елемент у моделі безпеки з нульовою довірою, додатки та інтерфейси прикладного програмування (API) не мають неявної довіри.
Замість надання одноразового статичного доступу до програм організації переходять до динамічної авторизації, яка потребує постійної повторної перевірки для постійного доступу. Організації постійно відстежують програми, які спілкуються одна з одною, на наявність незвичайної поведінки.
Дані
За моделлю нульової довіри організації класифікують дані, щоб забезпечити цільовий контроль доступу та безпеку.
Інформація захищена шифруванням під час передачі, використання та зберігання. Система постійно відстежує обробку даних, виявляючи підозрілу активність, що може свідчити про витік або злом.
Що таке Zero Trust Network Access (ZTNA)
Однією з основних технологій для реалізації стратегії Zero Trust є доступ до мережі з нульовою довірою або ZTNA (Zero Trust Network Access). Це новий рівень віддаленого доступу, який замінює VPN.
Як і віртуальна приватна мережа (VPN), ZTNA забезпечує віддалений доступ до програм і послуг. Проте підключає користувачів лише до тих ресурсів, на які вони мають дозвіл, а не до всієї мережі.
Де застосовується модель Zero Trust
Захист хмарних сервісів
Оскільки архітектура нульової довіри забезпечує контроль доступу на основі ідентичності, вона може запропонувати надійний захист для гібридних і багатохмарних середовищ. Перевіреним хмарним робочим навантаженням надається доступ до критично важливих ресурсів, а неавторизованим хмарним службам і програмам заборонено.
Безпека ланцюга поставок
Організаціям часто потрібно надавати доступ до мережі постачальникам, підрядникам, та іншим третім особам. Хакери користуються цією ситуацією, щоб здійснити атаки на ланцюг поставок, під час яких вони використовують скомпрометовані облікові записи постачальників і робочі навантаження для проникнення в мережу компанії.
Нульова довіра застосовує безперервну контекстну автентифікацію та доступ із найменшими привілеями до кожного об’єкта, включаючи ті що, хто знаходиться поза мережею. Навіть якщо хакери зламали обліковий запис надійного постачальника, вони не зможуть отримати доступ до конфіденційних ресурсів компанії.
Віддалений доступ для співробітників
Організації традиційно покладаються на віртуальні приватні мережі (VPN) для підключення віддалених співробітників до мережевих ресурсів. Але мережі VPN складно масштабуються та не запобігають латеральному переміщенню (рух кіберзлочинців з однієї скомпрометованої системи до іншої всередині мережі).
У моделі нульової довіри компанії можуть замість цього використовувати рішення доступу до мережі без довіри (ZTNA). Воно перевіряє особи співробітників, а потім надає їм доступ лише до програм, даних і послуг, необхідних для виконання роботи.
Видимість IoT
Оскільки пристрої IoT підключаються до Інтернету, вони становлять загрозу для безпеки компанії. Хакери часто націлюються на пристрої IoT, оскільки вони можуть використовувати їх для впровадження шкідливих програм у вразливі мережеві системи.
Архітектури нульової довіри постійно відстежують місцезнаходження, стан і справність кожного пристрою IoT в організації. Кожен пристрій розглядається як потенційно шкідливий об’єкт. Як і інші елементи середовища нульової довіри, пристрої IoT підлягають контролю доступу, автентифікації та зашифрованому зв’язку з іншими мережевими ресурсами.
Раніше ми писали що таке відділ безпеки SOC та навіщо він компаніям.