Null tillitsmodell får damp med sikkerhetseksperter

"Stol aldri på; bekreft alltid." Høres ut som sunn fornuft, ikke sant? Det er mottoet bak en strategi som kalles Zero Trust, som er i ferd med å trekke trekkraft i cybersecurity-verdenen. Det innebærer en IT-avdeling som verifiserer alle brukere før du gir tilgangsrettigheter. Det er viktigere enn noen gang å administrere tilgangen til kontoer med 58 prosent av små og mellomstore bedrifter (SMB) som rapporterer datainnbrudd i 2017, ifølge Verizon Data Breach Investigation Report.

Zero Trust-konseptet ble grunnlagt av John Kindervag, en tidligere analytiker ved Forrester Research og nå felt CTO ved Palo Alto Networks. "Vi må begynne å gjøre en ekte strategi, og det er det Zero Trust muliggjør, " fortalte Kindervag publikum 30. oktober på SecurIT Zero Trust Summit i New York City. Han la til at ideen om Zero Trust oppsto da han satte seg ned og virkelig vurderte tillitsbegrepet, og hvordan det er de ondsinnede aktørene som generelt drar nytte av at selskaper som stoler på parter som de ikke skulle gjøre.

Dr. Chase Cunningham ble Kindervags etterfølger som hovedanalytiker på Forrester i forkjemper for en Zero Trust Access-tilnærming. "Zero Trust er det som innebærer i disse to ordene, og betyr ikke stole på ingenting, ikke stole på passordstyring, ikke stole på legitimasjon, ikke stole på brukere og ikke stole på nettverket, " sa Cunningham til PCMag på Zero Trust Summit.

Kindervag brukte eksemplet på US Secret Service for å illustrere hvordan en organisasjon skal holde oversikt over hva de trenger for å beskytte og hvem som trenger tilgang. "De overvåker og oppdaterer kontinuerlig kontrollene slik at de kan kontrollere hva som overfører mikroomkretsen til enhver tid, " sa Kindervag. "Dette er en Zero Trust-metode for utøvende beskyttelse. Det er det beste visuelle eksemplet på hva vi prøver å gjøre i Zero Trust."

Zero Trust Lessons lært på OPM

Et perfekt eksempel på hvordan Zero Trust kan arbeide for å komme organisasjoner til gode kom fra den tidligere CIO for den amerikanske føderale regjeringen. På Zero Trust Summit beskrev dr. Tony Scott, som hadde kontoret til US CIO fra 2015 til 2017, et stort datainnbrudd som skjedde ved det amerikanske kontoret for personellstyring (OPM) i 2014. Bruddet skjedde på grunn av utenlandsk spionasje der personlig informasjon og bakgrunnsinformasjon om sikkerhetsklarering ble stjålet for 22, 1 millioner mennesker sammen med data om fingeravtrykk om 5, 6 millioner individer. Scott beskrev hvordan ikke bare en kombinasjon av digital og fysisk sikkerhet ville ha vært nødvendig for å avverge dette bruddet, men også en effektiv anvendelse av Zero Trust-policyen.

Når folk ville søke jobb på OPM, fylte de ut et uttømmende Standardform (SF) 86-spørreskjema, og dataene ville bli bevoktet i en hule av væpnede vakter og stridsvogner, sa han. "Hvis du var en utenlandsk enhet og ville stjele den informasjonen, ville du måtte bryte denne hulen i Pennsylvania og komme deg forbi de væpnede vaktene. Da måtte du gå med lastebil med papir eller ha en veldig rask Xerox-maskin eller noe, "Sa Scott.

"Det hadde vært monumentalt å prøve å rømme med 21 millioner poster, " fortsatte han. "Men sakte, da automatisering kom inn i OPM-prosessen, begynte vi å legge disse tingene inn i datafiler på magnetiske medier, og så videre. Det har gjort det mye lettere å stjele." Scott forklarte at OPM ikke klarte å finne den tilsvarende typen effektiv sikkerhet som de væpnede vaktene da byrået ble digital. Etter angrepet ga kongressen ut en rapport som ba om en Zero Trust-strategi for å beskytte disse typer brudd i fremtiden.

"For å bekjempe de avanserte vedvarende truslene som søker å kompromittere eller utnytte føderale regjerings IT-nettverk, bør byråer bevege seg mot en 'Zero Trust' -modell for informasjonssikkerhet og IT-arkitektur, " uttalte kongressrapporten. Den tidligere amerikanske representanten Jason Chaffetz (R-Utah), den gang styreleder for overvåkingskomiteen, skrev også et innlegg om Zero Trust den gangen, opprinnelig utgitt av Federal News Radio. "Office of Management and Budget (OMB) bør utvikle retningslinjer for utøvende avdelinger og byråsjefer for effektivt å implementere Zero Trust sammen med tiltak for å visualisere og logge all nettverkstrafikk, " skrev Chaffetz.

Null tillit til den virkelige verden

I et ekte eksempel på en implementering av Zero Trust, distribuerte Google internt et initiativ kalt BeyondCorp som skulle flytte tilgangskontroll fra nettverksomkretsen til individuelle enheter og brukere. Administratorer kan bruke BeyondCorp som en måte å lage detaljerte tilgangskontrollpolicyer for Google Cloud Platform og Google G Suite basert på IP-adresse, enhetssikkerhetsstatus og brukerens identitet. Et selskap som heter Luminate gir Zero Trust sikkerhet som en tjeneste basert på BeyondCorp. Luminate Secure Access Cloud autentiserer brukere, validerer enheter og tilbyr en motor som gir en risikoscore som autoriserer tilgang til applikasjoner.

"Målet vårt er å sikre tilgang for enhver bruker, fra hvilken som helst enhet, til hvilken som helst bedriftsressurs uavhengig av hvor den er vertskap, i skyen eller i lokalene uten å distribuere noen agenter i sluttpunktet eller andre apparater som virtuelle private nettverk (VPN), brannmurer, eller fullmakter på destinasjonsstedet, "sa Michael Dubinsky, leder for produktstyring i Luminate, til PCMag på Hybrid Identity Protection (HIP) -konferansen 2018 (HIP2018) i NYC.

En viktig IT-disiplin der Zero Trust får raskt trekkraft er identitetshåndtering. Det er sannsynligvis fordi 80 prosent av bruddene er forårsaket av misbruk av privilegerte opplysninger, ifølge rapporten "Forrester Wave: Privileged Identity Management, Q3 2016". Systemer som kontrollerer autorisert tilgang til en mer granulær grad kan bidra til å forhindre disse hendelsene.

Identitetshåndteringsrommet er ikke nytt, og det er en lang liste over selskaper som tilbyr slike løsninger, med sannsynligvis det mest gjennomgripende er Microsoft og dens Active Directory (AD) -plattform, som er innebygd i det fortsatt populære Windows Server-operativsystemet (OS). Imidlertid er det en rekke nyere spillere som kan tilby ikke bare mer funksjonalitet enn AD, men også kan gjøre identitetsstyring enklere å implementere og vedlikeholde. Slike selskaper inkluderer spillere som Centrify, Idaptive, Okta og SailPoint Technologies.

Og selv om de som allerede har investert i Windows Server, kanskje klarer å betale mer for teknologi de føler at de allerede har investert i, kan en dypere og bedre vedlikeholdt arkitektur for identitetshåndtering gi store utbytter i kranglete brudd og samsvarsrevisjoner. I tillegg er kostnadene ikke uoverkommelige, selv om det kan være betydningsfulle. For eksempel starter Centrify Infrastructure Services fra $ 22 per måned per system.

Slik fungerer Zero Trust

"En av tingene Zero Trust gjør er å definere nettverkssegmentering, " sa Kindervag. Segmentering er et sentralt konsept både innen nettverksadministrasjon og cybersikkerhet. Det innebærer å dele et datanettverk i undernettverk, enten logisk eller fysisk, for å forbedre ytelsen og sikkerheten.

En Zero Trust-arkitektur beveger seg utover en omkretsmodell, som omfatter den fysiske plasseringen av et nettverk. Det innebærer å "skyve omkretsen ned til enheten, " sa Cunningham.

"Enheten kan være en server, en bruker, en enhet eller et tilgangspunkt, " sa han. "Du skyver kontrollene ned til mikronivået i stedet for å tro at du har bygget en virkelig høy vegg og at du er trygg." Cunningham beskrev en brannmur som en del av en typisk omkrets. "Det er et problem med tilnærming og strategi og omkrets, " bemerket han. "De høye veggene og den ene store tingen: de fungerer bare ikke."

For å få tilgang til et nettverk, brukte et gammelt aspekt av sikkerhet rutere, ifølge Danny Kibel, den nye administrerende direktøren for Idaptive, et identitetshåndteringsselskap som snurrer fra Centrify. Før Zero Trust ville selskaper verifisere og deretter stole på. Men med Zero Trust, "bekrefter du alltid, stoler aldri på, " forklarte Kibel.

Idaptive tilbyr en Next-Gen Access-plattform som inkluderer Single Sign-On (SSO), adaptiv multifactor authentication (MFA) og styring av mobilenheter (MDM). Tjenester som Idaptive er en måte å opprette nødvendigvis granulære kontroller på tilgangen på. Du kan tilby eller avbestille basert på hvem som trenger tilgang til forskjellige applikasjoner. "Det gir den finkornede evnen for organisasjonen å kontrollere tilgangen, " sa Kibel. "Og det er veldig viktig for organisasjoner som vi ser fordi det er mye spredning når det gjelder uautorisert tilgang."

Kibel definerte Idaptives tilnærming til Zero Trust med tre trinn: verifisere brukeren, verifisere enheten deres, og bare deretter gi tilgang til applikasjoner og tjenester for akkurat den brukeren. "Vi har flere vektorer for å vurdere brukerens oppførsel: beliggenhet, geohastighet, tid på dagen, tid på uken, hvilken type applikasjon du bruker, og til og med i noen tilfeller hvordan du bruker applikasjonen, " sa Kibel. Idaptive overvåker vellykkede og mislykkede påloggingsforsøk for å se når den trenger å gjenopprette autentisering eller blokkere en bruker helt.

30. oktober introduserte Centrify en cybersecurity-tilnærming kalt Zero Trust Privilege der selskaper gir minst mulig privilegert tilgang og verifiserer hvem som ber om tilgangen. De fire trinnene i Zero Trust Privilege-prosessen inkluderer å verifisere brukeren, se på konteksten av forespørselen, sikre administrasjonsmiljøet og gi minst mulig privilegium. Centrifys tilnærming til Zero Trust Privilege innebærer en trinnvis tilnærming for å redusere risiko. Det bringer også en overgang fra legat Privileged Access Management (PAM), som er programvare som lar bedrifter begrense tilgangen til nyere typer miljøer som skylagringsplattformer, big data-prosjekter og til og med avanserte tilpassede applikasjonsutviklingsprosjekter som kjøres i business-grade web vertsfasiliteter.

En Zero Trust-modell antar at hackere allerede har tilgang til et nettverk, sa Tim Steinkopf, president for Centrify. En strategi for å bekjempe denne trusselen ville være å begrense sidebevegelse og anvende MFA overalt, ifølge Steinkopf. "Når noen prøver å få tilgang til et privilegert miljø, må du umiddelbart ha riktig legitimasjon og riktig tilgang, " sa Steinkopf til PCMag. "Måten å håndheve det på er å konsolidere identiteter, og da trenger du konteksten til forespørselen, som betyr hvem, hva, når, hvorfor og hvor." Etter det gir du bare den nødvendige tilgangen, sa Steinkopf.

"Du tar brukerens kontekst. I så fall kan det være en lege, det kan være en sykepleier, eller det kan være en annen person som prøver å få tilgang til dataene, " sa Dubinsky. "Du tar konteksten til enheten de jobber fra, tar konteksten til filen de prøver å få tilgang til, og deretter må du ta en tilgangsavgjørelse basert på det."

MFA, Zero Trust og Best Practices

Et sentralt aspekt ved en Zero Trust-modell er sterk autentisering, og det å tillate flere autentiseringsfaktorer er en del av det, bemerket Hed Kovetz, administrerende direktør og co-grunnlegger av Silverfort, som tilbyr MFA-løsninger. Med mangel på omkretser i skyens tid, er det et større behov for autentisering enn noen gang. "Evnen til å gjøre MFA for noe er nesten et grunnleggende krav fra Zero Trust, og det er umulig å gjøre i dag fordi Zero Trust kommer fra ideen hvor det ikke er noen perimeter lenger, " sa Kovetz til PCMag på HIP2018. "Så alt kobler til noe, og i denne virkeligheten har du ikke en inngangsport som du kan bruke kontroll til."

Forresters Cunningham har skissert en strategi kalt Zero Trust eXtended (XTX) for å kartlegge teknologiske kjøpsbeslutninger til en Zero Trust-strategi. "Vi så virkelig på de syv kontrollstykkene du trenger for å faktisk styre et miljø sikkert, " sa Cunningham. De syv søylene er automatisering og orkestrering, synlighet og analyse, arbeidsmengder, mennesker, data, nettverk og enheter. For å være en ZTX-plattform, vil et system eller en teknologi ha tre av disse søylene sammen med applikasjonsprogrammeringsgrensesnitt (API). Flere leverandører som tilbyr sikkerhetsløsninger passer inn i forskjellige pilarer i rammen. Centrify tilbyr produkter som adresserer sikkerheten til mennesker og enheter, Palo Alto Networks og Cisco tilbyr nettverksløsninger, og IBMs Security Guardium-løsninger fokuserer på databeskyttelse, bemerket Cunningham.

En Zero Trust-modell bør også involvere krypterte tunneler, en trafikksky og sertifikatbasert kryptering, sa Steinkopf. Hvis du sender data fra en iPad over internett, vil du bekrefte at mottakeren har rett til tilgang, forklarte han. Implementering av nye teknologitrender som containere og DevOps kan bidra til å bekjempe priviligerte misbruk av legitimasjon, ifølge Steinkopf. Han beskrev også cloud computing som å være i forkant av en Zero Trust-strategi.

Luminats Dubinsky er enig. For små og mellomstore bedrifter, ved å henvende seg til et skyselskap som leverer identitetsadministrasjon eller MFA som en tjeneste, laster disse sikkerhetsansvaret overfor selskaper som spesialiserer seg på dette området. "Du vil avlaste så mye du kan til selskaper og personer som er ansvarlige for som deres dagjobb, " sa Dubinsky.

Potensialet i Zero Trust Framework

Selv om eksperter erkjente at selskaper henvender seg til en Zero Trust-modell, spesielt innen identitetsstyring, ser noen ikke behov for store endringer i sikkerhetsinfrastrukturen for å ta i bruk Zero Trust. "Jeg er ikke sikker på at det er en strategi som jeg ønsker å ta i bruk på noe nivå i dag, " sa Sean Pike, programdirektør for IDCs sikkerhetsprodukter. "Jeg er ikke sikker på at ROI-beregningen eksisterer i en tidsramme som er fornuftig. Det er en rekke arkitektoniske endringer og personalspørsmål som jeg tror gjør kostnadene uoverkommelige som en strategi."

Pike ser imidlertid potensialet for Zero Trust innen telekommunikasjon og IDM. "Jeg tror det er komponenter som lett kan brukes i dag som ikke vil kreve endringer i engrosarkitektur - for eksempel identitet, " sa Pike. "Mens de er tilknyttet, er min sterke følelse at adopsjon ikke nødvendigvis er et strategisk grep mot Zero Trust, men snarere et trekk for å adressere nye måter brukere kobler sammen og behovet for å bevege seg bort fra passordbaserte systemer og forbedre tilgangsstyring, " sier Pike forklart.

Selv om Zero Trust kan tolkes som et lite markedsføringskonsept som gjentar noen av standardprinsippene for cybersikkerhet, for eksempel å ikke stole på deltakere til nettverket ditt og trenger å verifisere brukere, tjener det imidlertid et formål som en spillplan, ifølge eksperter. "Jeg er en stor talsmann for Zero Trust, med å bevege meg mot den enestående, strategiske typen mantra og forkjemper det i organisasjonen, " sa Forresters Cunningham.

Zero Trust-ideene introdusert av Forrester i 2010 er ikke nye for cybersecurity-bransjen, bemerket John Pescatore, direktør for Emerging Security Trends ved SANS Institute, en organisasjon som tilbyr sikkerhetstrening og sertifisering. "Det er ganske mye standarddefinisjonen av cybersikkerhet - prøv å gjøre alt sikkert, segmenter nettverket ditt og administrer brukerrettigheter, " sa han.

Pescatore bemerket at rundt 2004 innførte en nå nedlagt sikkerhetsorganisasjon kalt Jericho Forum lignende ideer som Forrester angående "omkretsfri sikkerhet" og anbefalte bare å tillate pålitelige forbindelser. "Dette er liksom å si: 'Flytt deg et sted som ikke har kriminelle og perfekt vær, og du trenger ikke tak eller dører i huset ditt, '" sa Pescatore. "Zero Trust brakte i det minste tilbake i den vanlige betydningen av segmentering - du segmenterer alltid fra internett med en omkrets."

• Beyond the Perimeter: How to adress Layered Security Beyond the Perimeter: How to adress Layered Security
• NYC Venture søker å anspore jobber, innovasjon innen cybersecurity NYC Venture søker å anspore jobber, innovasjon innen cybersecurity
• Slik forbereder du deg på ditt neste sikkerhetsbrudd Hvordan forbereder deg på ditt neste sikkerhetsbrudd

Som et alternativ til Zero Trust-modellen, anbefalte Pescatore å følge Center for Internet Securitys kritiske sikkerhetskontroller. Til slutt kan Zero Trust absolutt gi fordeler til tross for hypen. Men som Pescatore bemerket, enten det heter Zero Trust eller noe annet, denne typen strategi krever fortsatt grunnleggende kontroller.

"Det endrer ikke det faktum at for å beskytte virksomheten, må du utvikle grunnleggende sikkerhetshygiene-prosesser og -kontroller, så vel som å ha dyktig personale til å holde dem i gang effektivt og effektivt, " sa Pescatore. Det er mer enn en finansiell investering for de fleste organisasjoner, og det er ett selskap trenger å fokusere på for å lykkes.