W miarę jak organizacje przyjmują model bezpieczeństwa zero zaufania, starsze technologie tworzą pewne przeszkody. Według najnowszych badań, zastąpienie lub przebudowa istniejących infrastruktur stanowi największe wyzwanie dla wdrożenia modelu zero zaufania.
Raport General Dynamics 2022 Zero Trust Research Report zawierał ankietę skierowaną do 300 menedżerów IT i kierowników programów w amerykańskich agencjach federalnych, cywilnych i obronnych, które są zobowiązane do przyjęcia modelu zero zaufania na mocy rozporządzenia prezydenta z 2021 roku. Badanie wykazało, że 58% z nich wymieniło wyzwanie związane ze starymi technologiami przed określeniem, jaki zestaw technologii jest potrzebny (50%), brakiem wiedzy fachowej wśród pracowników IT (48%) i kosztami (46%).
Nie tylko rządowe IT stoi przed takimi wyzwaniami. Liderzy ds. cyberbezpieczeństwa ankietowani w raporcie „Zero Trust Strategies for 2022” przez firmę Optiv, zajmującą się oprogramowaniem i usługami w zakresie cyberbezpieczeństwa, również wymieniali starsze technologie jako wyzwanie dla ich planów działania w zakresie zero zaufania. Około 44% spośród 150 respondentów, którzy reprezentowali różne branże, jako główną przeszkodę podało zbyt wiele starszych technologii, które nie wspierają zerowego zaufania. Był to czynnik nr 2, który utrudniał ewolucję w kierunku zerowego zaufania w ich organizacjach. (Na pierwszym miejscu znalazło się „zbyt wiele wewnętrznych silosów/zainteresowanych stron dla różnych elementów zero trust”, które wymieniło 47%).
Imran Umar rozumie wyzwania, jakie stawiają starsze technologie przy przyjmowaniu nowoczesnych ram bezpieczeństwa. „Technologie starszego typu mają tendencję do bycia bardzo statycznymi i nie są zaprojektowane do obsługi dynamicznych zestawów reguł niezbędnych do egzekwowania decyzji politycznych”, mówi Umar, który jako starszy architekt rozwiązań cybernetycznych w firmie usług profesjonalnych Booz Allen Hamilton stoi na czele inicjatyw zero zaufania w całej firmie, wspierając Departament Obrony USA, federalne agencje cywilne i społeczność wywiadowczą.
W związku z tym starsza technologia komplikuje plany wielu organizacji w zakresie wdrażania i dojrzewania praktyk zerowego zaufania, nawet jeśli zainteresowanie podejściem do bezpieczeństwa wzrasta. Około 97% organizacji przebadanych w ramach raportu The State of Zero Trust Security 2022 przez producenta oprogramowania do zarządzania tożsamością i dostępem, firmę Okta, stwierdziło, że albo już wdrożyło inicjatywę zerowego zaufania, albo wdroży ją w ciągu najbliższych 12-18 miesięcy. To wzrost z zaledwie 16% cztery lata temu.
Podejście „zero zaufania” do cyberbezpieczeństwa w przedsiębiorstwie eliminuje pojęcie domyślnego zaufania. W teorii oznacza to, że organizacja nie powinna ufać żadnemu użytkownikowi, urządzeniu lub połączeniu, dopóki nie zweryfikuje, że jest godne zaufania. Zero zaufania zakłada, że wszyscy użytkownicy, urządzenia i systemy oprogramowania muszą zbudować zaufanie poprzez różne mechanizmy przed podłączeniem się do środowiska IT przedsiębiorstwa; zero zaufania wymaga również, aby wszyscy użytkownicy, urządzenia i systemy oprogramowania ponownie zbudowały to zaufanie, gdy starają się uzyskać dostęp do innych sieci i systemów, a także danych przedsiębiorstwa po pierwszym wejściu do środowiska IT przedsiębiorstwa.
To tylko teoria; wszystkie te zasady są trudne do wdrożenia w codziennej praktyce. To prowadzi nas z powrotem do starszych technologii, które mogą być przeszkodą we wdrażaniu praktyki zerowego zaufania w przedsiębiorstwie, ponieważ sama technologia nie wspiera i nie współpracuje z praktykami i technologiami potrzebnymi do weryfikacji autoryzowanego dostępu i ograniczania nieautoryzowanego dostępu. „Zero zaufania to droga, którą powinny podążać organizacje, ale nie jest to prosta perspektywa” – mówi Tony Velleca, CISO w UST, firmie zajmującej się rozwiązaniami do transformacji cyfrowej.
Dotychczasowe ograniczenia w zakresie zerowego zaufanianie wynika z obrony obwodowej
Zero trust zastępuje starszy model bezpieczeństwa, który opierał się na obronie obwodowej. Ta strategia obrony, jak wiedzą doświadczeni CISO, zasadniczo buduje mur wokół środowiska IT przedsiębiorstwa, aby odciąć się od świata zewnętrznego, jednocześnie umożliwiając szeroki, a w niektórych przypadkach niemal nieograniczony dostęp do każdego, kto znajdzie się w obrębie muru.
Jednak w ostatnich dziesięcioleciach perymetr technologiczny przedsiębiorstwa uległ pogorszeniu z powodu splotu czynników, od chmury obliczeniowej po wymagania dotyczące pracy z każdego miejsca. Ta degradacja sprawiła, że obrona obwodowa stała się przestarzała. Zamiast więc próbować zamknąć zamek, podejście zero zaufania stara się zapewnić tylko autoryzowany dostęp w odpowiednim czasie do tylko potrzebnych systemów i danych.
„W miarę przenoszenia coraz większej liczby systemów z wnętrza własnej sieci na zewnątrz, zdolność do zatwierdzania staje się jednym z najważniejszych elementów bezpieczeństwa” – mówi Velleca, dodając, że „cała idea zerowego zaufania polega na tym, że staramy się przyjąć znacznie bardziej granularne podejście do użytkowników, urządzeń i połączeń”.
Zero trust realizuje to poprzez zajęcie się bezpieczeństwem w wielu „filarach” (tożsamość, urządzenie, sieć, obciążenie pracą aplikacji i dane) oraz wykorzystanie polityk i technologii do umożliwienia lub ograniczenia dostępu. Kluczowe narzędzia wspierające i umożliwiające realizację zasady zero trust obejmują oprogramowanie do zarządzania dostępem i tożsamością (IAM), analitykę zachowań użytkowników i podmiotów (UEBA) oraz mikrosegmentację. Zwolennicy zerowego zaufania – których jest wielu – twierdzą, że takie podejście wspiera autoryzowany dostęp, ale jednocześnie daje największe szanse na powstrzymanie hakerów przed dostaniem się lub, jeśli już się dostaną, przed poruszaniem się w środowisku IT przedsiębiorstwa.
„Wszystkie organizacje bardzo chcą przejść na architekturę zero zaufania, ponieważ jest ona odporna na ruchy boczne” – mówi Christine C. Owen, dyrektor w dziale cyberbezpieczeństwa w firmie doradczej Guidehouse. Problemem jest jednak wprowadzenie zasady zero zaufania do starszego środowiska: Technologia ta, której znaczna część została opracowana i wdrożona w erze obrony obwodowej, nie zawsze posiada konstrukcje umożliwiające łatwą współpracę – lub nawet w ogóle – z tym nowoczesnym podejściem do bezpieczeństwa.
Jako przykład Umar wskazuje starszy sprzęt sieciowy, który w dużym stopniu polega na statycznych regułach kontroli dostępu warstwy 4, umożliwiających zezwolenie lub odmowę dostępu do zasobów. Taka struktura kontrastuje jednak z nowoczesną architekturą zero zaufania, w której decyzje o dostępie są oparte na dynamicznych zestawach reguł, takich jak lokalizacja dostępu użytkownika, zgodność urządzenia i tożsamość użytkownika. Zauważa on również, że starsze technologie w ograniczonym stopniu wspierają dostęp warunkowy, który jest kluczowym czynnikiem umożliwiającym osiągnięcie zerowego zaufania.
Tymczasem wiele organizacji ma problemy z identyfikacją i klasyfikacją danych przechowywanych w swoich starszych systemach, aby móc dodać odpowiednie kontrole dostępu wokół różnych poziomów klasyfikacji, mówią eksperci. „Systemy te mogą być jak czarna skrzynka” – zauważa Ashish Rajan, lider w dziedzinie bezpieczeństwa przedsiębiorstw, gospodarz Cloud Security Podcast i trener w organizacji certyfikacyjnej i szkoleniowej SANS. To z kolei sprawia, że kluczowe komponenty zero-trust, takie jak mikrosegmentacja i kontekstowy dostęp do tych systemów, stają się trudne.
Dalszą komplikacją scenariusza są problemy z wydajnością lub doświadczeniem użytkownika, które pojawiają się, gdy organizacje próbują dodać zero zaufania do swoich starszych technologii, mówi Owen. „Odkryłem, że zero zaufania może powodować tarcia, a w tym momencie Organizacja musi zdecydować, czy dodanie tego tarcia jest w porządku” – mówi. „A kiedy już postawisz nową architekturę zero zaufania, okaże się, że rzeczy się psują”.
Wszystkie te kwestie sprawiają, że organizacje nie wiedzą, gdzie i jak zacząć, mówi Torsten Staab, główny specjalista ds. innowacji w jednostce biznesowej Cyber, Intelligence and Services firmy Raytheon Intelligence & Space. Mimo to przestrzega liderów ds. bezpieczeństwa przedsiębiorstw, aby nie pozwolili, by takie wyzwania opóźniły ich podróż w kierunku zerowego zaufania. „Istnieją ograniczenia, ale istnieją również możliwości wdrożenia zerowego zaufania nawet w tych starszych środowiskach”.
Przyjmij etapowe podejście do zerowego zaufania, aby poradzić sobie ze starszymi przeszkodami technologicznymi
Inni eksperci powtarzają uwagi Staaba, mówiąc, że starsze technologie nie uniemożliwiają i nie powinny uniemożliwiać organizacjom wdrożenia lub zaawansowania modelu bezpieczeństwa zero trust. W rzeczywistości podkreślają oni, że dużym atutem modelu zero trust jest jego wielopoziomowy, wielowarstwowy fundament. Innymi słowy, nie jest to podejście typu wszystko albo nic. „Są rzeczy, które można zrobić. Zaadoptowanie tego, co można z zerowego zaufania do starszych systemów ma sens. Pomoże to zmniejszyć ryzyko” – mówi.
Kluczem, mówią eksperci, jest zidentyfikowanie, które komponenty zero trust można dodać, a dokładniej, które można najłatwiej dodać, a następnie zacząć od tych. „Ogólne podejście do zero trust, niezależnie od tego, czy mamy do czynienia z dziedzictwem, czy nie, to podejście etapowe” – zauważa Staab. „W przypadku bezpieczeństwa zero trust chodzi o wiele poziomów; nie chodzi o to, aby patrzeć tylko na jeden. Zacznij od jednego, a następnie rozwijaj kolejne możliwości”.
Zauważa on na przykład, że zespoły ds. bezpieczeństwa mogą często dodawać uwierzytelnianie wieloczynnikowe (MFA) do starszych systemów bez komplikacji. „Dla wielu organizacji nie jest to trudne” – mówi.
Eksperci twierdzą, że organizacje mogą przeprojektować starsze systemy, rozbijając je, aby odizolować kawałki od siebie i stworzyć architekturę mikrosegmentową; dodać więcej możliwości odkrywania, aby stworzyć widoczność aktywów i aktywności, a następnie warstwę w analityce i UEBA; i porzucić kontrole dostępu przed starszymi aplikacjami.
„W miarę jak organizacja zmierza w kierunku zerowego zaufania, musi zacząć od przeprowadzenia oceny dojrzałości zerowego zaufania w swoim obecnym środowisku, bazując na swoich obecnych możliwościach, a następnie opracować architekturę stanu docelowego i mapę drogową do jej osiągnięcia. Ta podróż do zerowego zaufania wymaga również planu integracji starszych technologii z architekturą zerowego zaufania” – dodaje Umar. „Na przykład, starsze technologie mają ograniczone wsparcie dla dostępu warunkowego, kluczowego czynnika umożliwiającego zero zaufania. Stąd organizacje muszą je rozszerzyć o nowsze technologie, aby uwzględnić te ograniczenia.”
Są oczywiście koszty wykonania całej tej pracy. Zabezpieczenie finansowania jest jeszcze jedną przeszkodą, przed którą stają CISO podczas przechodzenia na zero zaufania. Eksperci ds. bezpieczeństwa twierdzą, że CISO wraz ze swoimi kolegami z kadry kierowniczej muszą zdecydować, gdzie w ich starszych środowiskach występuje największe ryzyko, ile będzie kosztować przejście na zerowe zaufanie, a następnie określić, czy zyski ze zmniejszonego ryzyka przewyższą inwestycje.
W tym względzie, mówią, decyzje dotyczące zero trust nie różnią się tak naprawdę od tych podejmowanych przez CISO w innych punktach strategii bezpieczeństwa. Niektóre analizy wykażą, że korzyści z wdrożenia zero trust przekroczą koszty, innym razem nie. „Dlatego trzeba być bardzo intencyjnymentional,” mówi Staab. „Nie musisz robić wszystkiego naraz; nikt nie oczekuje, że będziesz w pełni zgodny we wszystkich obszarach. Ale tradycyjne podejście – bezpieczeństwo oparte na obwodach – nie działa, a to powinno prowadzić do bezpieczeństwa zero zaufania. I są rzeczy, które można zrobić, rzeczy, które można zrobić z istniejącą infrastrukturą, aby przejść w kierunku zerowego zaufania. Jest to wykonalne, ale trzeba mieć chęci”.
Copyright © 2022 IDG Communications, Inc.