Predstavljajte si scenarij: šest mesecev po tem, ko je finančna družba slavila svojo »transformacijo v zero trust«, jo je prizadel uničujoč vdor. Napadalci so vstopili prek ranljivosti v dobavni verigi – v zunanjem API-ju – in obšli vse skrbno nastavljene kontrolnike identitet.
Podjetje je odkljukalo vse zahteve in izpolnilo vse pogoje, pa je kljub temu tukaj, v paniki, kako zajeziti razkritje podatkov strank.
Pa saj naj bi jih zero trust ščitil? Resnica je, da zero trust ni projekt z datumom zaključka. Ne obstaja trenutek, ko lahko postaviš zastavo in rečeš »uspešno zaključeno«. Gre za nenehen cikel, ki se nikoli ne ustavi.
Načelo »nikoli ne zaupaj, vedno preverjaj« zahteva stalno budnost. Zakaj?
Ker se grožnje neprestano spreminjajo, tehnologija se razvija, organizacije pa se stalno prilagajajo in rastejo ob enem.
Vedno nove grožnje
Napadalci stalno razvijajo nove tehnike, da prehitijo obstoječe obrambe. Napadi, podprti z umetno inteligenco, še pospešujejo to tekmo, saj avtomatizirajo izvidovanje in iskanje ranljivosti hitreje, kot jih vaše ekipe lahko odpravijo.
Napadi v dobavni verigi izkoriščajo zaupanje v zunanje ponudnike rešitev in odprtokodne knjižnice – ter mimo vaših obodnih kontrolnikov vstopijo naravnost v sistem.
Oblak, mikrostoritve in edge računalništvo povsem preoblikujejo, kako podatki tečejo skozi organizacijo. Podatki se obdelujejo bližje uporabnikom, a hkrati dlje od vzpostavljenih centraliziranih varnostnih kontrol.
Namesto enega samega »oboda« (ang. perimeter) morate danes ščititi desetine ali celo stotine mikro-obodov.
In ne pozabimo na eksplozijo IoT naprav in mobilnih končnih točk. Tradicionalni varnostni modeli se tej raznolikosti ne morejo prilagoditi, zato podjetja pogosto lovijo zaostanek, ko se nove končne točke (ang. endpoints) priklapljajo v omrežje.
Človeški dejavnik
Resnica, o kateri se premalo govori: ljudje so vir “kaosa”, ki ga avtomatizacija nikoli ne bo v celoti obvladala.
- Zaposleni prihajajo in odhajajo. Novi prispeli potrebujejo usposabljanja, tistim, ki odhajajo, pa je treba takoj preklicati dostope.
- Politike se prilagajajo poslovnim potrebam, izjeme pa se kopičijo kot »digitalni dolg«.
- Takšne kompromisne izjeme ustvarjajo varnostne ranljivosti, ki jih napadalci z veseljem izkoristijo.
Če vzpostavljenih politik ne pregledamo in posodobimo redno, se načela zero trust počasi, a zanesljivo razkrojijo.
Ozaveščanje zaposlenih prav tako ni enkratna naloga. Grožnje se spreminjajo, zato se mora spreminjati tudi izobraževanje. To, kar je delovalo lani, letos ni več dovolj.
Vsaka implementacija zero trust pokaže vrzeli –> v postopkih, uporabniških potekih in tehničnih konfiguracijah. Te je treba sproti odpravljati in izboljševati procese sprememb.
Stalno testiranje
Avtomatizirani pregledi politik in potrjevanja so nujni. Potrebujete sisteme, ki redno preverjajo pravice dostopa, skladnost naprav in varnostne kontrolnike aplikacij.
Na ročna preverjanja se ne morete zanašati – enostavno se ne morejo dovolj hitro širiti glede na obseg in kompleksnost sodobnih IT okolij.
Red team vaje in simulacije vdorov razkrijejo šibke točke, ki jih običajno spremljanje spregleda. Testirajo tako tehnične kontrolnike kot postopke odziva, še preden to storijo napadalci.
Tudi sistemi za nadzor morajo biti stalno posodobljeni: nove tehnike napadov zahtevajo fine nastavitve pravil za zaznavanje, osvežene vire obveščevalnih podatkov in prilagojene postopke odzivanja.
Merjenje tistega, kar res šteje
Četrtletni “health check” zero trust implementacije je nujen, da program ostane na pravi poti. Fokus naj bo na konkretnih metrikah:
- Indikatorji uspešnosti: hitrost zaznavanja, odziva in število izjem –> ne pa zgolj število implementiranih ukrepov.
- Analiza izjem: veliko izjem pomeni, da politike potrebujejo prilagoditve, ne pa da so izjeme postale nova norma.
- Ravnovesje z uporabniško izkušnjo: preveč prijavnih zahtev in počasni dostopi vodijo k obvozom s strani uporabnikov, ki uničijo bistvo varnosti.
- Vzorce dostopov: redno preverjajte skladnost naprav, vedenjske vzorce dostopa in odzivne čase na incidente.
Pot naprej
Zero trust se nikoli ne konča. Zahteva stalno pozornost in vlaganja v ljudi, procese in tehnologijo.
Uspeh pomeni, da nanj gledamo kot na maraton, ne sprint.
Graditi je treba vztrajnost, rutino in kulturo stalne presoje, izboljšav in prilagajanja.
Varnost, ki jo vzpostavimo danes, bo tista, ki nas bo ščitila pred jutrišnjimi grožnjami. In to lahko pomeni razliko med podjetjem, ki preživi, in tistim, ki ga vdor uniči.
Zaključek
Koncept zero trust je v resnici potovanje brez ciljne črte. Ni projekt, ki bi ga enkrat zaključili in pozabili nanj, ampak proces, ki ga moramo nenehno preverjati, izboljševati in prilagajati novim grožnjam, tehnologijam in poslovnim potrebam.
Ključno vprašanje, ki si ga morajo zastaviti podjetja, ni »Ali smo že uvedli zero trust?«, ampak »Kako dobro danes obvladujemo identitete, politike, postopke in ozaveščenost – ter ali smo pripravljeni na jutrišnje napade?«.
Prav tu vam lahko pomagamo pri Inovis IT. Naša ekipa vam stoji ob strani pri:
- izvedbi varnostnih pregledov in preverjanju skladnosti obstoječih politik,
- oblikovanju in posodabljanju varnostnih postopkov in kontrol,
- izvajanju izobraževanj in phishing simulacij za zaposlene,
- ter postavljanju kulture, kjer so varnost in poslovna učinkovitost v ravnotežju.
Če razmišljate, kako svojo varnostno strategijo premakniti iz faze »zaključen projekt« v fazo stalne odpornosti, se pogovorite z nami.