SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Не доверяй и семь раз проверяй: как устроен Zero Trust

Не доверяй и семь раз проверяй: как устроен Zero Trust
18.09.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Zero Trust (переводится как нулевое доверие) – это модель безопасности, разработанная в 2010 году аналитиком Forrester Джоном Киндервагом. Она позволяет построить архитектуру и доступы к её элементам (приложениям, файлам, базам данным и др.) безопасно. Если точнее, так, чтобы каждый участник проходил проверку и взаимодействовал только тогда, когда это разрешено. Сравнить эту модель можно с входом в метро через турникет, через который нельзя перепрыгнуть, поход в гости к друзьям через дотошного консьержа или переезд через границу с участием миграционной службы, полиции, проверкой паспорта и другими процедурами.


Далее в статье мы разберем семь основных направлений защиты, но перед этим расскажем про основные плюсы такого подхода. Самое главное преимущество модели – снижение рисков для бизнеса. Пользователь может видеть то, что нужно, и только когда подтвердит наличие необходимых для доступа прав; таким образом, в каждом случае подключения он рассматривается как потенциальная угроза и хакер. Во вторую очередь подход нулевого доверия позволяет постоянно в непрерывном цикле совершенствовать безопасность (мы отдельно разбирали различные средства защиты информации тут, тут, тут и тут).


При разработке архитектуры Zero Trust сотрудникам ИБ и ИТ сначала приходится отвечать на два вопроса: «Что нужно защищать?» и «От кого нужно защищать?», из которых складываются первые два шага подхода «семь раз отмерь, один раз отрежь».


Screenshot_20230727_115028.png


1. Идентификация

Чтобы понять, кто запрашивает доступ, сначала определяется, человек это или машина. Для проверки обычно используют анализ его поведения и различные capcha, которые позволяют пройти проверку Тьюринга. При помощи аналитических задач, выбора картинок из множества, распознавания символов для ввода в специальное поле и других методов все роботы и программы отсеиваются от реальных людей. Вы скорее всего хотя бы раз в жизни сталкивались с ситуацией в интернете, когда из девяти картинок надо найти те, на которых изображены котики, или где нужно подвинуть кусочек пазла, чтобы «доделать» картинку. Это и есть та самая капча – проверка, что вы не робот.


Если человек или слишком умный робот прошли первую проверку (офицер на паспортном контроле убедился, что паспорт настоящий и его владелец стоит рядом), наступает дополнительный этап – аутентификация. Пользователю нужно показать, что он имеет право двигаться дальше, показать все штампы и рассказать про цели поездки. С точки зрения IT систем такую проверку помогают пройти сервисы многофакторной аутентификации, о которой мы уже говорили отдельно.


2. Данные

Второй шаг любой проверки включает анализ данных. Что можно доверить пользователю в зависимости от его роли в процессе и уровня секретности в целом. Когда мы говорим про работу пользователя в какой-то системе, от его роли зависит даже внешний вид сервиса: для водителей в службе такси существует отдельное приложение, а для пассажиров – своё; для администратора платформы доступны функции проверки работы базы данных и коннекторов, а для риск менеджера – возможности по запуску процедуры оценки и контроля; для жильцов дома открыт доступ к лифтам, а почтальона консьерж пропустит только в фойе с абонентскими ящиками и т.д.


В общем случае все данные подлежат классификации и маркировке, например, публичные материалы или материалы только для служебного пользования (ДСП). В защите самих данных активно участвуют решения для простановки водяных знаков, специальных меток (не только видимых) и решения класса DLP, которые на лету разбирают данные и понимают их чувствительность.


Помимо базовых ответов на вопросы «Кто?» и «Что?» нужно ответить и на другие, например, «Каким образом?», «Когда?», «Откуда?» и т.д., поэтому вся методология Zero Trust предлагает использовать и другие средства защиты.


3. Место

С точки зрения IT место, откуда совершается попытка доступа, называется конечной точкой. Это могут быть смартфон, домашний компьютер, корпоративный ноутбук, сервер в периметре компании и другие устройства. Специальные решения позволяют обнаружить источник сигналов и понять, что это – такие продукты ИБ/ИТ помогают выстроить процесс управления активами и инвентаризацией. С одной стороны, компании важно видеть все устройства и обнаруживать новые, а затем распознать их, классифицировать, а с другой – определить, какие конечные точки в каких процессах участвуют. Помимо Asset Management можно подключить и процесс управления рисками (например, кибер-риски, по методологии ФСТЭК).


Как результат, методология позволяет отсеивать устройства, с которых получать доступ просто небезопасно. Дополнительно применяются и технологии, например, Virtual Private Network (VPN) для создания безопасного туннеля до корпоративных ресурсов или Remote Desktop Protocol (RDP) для использования защищённого компьютера во время удалённой работы.


4. Инфраструктура

По аналогии с предыдущим пунктом на данном шаге определяется место, только не где работает пользователь, а где находятся сами данные, например, виртуальная машина, контейнер с развёрнутым окружением, сервер или другое автоматизированное рабочее место (АРМ). В зависимости от особенностей инфраструктуры подбираются дополнительные средства защиты, например, решения типа IDentity Management (IDM), антивирусной защиты, поведенческого анализа и др.


Если сравнивать два этих шага с повседневными делами, то можно обратить внимание на базу требований для прилёта в какую-либо страну. Такую базу используют авиакомпании, некоторые из них также публикуют инструкции для пассажиров. Там можно найти требования к страховке, визе, разрешению на въезд и другим документам, которые могут потребоваться в зависимости от мест вылета и назначения. А с точки зрения ИТ – в зависимости от того, откуда пытается подключиться пользователь и места, где находятся сами данные, активируются различные СЗИ, описанные выше. А если безопасность подтвердить не удалось, доступ продолжает оставаться закрытым. 


5. Сеть

Дополнительные ограничения добавляются при организации связи одного сервиса с другим, например, база данных с чувствительной информацией и веб-сервер, через который пользователь хочет приобрести покупку или подписаться на новостную рассылку. Так, для защиты публичных серверов от массовых атак используются решения типа анти-DDoS, которые на уровне сети отфильтровывают реальные запросы от тех, что сформированы ботами, и пытаются «положить» сайт, повредив его доступность. Если сервис публичный, например, сайт покупки авиабилетов, интернет-магазин или онлайн-банк – сетевую доступность стоит рассматривать особенно тщательно. При помощи подхода нулевого доверия доступ будет максимально безопасным, но пользователю придётся доказать свои намерения, возможно, позвонить в колл-центр при обнаружении подозрительной активности или ввести код из СМС при входе в личный кабинет.


Разделение сети на части необходимо и в случае доступа внутри компании. Для того, чтобы организовать процесс, используют системы каталогов (например, Active Directory, AD) или решения по микросегментации при помощи брандмауэра (современные proxy-сервера и NGFW). Такие системы связывают друг с другом учётные записи пользователей, аппараты и IP-адреса, обеспечивая канал сетевой доступности только при прохождении всех проверок. Как минимум, решения могут работать не только в режиме «вразрыв», но и в режиме «мониторинг», фиксируя все связи для будущего анализа. В таком случае для быстрого поиска угрозы применяются различные способы визуализации детальных данных и взаимосвязей объектов


6. Политики безопасности

Под политиками мы обычно понимаем регламенты и организационные меры, которые описывают на бумаге или в электронном виде базовые правила: как часто нужно менять пароли, где искать телефоны коллег, что можно сделать, если заболел и не можешь прийти на работу, куда обратиться в случае утечки газа и т.д. Для информационных систем правила могут устанавливаться законом, например, необходимость сообщать о произошедшем инциденте на объекте критической информационной инфраструктуры (ОКИИ) или при применении СЗИ для защиты персональных данных (ПДн). Внутри компаний также могут устанавливаться свои регламенты и правила в виде требований (процедура оформления больничного листа, получение ключа доступа в помещение через СКУД-системы) или рекомендаций (корпоративная переписка, автоматические ответы во время отпуска и др.).


Почти в любой информационной системе можно настроить собственные политики, которые автоматически позволят применять правила подхода нулевого доверия ко всем действиям. Именно автоматизация позволяет сократить время и убрать риски человеческих ошибок во время работы. А политики являются центром принятия решений в методологии Zero Trust – они увязывают между собой пользователей, данные и технологии, обеспечивающие безопасность, доступность и надёжность.


Точечное создание политик, детальная их настройка и беспрерывность цикла обновления – ключ к успеху в организации любого процесса. Такие методы можно применять и в повседневной жизни. Мы уже описывали ряд полезных привычек, которые помогут повысить безопасность своих данных в сети – смело используйте их и чувствуйте себя спокойно.


7. Оркестрация

Последний по нашему списку (но не последний по важности) шаг в грамотном построении архитектуры по Zero Trust – это управление целым оркестром из разных средств защиты. Поскольку в мире не существует одного поставщика для всех услуг сразу, а продукты ИБ и ИТ разнообразны и отличаются функционалом и подходами – важно иметь возможность сделать собственную экосистему из чего угодно. Какими бы ни были решения для защиты пользователей, конечных точек, инфраструктуры и сети, аутентификации и анализа данных – все они должны согласно методологии нулевого доверия работать вместе, чтобы обеспечить безопасность.


В таком случае для построения экосистемы можно использовать продукты одного вендора, связанные друг с другом, или при помощи интеграций создать каналы передачи данных от одной системы к другой.


В итоге, шаг за шагом, можно построить связи между людьми, процессами и технологиями так, чтобы передавать данные можно было только после того, как на каждом этапе установлена безопасность.

DLP Управление ИБ Практика ИБ Управление ИТ-активами ФСТЭК КИИ Защита персональных данных (ИСПДН) Подкасты ИБ

Рекомендуем

Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Государственный сектор
Государственный сектор
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Практическая защита персональных данных
Практическая защита персональных данных
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек

Рекомендуем

Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Государственный сектор
Государственный сектор
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Практическая защита персональных данных
Практическая защита персональных данных
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек

Похожие статьи

«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Визуализация: лучшие практики
Визуализация: лучшие практики
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр

Похожие статьи

«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Визуализация: лучшие практики
Визуализация: лучшие практики
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр