A zéró bizalom elve: soha ne bízz, mindig ellenőrizz!
Mit jelent a zéró bizalom elve?
A zéró bizalom elve alapján minden hálózati erőforrás igénybevételekor ismételten ellenőrizni kell az eszközt, annak biztonsági állapotát és a felhasználót is. Egy zéró bizalomra épülő megoldás például kockázati alapon riasztást adhat, ha egy felhasználó azonosítójával szokatlan országból vagy rendhagyó időben belépési kísérletet észlel. Ilyen esetben egy incidenskezelő rendszer automatikusan kizárja a felhasználót, ezzel csökkentve a visszaélés esélyét. A zéró bizalomra épülő megközelítés egyik fő eleme továbbá a hálózat, adatok, alkalmazások, munkafolyamatok és más erőforrások kezelhető egységekbe osztása annak érdekében, hogy a biztonsági kontrollokat minél mélyebb szinteken érvényesíthessük. A zéró bizalomra épülő architektúra révén össze lehet hangolni az IT terület egyéb automatizált folyamatainak működését is, például a DevSecOps vagy NoOps működési modelleket, valamint API-k segítségével egy konzisztens rendszerfelügyeleti ellenőrző réteget lehet kialakítani.
Miért van rá szükség?
„A hagyományos úgynevezett várárok típusú hálózatvédelmi megoldásoknál gyakran elegendő egy hálózathoz kapcsolódó eszközt vagy rajta keresztül egy felhasználót a csatlakozáskor egyszer azonosítani, és onnantól kezdve a belső hálózaton széles körben elérhetővé tenni számára az alkalmazásokat és hálózati szolgáltatásokat. A mai munkakörnyezetben azonban egy vállalati hálózathoz sokféle irányból, sokféle eszközön és módon keresztül lehetséges kapcsolódni: távoli elérés VPN kapcsolattal, felhőszolgáltatáson keresztül vagy hibrid IT környezetben, ez pedig nem ad kellő biztonságot. Elég csak az okos eszközök kiterjedt használatára vagy az 5G, IoT és mesterséges intelligencia elterjedése miatt többszörös támadási felületek kialakulására gondolni. A biztonsági határvonalakra épülő megoldások valójában megbízhatónak tekintik a szervezet hálózatához már kapcsolódott eszközöket és felhasználókat, pedig a biztonsági visszaélések 25 százaléka lopott hitelesítő adatokkal történik” – hívta fel a figyelmet Marton Károly, a Deloitte Kockázatkezelési tanácsadás üzletágának szenior menedzsere.
Zéró bizalom a gyakorlatban
A zéró bizalom elvének alkalmazásához érdemes úgynevezett biztonsági higiéniás eljárásokat alkalmazni. Ehhez a szervezetnek nemcsak ismernie kell a védendő adatait, hanem kritikusság és bizalmi szintek szerint rendszereznie is kell azokat. Emellett rendelkezni kell az IT környezet minden belső és külső elemére vonatkozó leltárral, beleértve a saját és felhőerőforrásokat, IP címeket, közösségi média azonosítókat is. Egy rosszindulatú támadó az IT rendszerben meglévő sérülékenységeket használja ki, így tisztában kell lenni minden eszköz konfigurációs beállításával és a biztonsági frissítések szintjével. A szervezetnek tudnia kell szabályoznia, hogy pontosan kinek, mikor és mihez ad hozzáférést, amelyhez érdemes egy automatizált identitáskezelő rendszert bevezetni.
Ezt ki lehet egészíteni fejlett azonosítási módszerekkel, mint például biometrikus azonosítás, viselkedés monitorozás vagy feltétekhez kötött hozzáférés. A kockázati kitettség teljes megértéséhez a rendszerekhez kapcsolódó vagy azt kiszolgáló és működtető összes szereplő biztonsági kockázatainak ismerete szükséges, valamint ezeket folyamatosan monitorozni és kezelni kell. Mind a keletkező naplók adatmennyisége, mind a támadások lehetséges komplexitása elengedhetetlenné teszi a vállalatok számára, hogy fejlett, mesterséges intelligenciával kiegészített naplózó és monitorozó rendszereket használjanak a potenciális biztonsági incidensek és problémák észleléséhez.
Érdemes kicsiben kezdeni
Azoknál a szervezeteknél, ahol az IT rendszerek sokéves - gyakran elavult - megoldásokra épülnek, a zéró bizalom elvével összhangban álló architektúra kialakítása meglehetősen nagy kihívást jelenthet. Érdemes emiatt a bevezetést kisebb, kezelhető méretű részekre osztani, például először a végpontok hálózati szegmentációját vagy az adatvagyonfelmérést elvégezni és lépcsőzetesen haladni a feladatokkal.
„A zéró bizalom elv bevezetése valószínűleg kulturális váltást is hoz a szervezet életében. Megváltozhat az IT biztonsági munkatársak feladatköre, esetleg többleterőforrást igényel a tervezés vagy az automatizálás megvalósítása. Nagyobb együttműködést igényelhet az IT biztonsági terület és az üzlet között a kockázatok megértése, biztonsági folyamatok és kontrollok tervezése. Az üzleti területeknek pedig jobban meg kell érteniük a rendszerjogosultságokat és finomítani kell az üzleti alkalmazások hozzáférési szintjeit” – mondta Szöllősi Zoltán, a Deloitte Kockázatkezelési tanácsadás üzletágának igazgatója.
Nem egy új megoldás, hanem szemléletváltás
A zéró bizalom elvének bevezetésével lehetőség van arra, hogy újragondoljuk a vállalat biztonsági rendszerét, szervezetté és kontrolláltá tegyük minden erőforrás használatát, valamint egyszerűsítsük, integráljuk és automatizáljuk a hálózatvédelmi folyamatok és biztonsági megoldások működését. Ez a komplex, szervezeti egységeken átívelő feladat összehangoltabbá és hatékonyabbá teheti az IT védelmi rendszerek működését. A feladat komplexitása és szervezeti egységeken átívelő jellege miatt érdemes a témában jártas szakértőket bevonni a zéró bizalom elvének kialakítási és bevezetési folyamata során.
A zéró bizalom megteremtése nem egy termék vagy platform bevezetését, hanem egy szemléletmódbeli váltást jelent abban, ahogy a szervezetek a saját biztonságukról gondolkodnak és gondoskodnak. Egy ilyen váltáshoz szükséges erőfeszítés inkább hasonlítható egy maratoni futáshoz, mintsem egy 100 méteres sprinthez, hiszen a működési folyamatok átgondolását és összehangolását, vagy akár szervezeti, kulturális váltást is igényelhet.