Filozofia zero trust: nigdy nie ufaj nikomu

Pojęcie „Zero Trust” używane jest czasami w kontekście skomplikowanych rozwiązań, taki Święty Graal, który ma za zadanie rozwiązać większość bolączek współczesnego IT – zredukowanych kontroli, pośpiechu, redukcji kosztów oraz lat zaniedbań w sferze zarządzania infrastrukturą. Wypadałoby trochę to odczarować…

Tradycyjne pojęcie zasobów firmy i lokalizacji jej krytycznych zasobów, wyewoluowało w ciągu ostatnich lat. „Tradycyjna” sieć miała jeden, o ile w ogóle, punkt dostępu zdalnego. Dostęp ten był przyznawany tylko nielicznym i na wyjątkowe okazje. Lista dostępowa była w miarę prosta, ale za to, kiedy już przekroczyło się tę barierę, świat cyfrowy organizacji stał otworem. Było tam wszystko: użytkownicy, systemy biznesowe, HR, bazy danych. Stosowano wyrafinowane techniki autoryzacyjne, za to na dalszych etapach separacja zasobów czy aplikacji była rzadkością. Segmentacja sieci była kłopotliwa, deweloperzy mieli problemy z uruchamianiem systemów usprawniających biznes. Kto by się przejmował listą niezbędnych portów, które są potrzebne aplikacji. Liczył się czas, a sieć przecież była „bezpieczna” – otwierano cały jej zakres i wszystkie usługi, bo tak to działało. Podobnie jak z aplikacją uruchomioną w kontekście lokalnego administratora – nigdy nie będzie miała kłopotu z uprawnieniami, prawda?

Hard & crunchy from outside but soft and chewy from inside

Granica zaczęła zanikać. Początkowo nieśmiało zaczęło się od poczty w telefonach, potem dokumenty, akceptacje. Wkrótce okazało się, że nie tylko poczta może być w chmurze, ale i cały pakiet aplikacji biurowych. Potem systemy ERP, platformy B2B. Próba organizacji dostępu do tych zasobów przy użyciu praktyk nabytych w tradycyjnych strukturach niosła duże ryzyko. Okazało się, że drzwi do zasobów firmy mamy przynajmniej kilkoro, części nie umiemy dobrze zabezpieczyć, a części nie potrafimy obsłużyć. I się zaczęło…

Wybuch pandemii i wynikająca z niej konieczność przeniesienia pracowników w tryb pracy zdalnej (w sytuacji, gdy dla części z nich nie można było zakupić komputera, co wymagało, aby łączyli się z komputerów prywatnych) i do systemów, które nigdy nie były – i nie miały być – udostępniane na „zewnątrz” oraz robienie tego wszystkiego w ogromnym pośpiechu stworzyło przestępcom całkowicie nowy wachlarz możliwości.

W badaniu Business Wire czytamy, że 59% firm doświadczyło utraty danych wskutek działania lub zaniedbania dostawcy usługi lub partnera¹. Z kolei badanie RiskRecon pokazuje, że incydenty z udziałem środowisk, w których było wielu dostawców, kończyły się stratami finansowymi 13 razy większymi niż w przypadku incydentów z udziałem tylko jednej strony². Ponadto okazało się, że kradzione poświadczenia są używane w ponad 25% przypadków ataków³, co wskazuje na to, że nawet najbardziej skomplikowane hasło można albo złamać, albo podejrzeć. A kiedy już ktoś się włamał, często miał już dostęp do wszystkiego, co jest w firmie. Nasuwa się skojarzenie z biurem pracującym w stylu open-space – po przejściu przez chronione drzwi wejściowe, mamy dostęp do wszystkich biurek, ekranów, korytarzy, salek spotkań, kuchni. Aż trudno nie wykorzystać takiej okazji.

Dlatego pojawiła się potrzeba, by spojrzeć na temat szerzej i tak narodziła się filozofia zero trust. Zaczynamy od podejścia do systemów komputerowych w sposób, który nazywamy „least privilege” – czyli Twoja elektroniczna tożsamość ma dostęp wyłącznie do tego, co jest niezbędne do wypełnienia określonej roli lub zadania. Właściwy projekt i budowa architektury zero trust tworzy proste, modułowe miniśrodowiska i uproszczony system dostępu dla użytkownika.

Łatwo powiedzieć, trudniej zrobić. Co jeszcze jest potrzebne? W skrócie – porządek w papierach. Implementacja tej filozofii niesie potrzebę wiedzy na temat tego, co jest dla naszej organizacji ważne? Co mamy w naszej sieci? Do kogo to należy? Gdzie to jest i w jakim jest stanie?

• Inwentaryzacja i klasyfikacja danych. Żeby coś chronić, musimy wiedzieć, co jest dla nas cenne i ile jest warte. Nie ma sensu koncentrować się wokół zbioru danych historycznych o pogodzie i jednocześnie przeoczyć zbiór danych klientów. Trzeba też zidentyfikować, kto lub co (jaka aplikacja) może mieć do tego zbioru dostęp i wyciąć z listy dostępowej wszystko, co takiego dostępu mieć nie powinno.
• Wykrywanie zasobów. Wiele organizacji ma problem z praktyczną wiedzą na temat tego, jakie zasoby są w ich posiadaniu. Dotyczy to również zasobów chmurowych, domen i poddomen, struktury zależności aplikacji, repozytoriów kodu, kont w mediach społecznościowych i wszystkich innych zasobów „dotykających” internetu. Brak tej wiedzy powoduje, że firma nie jest w stanie zidentyfikować zagrożenia (np. obcych urządzeń w sieci). Aby umiejętnie wdrożyć politykę dostępu opartą na ocenie ryzyka, wymagane jest pełne zrozumienie środowiska IT. Jeżeli ktoś nie wierzy, że jest to problematyczne do wykonania, proponuję eksperyment. Jeśli macie wśród znajomych dyrektora IT z organizacji większej niż 100 użytkowników, zapytajcie go, ile ma komputerów w sieci i uruchomionych środowisk chmurowych z dostępem publicznym, przy tolerancji +/ – 20%.
• Zarządzanie konfiguracją i poprawkami. Bez możliwości dokumentacji i zarządzania elementami konfiguracji systemów technologicznych, niezwłocznego wdrażania odpowiednich poprawek, czy łatek, testowania poprawionych systemów i aktualizowania ich dokumentacji, organizacje będą miały duży problem z wykrywaniem nieautoryzowanych zmian oraz z zarządzaniem ryzykiem dla swoich systemów. Cyberprzestępcy mają w takim wypadku ułatwione zadanie.
• Zarządzanie dostępem i tożsamością. Należy się upewnić, że dostęp do zasobów informacyjnych jest nadany tylko właściwym osobom, urządzeniom i innym zasobom. Organizacje powinny standaryzować i automatyzować cykl zarządzania tożsamością. Mogą rozszerzać granice tych systemów, aby uwzględniać również te zasoby, które znajdują się poza organizacją, mogą wręcz przenosić te rozwiązania do chmury, używać zarządzania tożsamością jako usługi chmurowej, rozbudowywać te elementy o zaawansowane techniki uwierzytelniania, takie jak biometryka, monitorowanie zachowania i dostęp warunkowy.
• Zarządzanie ryzykiem związanym z partnerami i dostawcami. Aby w pełni zrozumieć środowisko ryzyka, firmy muszą mieć wiedzę o zagrożeniach cybernetycznych związanych z łańcuchem dostaw i partnerami, wliczając w to poddostawców usług. Jak ważny jest ten element, pokazuje ostatni przypadek wycieku danych związany z oprogramowaniem Solar Winds.
• Logowanie i monitorowanie zdarzeń. Aby zidentyfikować jakiekolwiek potencjalnie niebezpieczne zdarzenie, zespoły bezpieczeństwa muszą mieć zautomatyzowane systemy monitorowania i rejestrowania rozbudowane o zaawansowane algorytmy uczenia maszynowego i sztucznej inteligencji. To znacząco przyspieszy i uprości proces śledzenia, analizowania i korelacji zdarzeń oraz alarmów pochodzących z systemów wewnętrznych, zewnętrznych i obsługiwanych procesów.
• Zautomatyzowana i skoordynowana technologia. Odpowiednie technologie są niezbędne, aby wesprzeć zarówno utrzymanie bieżących, jak i nowych komponentów systemu. Wymagają też dodatkowych algorytmów i technik wykrywania zagrożeń. Analiza zachowania czy uczenie maszynowe jest tutaj jednym z najwyraźniejszych elementów.

Działanie takich rozwiązań można zobrazować na przykładzie pracownika, który loguje się z domu w Warszawie 5 razy w tygodniu pomiędzy 7.00–19.00, czasami z kawiarni w weekendy. W pewnym momencie jego logowanie następuje w sobotę wieczorem z zagranicy – np. z terytorium Rosji czy Ukrainy, ewentualnie z tzw. wyjścia TOR. Standardowe systemy dostępu umożliwią takie połączenie, ponieważ ich mechanizmy opierają się tylko na zidentyfikowaniu danych uwierzytelniających. Ale ponieważ architektura zero trust opiera się na ryzyku i sprawdzaniu kontekstu – odrzuca takie połączenie i rejestruje alarm. Można pomyśleć o uruchomieniu automatycznej odpowiedzi przez system SOAR, który tymczasowo zablokuje takie konto, do czasu wyjaśnienia zdarzenia.

Czym więc jest zero trust?

Filozofią, która łączy dotychczas funkcjonujące dobre praktyki, wdrożone w organizacji na wszystkich etapach działania, z technologią umożliwiającą przetwarzanie dużych i rozproszonych ilości informacji, wyciąganie na ich podstawie właściwych wniosków i podejmowanie reakcji, automatyzowanych tam, gdzie to jest możliwe.

Adam Rafajeński, dyrektor w zespole cyberbezpieczeństwa, Deloitte
^{1 Business Wire, „Opus & Ponemon Institute announce results of 2018 third-party data risk study”: 59% of companies experienced a third-party data breach, yet only 16% say they effectively mitigate third-party risks, accessed November 15, 2018.
2 RiskRecon, „Ripples across the risk surface: A study of security incidents impacting multiple parties”, accessed November 20, 2020.
3 Verizon, „2020 data breach investigations report”, 2020}