10 stycznia 2024

Zastosowanie zasady Zero Trust w rozwiązaniu klasy PAM

Wdrożenie modelu bezpieczeństwa opartego na zerowym zaufaniu zyskało w ostatnim czasie na popularności. Nic dziwnego - podejście „nigdy nie ufaj, zawsze sprawdzaj” przed udzieleniem dostępu do zasobów firmy przynosi pozytywne efekty.

Praktyka Zero Trust jest niezwykle ważna dla zapewnienia cyberbezpieczeństwa, zwłaszcza w kontekście pracy zdalnej, gdzie pracownicy mają dostęp do zasobów firmy z dowolnego miejsca i urządzenia.

Aby rozwinąć temat koncepcji Zero Trust i wyjaśnić jej związek z rozwiązaniami klasy PAM (Privileged Access Management), podzieliliśmy ten artykuł na następujące segmenty:

  1. Czym jest koncepcja Zero Trust?
  2. Jakie są 3 najważniejsze aspekty Zero Trust?
  3. Jakie znaczenie ma zasada Zero Trust?
  4. Jakie są zalety podejścia Zero Trust?
  5. Jak wdrożyć model bezpieczeństwa oparty na zasadzie Zero Trust?
  6. Ewolucja modelu Zero Trust
  7. O zarządzaniu dostępem uprzywilejowanym (PAM)
  8. Zero Trust i PAM: jak zastosować koncepcję Zero Trust w zarządzaniu dostępem uprzywilejowanym?
  9. O Senhasegura
  10. Podsumowanie

Zapraszamy do lektury!

1. Czym jest koncepcja Zero Trust?

„Nigdy nie ufaj, zawsze sprawdzaj” - to motto używane w modelu cyberbezpieczeństwa opartym na koncepcji Zero Trust. Zgodnie z nią zaleca się przyznawanie minimalnego uprzywilejowanego dostępu dopiero po sprawdzeniu, kim jest wnioskodawca, jaki jest kontekst żądania i jakie ryzyko stwarza środowisko dostępu.

W ten sposób można chronić środowiska pracy, np. te znajdujące się w chmurze, DevOps, a także zautomatyzowane procesy poprzez zmniejszenie powierzchni ataku i - co za tym idzie - kosztów dla firmy.

W praktyce w modelu bezpieczeństwa Zero Trust zaleca się weryfikację wszystkich użytkowników przed uzyskaniem dostępu do konkretnego systemu w celu ochrony go przed atakami zewnętrznymi, złośliwym oprogramowaniem i zagrożeniami pochodzącymi z wewnątrz.
Oznacza to, że muszą oni być uwierzytelniani, autoryzowani i weryfikowani w sposób ciągły, czyli zarówno przed uzyskaniem dostępu do aplikacji i danych, jak i w trakcie dostępu.

2. Jakie są 3 najważniejsze aspekty modelu Zero Trust?

Model bezpieczeństwa Zero Trust opiera się na 3 aspektach:

Zasady
Aby zadbać o bezpieczeństwo cyfrowe za pomocą modelu Zero Trust, kluczowe jest stworzenie i wdrożenie ścisłej kontroli bezpieczeństwa, zapewniającej dostęp do środowisk IT tylko określonym osobom w określonych okolicznościach.

Automatyzacja
Dzięki automatyzacji możliwe jest wdrożenie koncepcji Zero Trust, unikając przy tym ludzkich błędów i natychmiast korygując wszelkie odchylenia.

Widoczność
Aby chronić urządzenia i zasoby IT, konieczne jest ich zidentyfikowanie i monitorowanie. W końcu nie da się chronić tego, czym się nie zarządza, i nie da się zarządzać tym, czego się nie zna. Oznacza to, że w celu właściwej ochrony infrastruktury, trzeba wiedzieć, jaki sprzęt firma posiada lub do jakiego sprzętu ma ona dostęp.

3. Jakie znaczenie ma zasada Zero Trust?

Firmy na całym świecie borykają się z problemami związanymi z zagrożeniami wewnętrznymi, generowanymi przez osoby trzecie, oraz z błędami (przypadkowymi lub nie) popełnianymi przez obecnych i byłych pracowników.

W związku z tym gigantyczne korporacje, takie jak Google, zaczęły przyjmować model bezpieczeństwa oparty właśnie na zasadzie Zero Trust. Uświadomiono sobie, że stary model „ufaj i kontroluj" okazał się niewystarczający do zagwarantowania bezpieczeństwa cyfrowego.

W 2015 roku amerykańskie Biuro Zarządzania Personelem doświadczyło cyberataków, co zmotywowało Izbę Reprezentantów do zaproponowania i docelowo wprowadzenia zasady Zero Trust przez instytucje rządowe. Sześć lat później, w 2021 roku, prezydent Joe Biden podpisał rozporządzenie wykonawcze w sprawie poprawy cyberbezpieczeństwa kraju. Zarządzenie to uwzględnia wdrożenie zasad opartych na Zero Trust we wszystkich agencjach rządu amerykańskiego.

Innym ważnym powodem, dla którego warto dołączyć do modelu bezpieczeństwa opartego na Zero Trust, jest możliwość zapewnienia cyfrowego bezpieczeństwa pracy zdalnej.

4. Jakie są zalety podejścia Zero Trust?

Obecnie stosowanie koncepcji Zero Trust jest absolutnie niezbędne do zapewnienia cyberbezpieczeństwa w firmach i organizacjach. Wśród zalet tego podejścia warto wymienić:

  • wysokie ograniczanie ryzyka poprzez zmniejszenie powierzchni ataku i kontrolowanie ruchu w sieci;
  • zwiększone bezpieczeństwo cyfrowe i wsparcie dla pracowników mobilnych i zdalnych;
  • obronę aplikacji i danych, niezależnie od tego, czy znajdują się one lokalnie, czy w chmurze;
  • silną ochronę przed zaawansowanymi zagrożeniami, takimi jak zaawansowane ataki trwałe (APT).

Wreszcie bezpieczeństwo oparte na koncepcji Zero Trust pozwala na segmentację sieci według tożsamości, grup i ról, pomagając w ten sposób powstrzymać cyberzagrożenia i zmniejszyć potencjalne szkody.

5. Jak wdrożyć model bezpieczeństwa oparty na zasadzie Zero Trust?

Wdrożenie modelu bezpieczeństwa opartego na zerowym zaufaniu wymaga, aby żądane dostępy były niezawodne. W tym celu niezbędne są następujące działania:

Klasyfikacja danych
Pierwszym krokiem do wdrożenia tego modelu bezpieczeństwa w firmie jest segregacja i przypisanie wartości do danych, które mają być dostępne, określając, kto i w jaki sposób może uzyskać do nich dostęp, zgodnie z ich klasyfikacją (tajne, poufne, wewnętrzne lub publiczne) i pilnością.

Monitorowanie środowisk sieciowych
Aby wykryć nieprawidłowości, niezwykle ważna jest znajomość ruchu sieciowego i sposobu udostępniania informacji.

Mapowanie zagrożeń
Kolejnym istotnym środkiem jest mapowanie zewnętrznych i wewnętrznych zagrożeń, na które narażone są systemy.

Oficjalne wdrożenie podejścia
Niezbędne jest również dostosowanie polityk, procedur, podręczników i innych dokumentów do modelu bezpieczeństwa Zero Trust, dzięki czemu przyjęcie tego podejścia stanie się oficjalne.

Identyfikacja dostępów
Konieczne jest też zrozumienie, jakie są typy użytkowników w sieci, ich role i rodzaj dostępu, jaki mają. Dzięki temu można ich uwierzytelnić, zapewniając wysoki poziom bezpieczeństwa.

6. Ewolucja modelu Zero Trust

Koncepcja Zero Trust pojawiła się w 2010 roku jako wyrażenie ukute przez firmę Forrester i odnosiło się do tworzenia bezpiecznych stref w centrach danych i rozwiązaniach chmurowych. Podejście to stało się przydatne, ponieważ tradycyjne mechanizmy bezpieczeństwa okazały się nieskuteczne w obliczu takich technologii, jak przetwarzanie w chmurze, wirtualizacja czy urządzenia mobilne.

Wcześniej firmy budowały mury wokół swoich wrażliwych danych, które były przesyłane za pośrednictwem urządzeń fizycznych lub z punktu dostępu do Internetu, chroniąc, monitorując i kontrolując te informacje.

W praktyce możliwa jest ochrona urządzeń poprzez zarządzanie systemami i programami antywirusowymi, co jednak okazało się niewystarczające. Z tego względu dostawcy produktów i usług związanych z bezpieczeństwem cyfrowym od 2010 roku stosują model bezpieczeństwa oparty na Zero Trust, który obejmuje wszystkie rodzaje rozwiązań cybernetycznych.

Niedawno firma Forrester opublikowała swój coroczny raport „The Forrester Wave: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018", definiujący 7 mechanizmów kontrolnych uznawanych za podstawowe zasady tego podejścia. Są to:

  • bezpieczeństwo sieci;
  • bezpieczeństwo urządzeń;
  • bezpieczeństwo tożsamości;
  • bezpieczeństwo aplikacji;
  • bezpieczeństwo danych;
  • analiza bezpieczeństwa;
  • automatyzacja zabezpieczeń.

Firma Gartner zaproponowała podejście Continuous Adaptive Risk and Trust Assessment (CARTA), które również obejmuje siedem zasad, z których pierwszą jest „zero zaufania”. Koncepcja ta jest związana z równowagą między ryzykiem a zaufaniem, biorąc pod uwagę zaufanie potrzebne do uzyskania dostępu do zasobów o wysokiej wartości.

7. O zarządzaniu dostępem uprzywilejowanym (PAM)

Zacznijmy od oczywistości: różne organizacje posiadają dane wrażliwe i zasoby cyfrowe, które nie powinny być dostępne dla wszystkich użytkowników, aby nie narażać się na ryzyko wycieków generowanych przez ludzkie błędy lub nawet działania hakerów, którzy przechwytują autoryzowane konta do poruszania się po sieci.

Aby uniknąć tego typu problemów, zaleca się stosowanie Privileged Access Management (PAM), czyli oprogramowania, które umożliwia ograniczenie przywilejów użytkowników do niezbędnego minimum.

W skrócie: PAM pozwala przechowywać i zapisywać dane uwierzytelniające autoryzowanych użytkowników w sieci, a także zarządzać ich kontami, rejestrując ich działania i przyznając dostęp tylko wtedy, gdy udzielą wyjaśnienia.

8. Zero Trust i PAM: jak zastosować koncepcję Zero Trust w zarządzaniu dostępem uprzywilejowanym?

Powiązane z koncepcją Zero Trust rozwiązanie PAM zapewnia cyfrowe bezpieczeństwo dla firm. Jego zadaniem jest promowanie scentralizowanego zarządzania dostępem poprzez kontrolę, przechowywanie, segregację i śledzenie poświadczeń z dostępem do środowiska IT. W ten sposób można upewnić się, że dostęp jest faktycznie uzyskiwany przez użytkownika i ma on prawo dostępu do tego środowiska.

Główne cechy PAM, które pozwalają organizacjom na stosowanie praktyk Zero Trust to:

Zarządzanie poświadczeniami
Dzięki Zero Trust i PAM można zdefiniować administratorów i grupy użytkowników, określając ich dostępy i uprawnienia oraz zarządzając pełnym cyklem ich poświadczeń.

Segregacja dostępu
Rozwiązanie to pozwala również uniknąć problemów wynikających z nieautoryzowanego dostępu, poprzez izolowanie krytycznych środowisk i wykrywanie podejrzanych działań.

Zatwierdzanie cyklów pracy
Żądania dostępu użytkowników PAM do zasobów, które organizacja chce chronić, są łatwe do skonfigurowania i akceptacji przez przełożonych. Są też w stanie działać w sposób zupełnie automatyczny zgodnie z zasadami i politykami określonymi przez administratora PAM w danej organizacji.

Analiza zachowania
Kolejną cechą PAM, która optymalizuje model bezpieczeństwa Zero Trust, jest monitorowanie działań użytkowników, co pozwala identyfikować i reagować na zmiany w ich wzorcach zachowań czy profilach dostępu.

Nieautoryzowany dostęp
PAM umożliwia również odmowę dostępu użytkownikom, których nie obejmuje polityka firmy lub gdy nie spełnią wymagań dotyczących możliwości dostępu do danych zasobów.

Analiza działań
PAM analizuje też działania, które wykonują użytkownicy, i generuje alerty, które umożliwiają wykrycie niewłaściwych działań lub oszustw.

Blokowanie sesji
Bardzo ważna funkcja! Gdy pojawia się podejrzana aktywność, administrator może zablokować sesję użytkownika w środowiskach IT lub systemach operacyjnych.

9. O Senhasegura

Senhasegura umożliwia organizacjom przyjęcie strategii Zero Trust i przestrzeganie najsurowszych kontroli dostępu do uprzywilejowanych danych uwierzytelniających w sposób zautomatyzowany i scentralizowany, zapobiegając cyberatakom i wyciekom poufnych informacji. Oto niektóre korzyści, które może przynieść Senhasegura Twojej firmie:

  • kontrola niewłaściwego wykorzystania uprawnień;
  • bezpieczne zarządzanie hasłami;
  • ochrona przed zagrożeniami wewnętrznymi i kradzieżą krytycznych danych;
  • monitorowanie i rejestrowanie działań wykonywanych podczas sesji uprzywilejowanych;
  • automatyczne resetowanie haseł lub na podstawie ustalonego harmonogramu;
  • uproszczone generowanie raportów audytowych z centralnego repozytorium danych audytowych.

10. Podsumowanie

Oto, co warto zapamiętać z tego artykułu:

  • Koncepcja Zero Trust pojawiła się w 2010 roku i ewoluowała aż do teraz.
  • Duże korporacje, takie jak Google, wykorzystują tę koncepcję w swoich praktykach.
  • Model bezpieczeństwa Zero Trust zaleca, aby „nigdy nie ufać, zawsze sprawdzać”. Oznacza to, że przed przyznaniem uprzywilejowanego dostępu należy zweryfikować, kim jest wnioskodawca, jaki jest kontekst jego żądania oraz jakie ryzyko niesie środowisko, w którym ma być udzielony dostęp.
  • Zasada Zero Trust umożliwia ochronę środowisk IT przed atakami zewnętrznymi, złośliwym oprogramowaniem i zagrożeniami pochodzącymi z wewnątrz.
  • Do zastosowania koncepcji Zero Trust wykorzystywane są zaawansowane technologie.
  • Model bezpieczeństwa Zero Trust opiera się na następujących 3 aspektach: zasady, automatyzacja i widoczność.
  • Ulepszone bezpieczeństwo cyfrowe dla zespołów mobilnych i zdalnych jest jedną z najważniejszych korzyści generowanych przez model bezpieczeństwa oparty na Zero Trust.
  • Aby wdrożyć ten model bezpieczeństwa, należy sklasyfikować dane, monitorować środowiska sieciowe, oficjalnie korzystać z tego podejścia i identyfikować dostępy.
  • Rozwiązanie klasy PAM pozwala ograniczyć przywileje użytkowników do niezbędnego minimum.
  • PAM powiązany z koncepcją Zero Trust zapewnia cyfrowe bezpieczeństwo dla firm, ponieważ wprowadza scentralizowane zarządzanie dostępem poprzez kontrolę, przechowywanie, segregację i śledzenie danych uwierzytelniających z dostępem do środowiska IT.

Chcesz dowiedzieć się, w jaki sposób PAM mogą przyczynić się do wzmocnienia bezpieczeństwa cyfrowego Twojej firmy? Zobacz nasz bezpłatny webinar na start!

Mateusz Piątek
senior product manager Safetica / Holm Security / Senhasegura

Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255