Широко обсуждаемая утечка данных сети магазинов Target в 2013 году, когда 70 миллионов клиентов потеряли свои личные данные, 40 миллионов кредитных и дебетовых карт были украдены, более 250 миллионов долларов США было потрачено на устранение последствий, а руководитель и ИТ-директор были сняты с должностей, даже не входит в топ-15 самых крупных атак этого века. Но это уже не удивляет. В мире кибербезопасности это стало нормой. Но должно ли так быть? Можем ли мы позволить себе последствия?

Автор: Раджив Рагунараян

Я имею честь регулярно разговаривать с несколькими руководителями и специалистами в области безопасности, и многие из них часто выражают общие опасения: постоянно меняющийся ландшафт угроз, нехватка людей, получение слишком большого количества предупреждений (некоторые даже перестали обращать на них внимание), необходимость придерживаться новых правил соответствия и адаптироваться к изменениям в бизнесе, технологиях и на рынке (таким, например, как пандемия коронавируса). Другими словами, мы прикладываем очень много усилий, но нарушения все еще происходят. Сможем ли мы не отставать, поскольку зависимость бизнеса от технологий продолжает расти с увеличением количества удаленных сотрудников, облачных приложений, подключенных устройств и бизнес-рисков от взломов? Наш успех зависит не только от эффективности системы безопасности, но и от ее продуктивности и простоты. Недавнее исследование (ISC)² показало, что глобальная нехватка квалифицированных кадров превысила 4 миллиона специалистов в конце 2019 года, увеличившись более чем на 1 миллион с конца 2018 года.

Большой вклад в нынешнее состояние сферы безопасности вносит традиционный подход «доверяй, но проверяй» с реактивными архитектурами и решениями и архитектурами технологии bolt, которые делают безопасность сложной и дорогостоящей. Обнаружение угрозы, оценка истинных и ложных предупреждений, комплексное реагирование на инциденты и своевременное выполнение всех этих задач требуют значительного количества сотрудников службы безопасности, сильного, хорошо отработанного плана действий и гибкой модели безопасности. Как мы поняли, это было трудно сделать на практике, а еще труднее для небольших или средних организаций и организаций с меньшим бюджетом. Несмотря на то, что за последние несколько лет время поиска угроз сократилось, злоумышленники обычно проводят дни, недели или месяцы во взломанной среде, прежде чем их обнаруживают. Такие правила, как общий регламент ЕС по защите данных (GDPR), предписывают сообщать о нарушениях данных в течение 72 часов, несмотря на то, что среднее время обнаружения составляет 56 дней.

Аналитик Forrester Джон Киндерваг в 2009 году предложил новый подход, названный «нулевым доверием». Он был основан на убеждении, что доверие само по себе представляет уязвимость, и безопасность должна быть заложена в бизнесе по модели «никогда не доверяй, всегда проверяй».

Если рассматривать текущую модель вычислений для конечных пользователей, то нет большой разницы с врачами середины 19-го века, которые переходили от вскрытий к родам без мытья рук и в процессе этого неосознанно распространяли бактерии среди пациентов. Мы получаем доступ к интернету, наполненному потенциально опасными элементами, а затем используем те же конечные точки доступа к конфиденциальным активам и информации. Этот незащищенный доступ – именно то, чем пользуются злоумышленники, когда они используют доверие конечного пользователя для проникновения, кражи учетных данных, конфиденциальных активов и шифрования данных, основываясь на уязвимости операционной системы, приложения или политики в качестве путей для передачи.

Хотя большинство специалистов по безопасности понимают, что нулевое доверие – это архитектура, не всем ясно, может ли нулевое доверие работать на них. Важно учитывать, что влечет за собой принятие нулевого доверия и какие проблемы существуют. Кроме того, поскольку маркетинговые механизмы сейчас начинают злоупотреблять этим термином, трудно понять, с чего начать. Простой ответ заключается в том, что концепция нулевого доверия охватывает несколько различных технологий, начиная от хорошо известных решений, таких как управление идентификацией и доступом (IAM), и заканчивая более новыми технологиями, такими как изоляция удаленного браузера. Ваше путь к нулевому доверию зависит от вашей поверхности риска – не существует одного конкретного пути, и ни один поставщик не должен говорить вам иначе.

Мы все трудимся изо всех сил, но иногда полезно сделать шаг назад и посмотреть, к чему мы стремимся. Иногда такой простой шаг, как «мытье рук», может спасти тысячи жизней.

Ссылка на источник