Мережі з "нульовою довірою" та наслідки для відеоспостереження

Мережі стають все більш уразливими. Поєднання більш витончених та численних кібератак, а також експоненціального зростання числа пристроїв Інтернету речей, кожен з яких створює іншу кінцеву точку мережі, відкриту для атаки — означає, що організації ведуть нескінченну боротьбу за забезпечення безпеки мереж.

Перш організації покладалися на те, щоб корпоративний брандмауер був надійним. Хоча такий підхід направлений на забезпечення безпеки доступу до мережі, якщо кому-небудь вдасться зламати брандмауер, він зможе вільно переміщатися мережею. Опинившись всередині мережі, втрата даних, яка може завдати непоправної шкоди, являє собою реальний ризик, в той час як зловмисники можуть залишатися активними впродовж декількох тижнів або місяців, перш ніж їх виявлять. Крім того, концепція ізоляції мережі в брандмауері застаріла. Знову ж, вагома кількість пристроїв та систем безпеки, підключених до мережі, означає, що захист периметра мережі за допомогою одного рішення неможливий. Крім того, використання хмарних сервісів за межами мережі та переваги створення більш «проникного» периметра мережі, де системи замовників та постачальників легко з'єднуються для забезпечення продуктивності ланцюжка постачань, змінили характер безпеки.

Нічому та нікому не довіряти в мережі

В результаті з'явилася концепція «нульової довіри», а разом з цим і архітектури з нульовою довірою. Як випливає з назви, положення за замовчуванням в мережі з нульовою довірою полягає в тому, що жодному об'єкту, що знаходиться всередині мережі (будь то людина або машина), — не можна довіряти, де б вони не знаходилися, і як би не підключалися.

Швидше, філософія мереж з нульовою довірою — «ніколи не довіряй, завжди перевіряй». Це вимагає, щоб ідентичність кожного об'єкта, що здійснює доступ або знаходиться в мережі, перевірялася масою способів, залежно від поведінки та чутливості конкретних даних в мережі, до якої здійснюється доступ. По суті, суб'єктам надається мінімальний обсяг доступу, необхідний для виконання завдання.

При нульовій довірі використовуються такі методи, як мікросегментація мережі — застосування всіляких рівнів безпеки до конкретних частин мережі, де знаходяться більш важливі дані. Також сюди входить детальний захист периметра мережі на основі користувачів та пристроїв, фізичного місця розташування та інших ідентифікуючих даних, щоб визначити рівень довіри для доступу до мережі.

Надання окремим особам доступу тільки до частин мережі, та дані, необхідні для виконання їх ролі, приносять очевидні переваги в плані безпеки. Але аномалії в поведінці, пов'язані з цими ідентичностями, забезпечують додатковий рівень захисту. Так, мережевий адміністратор може мати великий доступ до мережі для обслуговування, наприклад, фінансових серверів. Але ті ж облікові дані, які використовуються для завантаження конкретних файлів або даних посеред ночі та відправлення їх за межі мережі, будуть червоним сигналом безпеки. Це може вказувати на те, що облікові дані були вкрадені недобросовісним співробітником або кимось, хто хоче отримати прибуток від корпоративного шпигунства.

У мережі з нульовою довірою можуть використовуватися або додаткові аутентифікації, або, як мінімум, аномальна активність може бути позначена в режимі поточного часу та доведена до відома операційного центру безпеки для розслідування.

Визначення та застосування правил

В основі мереж з нульовою довірою лежать двигуни політики: програмне забезпечення, яке в цілому дозволяє організації створювати, відстежувати та забезпечувати дотримання правил доступу до мережевих ресурсів й даних організації. Механізм політики буде використовувати комбінацію мережевого аналізу та запрограмованих правил для надання дозволу на основі ролей, з урахуванням ряду факторів. Простіше кажучи, механізм політики порівнює кожен запит на доступ до мережі та його контекст з політикою й повідомляє виконавцю, чи буде запит дозволений чи ні.

У мережі з нульовою довірою механізм політики визначає та забезпечує дотримання правил безпеки даних й доступу до моделей хостингу, місцерозташуванням, користувачам або пристроям, вимагаючи від організацій ретельного визначення правил та політик в рамках ключових елементів управління безпекою — таких, як міжмережеві екрани наступного покоління (NGFW), шлюзи електронної пошти та безпеки хмари, а також програмне забезпечення для запобігання втрати даних (DLP). Разом ці елементи управління об'єднуються для забезпечення мікросегментації мережі, що виходить за межі моделей та місць розташування хостингу. Хоча сьогодні може виникнути необхідність в налаштуванні політик в консолі управління кожного рішення, все більш інтегровані консолі здатні автоматично визначати й оновлювати політики для всіх продуктів. Управління ідентифікацією та доступом (IAM), багатофакторна аутентифікація, push-повідомлення, права доступу до файлів, шифрування — все це грає роль в розробці архітектури мереж з нульовою довірою.

Наслідки мереж з нульовою довірою для відеоспостереження

До об'єктів, що підключаються до мережі, відносяться люди, але сьогодні більшою мірою численні мережеві підключення відбуваються з пристроїв — це включає IP камери відеоспостереження та охоронні датчики, підключені до мережі. Оскільки організації переходять до архітектури мереж з нульовою довірою, важливо, щоб ці мережеві пристрої дотримувалися принципів, необхідних для перевірки. Було б іронічно, якби пристрій, призначений для забезпечення фізичної безпеки організації (наприклад, камера відеоспостереження), призвів до уразливості кібербезпеки.

Знову ж таки, традиційних форм захисту пристроїв більше не достатньо. Так само, як зловмисники можуть вкрасти облікові дані контролю доступу співробітника, вони можуть скомпрометувати сертифікат безпеки пристроїв. У мережі з нульовою довірою потрібні нові підходи для пристроїв, щоб довести свою надійність мережі.

Перевірка справжності апаратних пристроїв

Одна технологія, яка може забезпечити незмінний корінь довіри для мережевого апаратного пристрою — це використання технології блокчейна. У той час як для деяких блокчейн тісно пов'язаний з криптовалютою (і через це може постраждати його репутація), сам по собі блокчейн являє собою відкриту розподілену книгу, яка здатна продуктивно записувати транзакції між двома сторонами, перевіреним та постійним чином. Існують як публічні, так і приватні реалізації блокчейнів, та підприємства можуть застосовувати приватні блокчейни для використання апаратних коренів довіри та, таким чином, встановлювати незмінні ключі доступу та довіри всередині пристроїв.

Через конструкції блокчейна жодна транзакція даних в ланцюжку не може бути змінена без згоди вузлів консенсусу попередніх транзакцій, які криптографічно пов'язані. Отже, якщо ключі довіри для ідентифікованих частин апаратного пристрою вбудовані в ланцюжок блоків, це створює незмінні облікові дані для самого пристрою.

Сьогодні може здатися, що підхід з нульовою довірою є сумним свідченням того часу, коли забезпечені ресурсами кіберзлочинці постійно намагаються використовувати вразливості мереж. Насправді це логічний підхід до побудови безпечних мереж, оскільки число підключених до них об'єктів збільшується з кожним днем, зокрема комплектів відеоспостереження та всіляких аксесуарів для охоронних систем. З цієї причини деякі організації починають застосовувати підхід з нульовою довірою до мережевих архітектур.