V ostatných rokoch zaznamenávame v IT prostredí zásadnú zmenu. Používatelia a ich zariadenia sa k pracovným dátam pripájajú na diaľku a to nielen z domu, ale z rôznych miest vo svete. Organizácia pritom nemusí mať táketo pripojenie úplne pod kontrolou.
Ako zriadiť zabezpečený prístup a mať dáta organizácie pod kontrolou? Integráciu riešenia, ktoré ochráni dáta a umožní bezpečné pripojenie, zabezpečujú aj odborníci z AUTOCONT.
Tradičný bezpečnostný perimeter reprezentovaný zariadeniami NGFW a IPS sa takto stráca. Aktuálne bezpečnostné riešenia po novom pracujú s identitou nielen používateľa, ale aj zariadenia a to úplne nezávisle od typu dátového pripojenia a miesta pripojenia. Kľúčovou témou je preto otázka dôvery, čo je základným kameňom akéhokoľvek bezpečnostného riešenia, produktu, či architektúry.
Typické výzvy dneška
Rôznorodé používanie prostriedkov informačných technológií nám predkladá množstvo otázok, na ktoré nie je jednoduché nájsť odpovede.
Ako vieme, či používatelia, ktorí pracujú s firemnými dátami, sú naozaj oprávnené osoby?
Sú ich zariadenia zabezpečené, v súlade s pravidlami bezpečnostnej politiky a vieme kam sa pripájajú?
Máme dostatok informácií pre odhaľovanie neautorizovaného prístupu k aplikáciám a dátam bez ohľadu či ide o dáta uložené „doma“ alebo cloude?
Organizácie tak stoja pred výzvami ako efektívne identifikovať zraniteľnosti a medzery vo viditeľnosti, aby zabránili neautorizovanému prístupu k svojim citlivým informáciám. Prakticky neprejde ani týždeň, aby sme sa nedozvedeli, že došlo k úspešnému útoku na organizácie. Na počiatku týchto útokov je typicky zneužitie dôvery obete.
Nikoho dnes neprekvapí, že overenie menom a heslom je len slabou prekážkou na prekonanie tradičného bezpečnostného perimetra. Na akúkoľvek prácu s informáciami a dátami v elektronickom svete používame výhradne aplikácie – avšak pre množstvo zraniteľností webových aplikácií je verejne dostupný kód, ktorý umožní útočníkovi zraniteľnosť zneužiť a poskytne mu tak neautorizovaný prístup do IT infraštruktúry organizácie.
Nárast pripojených IoT zariadení, ktoré sami o sebe majú len málo možností ochrany, a ktoré častokrát na zraniteľnosti ani nemajú k dispozícii záplaty, spôsobil, že tieto zariadenia sú veľmi atraktívny cieľ pre útočníkov. Tu by som chcel spomenúť hrozbu známu ako VPNfilter, o ktorej už v roku 2018 informoval bezpečnostný tím Cisco TALOS a kde mali útočníci možnosť na diaľku zariadenie vyradiť z prevádzky, alebo exfiltrovať citlivé údaje z dátovej komunikácie.
Problém de-perimetrizácie v oblasti IT bezpečnosti nie je ničím novým. Prvý míting na túto tému sa konal už v roku 2004 práve pod záštitou Cisco a pôvodní členovia boli známi ako Jericho forum. Výsledky ich práce v podobe Zero trust menia náš pohľad na spôsob implementácie bezpečnosti a to sa dá prirovnať k starému známemu „neuverím, kým sa nepresvedčím”.
Základné piliere architektúry Zero Trust
Úplne na začiatku musíme potvrdiť dôveryhodnosť – používateľa pomocou viacfaktorovej autentifikácie, zariadeniu prostredníctvom ich klasifikácie alebo podrobnej bezpečnostnej previerky, veď typicky firemné zariadenia majú vyššiu mieru dôvery ako osobné zariadenia.
Akékoľvek ďalšie relevantné atribúty, medzi ktoré patria bezpečnostné certifikáty aj lokalita, môžu úroveň dôveryhodnosti zvýšiť alebo znížiť. A to isté platí o samotných aplikáciách a ich dátových tokoch – dátové toky by mali byť šifrované, podpísané bezpečnými algoritmami, aj prístup k jednotlivým aplikáciám chránený pomocou viacfaktorovej autentifikácie.
Na základe úrovni dôveryhodnosti potom vynútime bezpečnostnú politiku podľa princípu “least-privilege” – inými slovami povolím používateľovi len taký prístup, ktorý je nevyhnutný na splnenie jeho pracovných úloh. Túto politiku jednotne vynucujeme skrz celú IT infraštruktúru bez rozdielu či sa jedná o LAN, WAN, WiFi, dátové centrum alebo cloud.
Úroveň dôveryhodnosti treba neustále verifikovať. Sú pôvodne určujúce faktory stále pravdivé a teda môžem ti stále rovnako dôverovať? Nedošlo počas používania zariadenia k jeho kompromitácii? Ak dôjde k takejto situácii, typicky to znamená neúmerné zvýšenie miery rizika a v takomto prípade treba automatizovane prehodnotiť alebo odňať prístupové práva.
Stavebné kamene Cisco riešenia pre architektúru Zero Trust
Zero trust architektúra je v Cisco produktovom portfóliu zastúpená vo viacerých oblastiach:
- pre oprávnených používateľov ponúka viacfaktorové overenie identity pomocou Cisco DUO vrátane viditeľnosti do zariadení, ktoré používajú
- pre zohľadnenie autorizovaného prístupu k aplikáciám, ich bezpečnostné monitorovanie a mikrosegmentáciu vrátane viditeľnosti do aplikačných dátových tokov ponúka Cisco Secure Workload,
- pre uplatnenie autorizačných pravidiel podľa úrovne dôvery pre všetky pripojené zariadenia naprieč celou sieťovou infraštruktúrou ponúka Cisco Software Defined Access.
Všetky tieto tri piliere fungujú v tandeme aby sa eliminoval neautorizovaný prístup a vyplnili medzery vo viditeľnosti. Akýkoľvek chýbajúci pilier znamená, že pravidlá bezpečnosti sa opierajú výhradne o lokalitu a tým pádom jediný faktor dôvery je stará známa IP adresa.
V takejto situácii je ťažko rozpoznať, či za danou IP adresou sa nachádza bežný zamestnanec nemocnice, doktor, IT administrátor, ktorý na prácu používa počítač s operačným systémom Windows alebo vlastné mobilné zariadenie, k intranetu sa pripája pomocou bezdrôtovej alebo káblovej siete Ethernet a či spĺňa iné atribúty ako úspešné bezpečnostné preverenie zariadenia bez známok infiltrácie škodlivými vírusmi alebo nainštalovanými nepovolenými aplikáciami.
V príklade nemocnice sa bude pokračovať ďalej, keďže množstvo zariadení, ktoré odborný personál nemocnice denno-denne používa na diagnostiku a liečbu pacientov, nemá možnosť inštalácie akéhokoľvek agenta. Identifikácia špecializovaných zariadení potom pochádza z inteligentných aktívnych sieťových prvkov Cisco Catalyst rady 9000, ktoré rozpoznajú, že špecializované zariadenie napr. používa DICOM protokol, v medicíne používaný na spracovanie lekárskych snímok. Viditeľnosť na takejto úrovni znamená prvý krok k implementácii súladu s pravidlami bezpečnostnej politiky, keďže prístup k takýmto zariadeniam majú len oprávnené osoby.
Tri benefity Zero Trust
Implementáciou Zero Trust riešenia od spoločnosti Cisco nielen minimalizujete riziká vyplývajúceho z neautorizovaného prístupu k aplikáciám a dátam, ale aj chránite svoju IT infraštruktúru proti plošnému šíreniu hrozieb ako napr. ransomvér. Na záver by som zhrnul tri najdôležitejšie benefity pre Vás:
- Potvrdenie dôvery používateľom a zariadeniam nie je možné bez značnej miery viditeľnosti. Použitím Cisco DUO pre používateľov ako aj rozpoznávanie zariadení a aplikácií inteligentnými prepínačmi Cisco Catalyst 9000 získate prvú veľkú výhodu, ktorou je viditeľnosť do IT infraštruktúry.
- Potvrdenú úroveň dôvery môžete našim portfóliom jednotne komunikovať medzi rôzne časti IT infraštruktúry. Získate takto druhú veľkú výhodu, ktorou je minimalizácia rizika vyplývajúceho z neautorizovaného prístupu k firemným aplikáciám a dátam.
- Integráciou na rôzne bezpečnostné prvky zabezpečíte neustálu verifikáciu úrovne dôvery. Získate tak tretiu veľkú výhodu, ktorou je automatizovaná obrana proti plošnému šíreniu hrozieb naprieč IT infraštruktúrou.
Kontaktujte AUTOCONT špecialistu
V prípade záujmu o demonštráciu Cisco Zero Trust riešenia neváhajte kontaktovať AUTOCONT špecialistu: Igor Ftáček, email: igor.ftacek@autocont.sk
Autori článku:
Ing. Igor Ftáček, Presales Specialist NET+SEC, AUTOCONT s.r.o.
Ing. Peter Mesjar, CCIE, CISSP, Security Technical Solutions Architect, Cisco Systems Slovakia s.r.o.