Mô hình không tin tưởng đạt được hơi nước với các chuyên gia bảo mật

"Không bao giờ tin tưởng; luôn luôn xác minh." Âm thanh như lẽ thường, phải không? Đó là phương châm đằng sau một chiến lược mang tên Zero Trust, đang đạt được sức hút trong thế giới an ninh mạng. Nó liên quan đến một bộ phận CNTT xác minh tất cả người dùng trước khi cấp đặc quyền truy cập. Quản lý hiệu quả quyền truy cập vào tài khoản là quan trọng hơn bao giờ hết với 58% doanh nghiệp vừa và nhỏ (SMBs) báo cáo vi phạm dữ liệu trong năm 2017, theo Báo cáo Điều tra Vi phạm Dữ liệu của Verizon năm 2018.

Khái niệm Zero Trust được thành lập bởi John Kindervag, một nhà phân tích trước đây của Forrester Research và hiện là CTO thực địa tại Palo Alto Networks. "Chúng tôi cần bắt đầu thực hiện một chiến lược thực sự, và đó là những gì Zero Trust cho phép", Kindervag nói với khán giả vào ngày 30 tháng 10 tại Hội nghị thượng đỉnh Zero Trust của SecurIT tại thành phố New York. Ông nói thêm rằng ý tưởng về Zero Trust bắt nguồn khi ông ngồi xuống và thực sự xem xét khái niệm về niềm tin, và làm thế nào mà các diễn viên độc hại thường được hưởng lợi từ các công ty tin tưởng các bên mà họ không nên.

Tiến sĩ Chase Cickyham đã trở thành người kế nhiệm của Kindervag với tư cách là Nhà phân tích chính tại Forrester trong việc bảo vệ phương pháp tiếp cận Zero Trust Access. "Zero Trust là những gì liên quan đến hai từ đó, nghĩa là không tin tưởng gì, không tin tưởng quản lý mật khẩu, không tin tưởng thông tin, không tin tưởng người dùng và không tin tưởng vào mạng", Cickyham nói với PCMag tại Zero Trust Hội nghị thượng đỉnh.

Kindervag đã sử dụng ví dụ của Cơ quan Mật vụ Hoa Kỳ để minh họa về cách một tổ chức nên theo dõi những gì họ cần bảo vệ và ai cần truy cập. "Họ liên tục theo dõi và cập nhật các điều khiển đó để họ có thể kiểm soát những gì vượt qua chu vi vi mô tại bất kỳ thời điểm nào", Kindervag nói. "Đây là một phương pháp bảo vệ điều hành của Zero Trust. Đây là ví dụ trực quan tốt nhất về những gì chúng tôi đang cố gắng thực hiện trong Zero Trust."

Bài học về niềm tin được học tại OPM

Một ví dụ hoàn hảo về cách Zero Trust có thể hoạt động để mang lại lợi ích cho các tổ chức đến từ CIO cũ của chính phủ liên bang Hoa Kỳ. Tại Hội nghị thượng đỉnh Zero Trust, Tiến sĩ Tony Scott, người đã giữ văn phòng CIO Hoa Kỳ từ năm 2015 đến 2017, đã mô tả một sự vi phạm dữ liệu lớn xảy ra tại Văn phòng Quản lý Nhân sự Hoa Kỳ (OPM) vào năm 2014. Vi phạm xảy ra do gián điệp nước ngoài trong đó thông tin cá nhân và thông tin lý lịch bảo mật đã bị đánh cắp cho 22, 1 triệu người cùng với dữ liệu vân tay của 5, 6 triệu cá nhân. Scott mô tả làm thế nào không chỉ cần sự kết hợp giữa bảo mật kỹ thuật số và bảo mật vật lý để tránh vi phạm này mà còn là một ứng dụng hiệu quả của chính sách Zero Trust.

Khi mọi người nộp đơn xin việc tại OPM, họ đã điền vào bảng câu hỏi 86 Mẫu Tiêu chuẩn (SF) đầy đủ và dữ liệu sẽ được bảo vệ tại một hang động bởi các vệ sĩ và xe tăng có vũ trang, ông nói. "Nếu bạn là một thực thể nước ngoài và bạn muốn đánh cắp thông tin đó, bạn sẽ phải vi phạm hang động này ở Pennsylvania và vượt qua các vệ sĩ có vũ trang. Sau đó, bạn sẽ phải rời đi bằng xe tải giấy hoặc có một máy Xerox rất nhanh hoặc một cái gì đó, "Scott nói.

"Nó sẽ là tuyệt vời để cố gắng trốn thoát với 21 triệu hồ sơ, " ông tiếp tục. "Nhưng dần dần, khi tự động hóa đi vào quy trình OPM, chúng tôi bắt đầu đưa thứ này vào các tệp máy tính trên phương tiện từ tính, v.v. Điều đó giúp việc đánh cắp dễ dàng hơn rất nhiều." Scott giải thích rằng OPM đã thất bại trong việc tìm ra loại bảo mật hiệu quả tương đương như các vệ sĩ có vũ trang khi cơ quan này chuyển sang kỹ thuật số. Sau vụ tấn công, Quốc hội đã công bố một báo cáo kêu gọi chiến lược Zero Trust để bảo vệ các loại vi phạm này trong tương lai.

"Để chống lại các mối đe dọa dai dẳng đang tìm cách thỏa hiệp hoặc khai thác các mạng CNTT của chính phủ liên bang, các cơ quan nên hướng tới mô hình" Không tin cậy "về kiến ​​trúc CNTT và kiến ​​trúc CNTT", báo cáo của quốc hội nêu rõ. Cựu Dân biểu Hoa Kỳ Jason Chaffetz (R-Utah), khi đó là Chủ tịch Ủy ban Giám sát, cũng đã viết một bài về Zero Trust vào thời điểm đó, ban đầu được xuất bản bởi Radio News Radio. "Văn phòng Quản lý và Ngân sách (OMB) nên xây dựng hướng dẫn cho các bộ phận điều hành và người đứng đầu cơ quan để triển khai hiệu quả Zero Trust cùng với các biện pháp trực quan hóa và ghi nhật ký tất cả lưu lượng truy cập mạng", Chaffetz viết.

Không tin tưởng vào thế giới thực

Trong một ví dụ thực tế về triển khai Zero Trust, Google đã triển khai nội bộ một sáng kiến ​​có tên BeyondCorp nhằm chuyển các điều khiển truy cập từ chu vi mạng sang các thiết bị và người dùng riêng lẻ. Quản trị viên có thể sử dụng BeyondCorp như một cách để tạo các chính sách kiểm soát truy cập chi tiết cho Google Cloud Platform và Google G Suite dựa trên địa chỉ IP, trạng thái bảo mật thiết bị và danh tính người dùng. Một công ty có tên Luminate cung cấp bảo mật Zero Trust như một dịch vụ dựa trên BeyondCorp. Luminate Secure Access Cloud xác thực người dùng, xác thực thiết bị và cung cấp công cụ cung cấp điểm rủi ro cho phép truy cập ứng dụng.

"Mục tiêu của chúng tôi là cung cấp quyền truy cập an toàn cho mọi người dùng, từ mọi thiết bị, đến bất kỳ tài nguyên công ty nào, bất kể nơi nào được lưu trữ, trên đám mây hoặc tại cơ sở mà không triển khai bất kỳ đại lý nào ở điểm cuối hoặc bất kỳ thiết bị nào như mạng riêng ảo (VPN), tường lửa, hoặc proxy trên trang web đích, "Michael Dubinsky, Trưởng phòng quản lý sản phẩm tại Luminate, nói với PCMag tại Hội nghị bảo vệ danh tính lai (HIP) 2018 (HIP2018) tại NYC.

Một chuyên ngành CNTT quan trọng trong đó Zero Trust đang đạt được sức hút nhanh chóng là quản lý danh tính. Điều đó có thể là do 80% các vi phạm là do sử dụng sai thông tin đăng nhập đặc quyền, theo báo cáo "Forrester Wave: Quản lý danh tính đặc quyền, quý 3 năm 2016". Các hệ thống kiểm soát truy cập được ủy quyền ở mức độ chi tiết hơn có thể giúp ngăn ngừa các sự cố này.

Không gian quản lý danh tính không phải là mới và có một danh sách dài các công ty cung cấp các giải pháp như vậy, có khả năng phổ biến nhất là nền tảng Microsoft và Active Directory (AD), được nhúng trong hệ điều hành Windows Server vẫn phổ biến ( HĐH). Tuy nhiên, có một loạt các trình phát mới hơn có thể cung cấp không chỉ nhiều chức năng hơn AD mà còn có thể giúp quản lý danh tính dễ thực hiện và bảo trì hơn. Các công ty như vậy bao gồm những người chơi như Centrify, Idaptive, Okta, và sailPoint Technologies.

Và trong khi những người đã đầu tư vào Windows Server có thể phải trả nhiều tiền hơn cho công nghệ mà họ cảm thấy họ đã đầu tư, một kiến ​​trúc quản lý danh tính được duy trì sâu hơn và tốt hơn có thể tạo ra cổ tức lớn trong các vi phạm và kiểm toán tuân thủ. Thêm vào đó, chi phí không quá cao, mặc dù nó có thể là đáng kể. Ví dụ: Dịch vụ cơ sở hạ tầng ly tâm bắt đầu ở mức $ 22 mỗi tháng cho mỗi hệ thống.

Cách thức hoạt động của Zero Trust

"Một trong những điều mà Zero Trust làm là xác định phân khúc mạng", Kindervag nói. Phân khúc là một khái niệm quan trọng cả trong quản lý mạng và an ninh mạng. Nó liên quan đến việc chia một mạng máy tính thành các mạng con, theo logic hoặc vật lý, để cải thiện hiệu suất và bảo mật.

Kiến trúc Zero Trust vượt ra ngoài mô hình vành đai, bao gồm vị trí thực của mạng. Nó liên quan đến việc "đẩy chu vi xuống thực thể", Cickyham nói.

"Thực thể có thể là một máy chủ, người dùng, thiết bị hoặc điểm truy cập", ông nói. "Bạn đẩy các điều khiển xuống mức vi mô thay vì nghĩ rằng bạn đã xây dựng một bức tường thực sự cao và bạn an toàn." Castyham đã mô tả một tường lửa như là một phần của chu vi điển hình. "Đó là một vấn đề về cách tiếp cận và chiến lược và chu vi, " ông lưu ý. "Những bức tường cao và một điều lớn: chúng không hoạt động."

Để có được quyền truy cập vào mạng, một khía cạnh cũ của bảo mật đã sử dụng các bộ định tuyến, theo ông Daniel Kibel, CEO mới của Idaptive, một công ty quản lý danh tính đang tách ra khỏi Centrify. Trước Zero Trust, các công ty sẽ xác minh và sau đó tin tưởng. Nhưng với Zero Trust, bạn "luôn xác minh, không bao giờ tin tưởng", Kibel giải thích.

Idaptive cung cấp nền tảng Truy cập thế hệ tiếp theo bao gồm Đăng nhập một lần (SSO), xác thực đa yếu tố thích ứng (MFA) và quản lý thiết bị di động (MDM). Các dịch vụ như Idaptive cung cấp một cách để tạo các điều khiển chi tiết nhất thiết khi truy cập. Bạn có thể cung cấp hoặc hủy cung cấp dựa trên những người cần truy cập vào các ứng dụng khác nhau. "Nó mang lại khả năng chi tiết tốt cho tổ chức để kiểm soát quyền truy cập của nó, " Kibel nói. "Và đó là điều cực kỳ quan trọng đối với các tổ chức mà chúng tôi đang thấy bởi vì có rất nhiều vấn đề về truy cập trái phép."

Kibel đã xác định cách tiếp cận của Idaptive đối với Zero Trust theo ba bước: xác minh người dùng, xác minh thiết bị của họ và chỉ sau đó cho phép truy cập vào các ứng dụng và dịch vụ cho chính người dùng đó. "Chúng tôi có nhiều vectơ để đánh giá hành vi của người dùng: vị trí, vận tốc địa lý, thời gian trong ngày, thời gian trong tuần, loại ứng dụng bạn đang sử dụng và thậm chí trong một số trường hợp bạn đang sử dụng ứng dụng đó như thế nào", Kibel nói . Idaptive giám sát các lần đăng nhập thành công và thất bại để xem khi nào cần kiểm tra lại xác thực hoặc chặn hoàn toàn người dùng.

Vào ngày 30 tháng 10, Centrify đã giới thiệu một cách tiếp cận an ninh mạng có tên là Zero Trust Đặc quyền trong đó các công ty cấp quyền truy cập ít đặc quyền nhất cần thiết và xác minh ai đang yêu cầu quyền truy cập. Bốn bước của quy trình Đặc quyền Không tin cậy bao gồm xác minh người dùng, xem xét ngữ cảnh của yêu cầu, bảo vệ môi trường quản trị viên và cấp ít nhất đặc quyền cần thiết. Phương pháp tiếp cận đặc quyền Zero Trust của Centrify liên quan đến cách tiếp cận theo từng giai đoạn để giảm thiểu rủi ro. Nó cũng mang đến sự chuyển đổi từ Quản lý truy cập đặc quyền kế thừa (PAM), đây là phần mềm cho phép các công ty hạn chế quyền truy cập vào các loại môi trường mới hơn như nền tảng lưu trữ đám mây, dự án dữ liệu lớn và thậm chí các dự án phát triển ứng dụng tùy chỉnh nâng cao chạy trong web cấp doanh nghiệp cơ sở lưu trữ.

Một mô hình Zero Trust giả định rằng các tin tặc đã truy cập vào một mạng, Tim Steinkopf, Chủ tịch của Centrify cho biết. Một chiến lược để chống lại mối đe dọa này sẽ là hạn chế chuyển động bên và áp dụng MFA ở mọi nơi, theo Steinkopf. "Bất cứ khi nào ai đó đang cố gắng truy cập vào một môi trường đặc quyền, bạn cần ngay lập tức có thông tin xác thực và quyền truy cập phù hợp", Steinkopf nói với PCMag. "Cách để thực thi đó là củng cố danh tính, và sau đó bạn cần bối cảnh của yêu cầu, nghĩa là ai, cái gì, khi nào, tại sao và ở đâu." Sau đó, bạn chỉ cấp số lượng truy cập cần thiết, Steinkopf nói.

Dubinsky nói: "Bạn đang lấy bối cảnh của người dùng, trong trường hợp đó có thể là bác sĩ, đó có thể là y tá hoặc có thể là một người khác đang cố truy cập dữ liệu". "Bạn lấy bối cảnh của thiết bị mà chúng đang hoạt động, bạn lấy bối cảnh của tệp mà chúng đang cố truy cập và sau đó bạn cần đưa ra quyết định truy cập dựa trên đó."

MFA, Zero Trust và Thực tiễn tốt nhất

Một khía cạnh quan trọng của mô hình Zero Trust là xác thực mạnh mẽ và cho phép nhiều yếu tố xác thực là một phần trong đó, Hed Kovetz, CEO và đồng sáng lập của Silverfort, cung cấp các giải pháp MFA. Với sự thiếu chu vi trong kỷ nguyên của đám mây, nhu cầu xác thực sẽ lớn hơn bao giờ hết. "Khả năng thực hiện MFA của bất cứ điều gì gần như là một yêu cầu cơ bản của Zero Trust và ngày nay không thể thực hiện được vì Zero Trust xuất phát từ ý tưởng không còn vành đai nữa", Kovetz nói với PCMag tại HIP2018. "Vì vậy, bất cứ điều gì đang kết nối với bất cứ điều gì, và trong thực tế này, bạn không có một cổng để bạn có thể áp dụng kiểm soát."

Forrester's Cickyham đã phác thảo một chiến lược được gọi là Zero Trust eXtends (XTX) để ánh xạ các quyết định mua công nghệ vào chiến lược Zero Trust. "Chúng tôi thực sự đã xem xét bảy phần kiểm soát mà bạn cần để thực sự quản lý một môi trường một cách an toàn, " Cickyham nói. Bảy trụ cột là Tự động hóa và Điều phối, Hiển thị và Phân tích, Khối lượng công việc, Con người, Dữ liệu, Mạng và Thiết bị. Để trở thành một nền tảng ZTX, một hệ thống hoặc công nghệ sẽ có ba trong số các trụ cột này cùng với khả năng giao diện lập trình ứng dụng (API). Một số nhà cung cấp cung cấp các giải pháp bảo mật phù hợp với các trụ cột khác nhau của khung. Centrify cung cấp các sản phẩm giải quyết vấn đề bảo mật cho con người và thiết bị, Palo Alto Networks và Cisco cung cấp các giải pháp mạng và các giải pháp Security Guardium của IBM tập trung vào bảo vệ dữ liệu, Cickyham lưu ý.

Mô hình Zero Trust cũng nên liên quan đến các đường hầm được mã hóa, đám mây lưu lượng và mã hóa dựa trên chứng chỉ, Steinkopf nói. Nếu bạn đang gửi dữ liệu từ iPad qua internet, thì bạn muốn xác minh rằng người nhận có quyền truy cập hay không, anh giải thích. Thực hiện các xu hướng công nghệ mới nổi như container và DevOps có thể giúp chống lại sự lạm dụng đặc quyền, theo Steinkopf. Ông cũng mô tả điện toán đám mây luôn đi đầu trong chiến lược Zero Trust.

Dubinsky của Luminate đồng ý. Đối với SMB, chuyển sang một công ty đám mây cung cấp quản lý nhận dạng hoặc MFA như một dịch vụ giảm tải các trách nhiệm bảo mật này cho các công ty chuyên về lĩnh vực đó. Dubinsky nói: "Bạn muốn giảm tải nhiều nhất có thể cho các công ty và những người chịu trách nhiệm cho công việc hàng ngày của họ".

Tiềm năng của Khung tin cậy Zero

Mặc dù các chuyên gia thừa nhận rằng các công ty đang chuyển sang mô hình Zero Trust, đặc biệt là quản lý danh tính, một số người không thấy cần phải thay đổi lớn trong cơ sở hạ tầng bảo mật để áp dụng Zero Trust. "Tôi không chắc chắn đó là một chiến lược mà tôi muốn áp dụng ở mọi cấp độ hiện nay", Sean Pike, Phó chủ tịch chương trình của Tập đoàn sản phẩm bảo mật IDC cho biết. "Tôi không tích cực rằng tính toán ROI tồn tại trong một khung thời gian có ý nghĩa. Có một số thay đổi về kiến ​​trúc và các vấn đề nhân sự mà tôi nghĩ làm cho chi phí bị cấm như một chiến lược."

Tuy nhiên, Pike nhận thấy tiềm năng của Zero Trust trong viễn thông và IDM. "Tôi nghĩ rằng có những thành phần có thể dễ dàng được chấp nhận ngày hôm nay mà không yêu cầu thay đổi kiến ​​trúc bán buôn, ví dụ, " Pike nói. "Trong khi chúng có liên quan, cảm giác mạnh mẽ của tôi là việc áp dụng không nhất thiết là một bước đi chiến lược đối với Zero Trust mà là một động thái nhằm giải quyết các cách thức mới mà người dùng kết nối và cần phải tránh xa các hệ thống dựa trên mật khẩu và cải thiện quản lý truy cập", Pike giải thích.

Mặc dù Zero Trust có thể được hiểu là một chút khái niệm tiếp thị lặp lại một số nguyên tắc tiêu chuẩn của an ninh mạng, chẳng hạn như không tin tưởng người tham gia vào mạng của bạn và cần xác minh người dùng, nhưng nó phục vụ mục đích như một kế hoạch trò chơi, theo các chuyên gia . "Tôi là một người ủng hộ lớn cho Zero Trust, khi tiến tới loại thần chú chiến lược, đơn lẻ đó và chiến thắng trong tổ chức, " Cuckyham của Forrester nói.

Ý tưởng Zero Trust được Forrester giới thiệu năm 2010 không phải là mới đối với ngành an ninh mạng, John Pescatore, Giám đốc Xu hướng bảo mật mới nổi tại Viện Sans, một tổ chức cung cấp đào tạo và chứng nhận bảo mật. "Đó là khá nhiều định nghĩa tiêu chuẩn về an ninh mạng, hãy cố gắng làm cho mọi thứ an toàn, phân đoạn mạng của bạn và quản lý các đặc quyền của người dùng", ông nói.

Pescatore lưu ý rằng vào khoảng năm 2004, một tổ chức bảo mật không còn tồn tại được gọi là Diễn đàn Jericho đã đưa ra những ý tưởng tương tự như Forrester về "bảo mật không có chu vi" và chỉ khuyến nghị cho phép kết nối đáng tin cậy. "Đây là kiểu như nói, 'Di chuyển đến một nơi không có tội phạm và thời tiết hoàn hảo, và bạn không cần một mái nhà hoặc cửa ra vào nhà của bạn, " "ông Pescatore nói. "Zero Trust ít nhất mang lại ý nghĩa chung về phân khúc bạn luôn luôn phân khúc từ internet với chu vi."

• Vượt ra ngoài vành đai: Cách giải quyết vấn đề bảo mật lớp ngoài phạm vi: Cách giải quyết vấn đề bảo mật lớp
• Liên doanh NYC tìm cách thúc đẩy việc làm, đổi mới trong an ninh mạng Liên doanh NYC tìm cách thúc đẩy việc làm, đổi mới trong an ninh mạng
• Cách chuẩn bị cho Vi phạm bảo mật tiếp theo của bạn Cách chuẩn bị cho Vi phạm bảo mật tiếp theo của bạn

Thay thế cho mô hình Zero Trust, Pescatore đã khuyến nghị tuân theo Kiểm soát an ninh quan trọng của Trung tâm bảo mật Internet. Cuối cùng, Zero Trust chắc chắn có thể mang lại lợi ích bất chấp sự cường điệu. Nhưng, như Pescatore đã lưu ý, cho dù được gọi là Zero Trust hay thứ gì khác, loại chiến lược này vẫn yêu cầu các biện pháp kiểm soát cơ bản.

"Điều đó không thay đổi thực tế rằng để bảo vệ doanh nghiệp, bạn phải phát triển các quy trình và kiểm soát vệ sinh an ninh cơ bản cũng như có đội ngũ nhân viên lành nghề để giữ cho chúng hoạt động hiệu quả và hiệu quả", ông Pescatore nói. Đó không chỉ là một khoản đầu tư tài chính cho hầu hết các tổ chức và đó là một công ty sẽ cần tập trung vào để thành công.