Rozwój technologii to nowe możliwości dla rozwoju biznesu. Można nie tyle np. lepiej przetwarzać dane, mieć do nich szybszy, niezależny od miejsca dostęp, co przede wszystkim skuteczniej nimi operować dla wyznaczonego celu. Zwiększenia sprzedaży, posiadania pełnego obrazu procesów w firmie, zapewnienia łatwiejszego dostępu do systemów każdemu i o każdej porze. Kolejne pojawiające się „duże” technologie to szybkie kroki do nowych modeli prowadzenia biznesu. Przetwarzanie danych i aplikacje w chmurze, chmurach, środowiskach hybrydowych; operowanie na brzegu sieci, konteneryzacja, internet rzeczy i wiele innych rewolucyjnych rozwiązań dostarczają organizacjom nowych możliwości realizacji strategii rozwoju. Ale wraz z nowymi szansami, pojawiają się nowe zagrożenia. Nawet nie tyle nowe, co na niespotykaną wcześniej skalę. Do marca 2020 być może wielu organizacjom wydawało się, że są bezpieczne w swoich cyfrowych twierdzach, za firewallami, monitorowaną siecią firmową. Covid-19 zweryfikował nieco pojęcie bezpiecznej organizacji i bezpiecznego dostępu do danych. W działce cyberbezpieczeństwa wirus stał się swoistym kamieniem milowym. Praca zdalna, rozproszenie geograficzne pracowników, rozproszenie systemów, niezabezpieczone należycie środowiska domowe, potrzeba przeniesienia doświadczeń dostępu do danych 1:1 z pracy do domu, wszechobecna chmura – powierzchnia potencjalnych ataków diametralnie wzrosła. Akcja rodzi reakcję, wyzwanie wymaga rozwiązania, te zaś piętrzą się, rozrastają, rozbudowują, by zapewnić ochronę na całej szerokości możliwego styku z zagrożeniem. W ciągłej walce z cyberprzestępcami eksperci sięgają po kolejne narzędzia i kolejne technologie security.

Nowa sytuacja wymusiła nowe podejście do bezpieczeństwa w organizacjach. Ale jakie rozwiązanie zastosować? Jak zmodyfikować polityki bezpieczeństwa w ramach organizacji i przenieść je na elementy zewnętrzne, na nieznane dotychczas wody? Recepta leżała na stole. To, co wcześniej raczej miało wydźwięk hasła marketingowego, w pandemii dostało nowe życie i dziś jest whitepaperem dla firm jak wynieść bezpieczeństwo na wyższy poziom.

Zobacz również:

• Zasada „zero zaufania” sprzyja biznesowi
• IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo

Budowa muru – marna sztuka

„Klasyczne, lecz już przestarzałe strategie cyberbezpieczeństwa zakładają budowę muru wokół organizacji. Zapory sieciowe i inne narzędzia służą do sprawdzania i weryfikacji użytkowników. Jednak w miarę wzrostu rozproszenia aplikacji, użytkowników i urządzeń, mur obronny przestaje gwarantować bezpieczeństwo. To zwiększa ryzyko dostępu do sieci osób niepowołanych. Z raportu Ponemon Institute wynika, że najczęstszym narzędziem wykorzystywanym przez cyberprzestępców w celu zdobycia dostępu do środowiska ofiary były przejęte dane uwierzytelniające, a największe straty powodowały ataki z wykorzystaniem złośliwych wiadomości e-mail. Jak widać stare powiedzenie - hakerzy się nie włamują, oni się logują - nadal pozostaje aktualne” – wyjaśnia Wolfgang Wendt, Dyrektor Generalny IBM na Europę Środkowo-Wschodnią.

A co, gdyby tak przestać ufać?

Koncepcja, czy jak wolą inni idea lub filozofia Zero Trust nie jest tak naprawdę odkryciem najnowszym, bo sformułowanym pod koniec lat 90-tych XX wieku. Ale to ostatnie lata są czasem wzmożonego zainteresowania idea ograniczonego zaufania i próbą tworzenia rozwiązań cybersecurity w oparciu o zasady Zero Trust. „W ciągu ostatnich lat zaobserwowaliśmy zmianę w biznesowych środowiskach IT, gdzie użytkownicy, urządzenia i chmura wychodzą poza tradycyjną sieć. Pandemia COVID-19 tylko przyspieszyła ten proces. Masowe przejście w tryb pracy zdalnej sprawiło, że model Zero Trust zyskał na znaczeniu. Jego podstawę stanowi założenie, że nie ufamy zarówno użytkownikom (których coraz rzadziej możemy zastać fizycznie w biurze), urządzeniom, jak i aplikacjom. Każdy dostęp musi być potwierdzony, co w przypadku użytkowników umożliwia uwierzytelnianie wieloskładnikowe. Działy IT powinny mieć również dostęp do narzędzi umożliwiających sprawdzenie czy dane urządzenie jest bezpieczne, tzn. posiada wszystkie aktualizacje, nie ma żadnych podatności itd. Zero Trust to również pewna postawa, zakładająca, że zagrożenie cyberatakiem jest realne, a nie stanowi jedynie „teoretyczny” scenariusz” – mówi Przemysław Kania, Dyrektor Generalny Cisco Polska.

„Zero Trust nie jest konkretną technologią tylko pomysłem, inicjatywą, czy też filozofią budowania oraz implementacji architektury bezpieczeństwa, której główna koncepcja sprowadza się do zdania: „nigdy nie ufaj, zawsze weryfikuj”. Oznacza to, że urządzenia i użytkownicy nie powinni uzyskiwać domyślnego zaufania w oparciu o miejsce, z którego chcą uzyskać dostęp do firmowych zasobów” – dodaje Maciej Iwanicki, Business Development Manager w Fortinet.

Wolfgang Wendt: „Powiedzenie mówi, że „jesteś tak silny, jak twoje najsłabsze ogniwo”. W dzisiejszym świecie cyfrowym każda firma musi zarządzać wieloma ogniwami. To pracownicy, urządzenia, aplikacje czy też podmioty zewnętrzne. Zasada „zero zaufania” uczy nas, że zamiast próbować znaleźć najsłabsze ogniwo, powinniśmy założyć, że wszystkie z nich są słabe i konieczna jest koncentracja na bezpieczeństwie danych”.

„Nie ufajmy nikomu, nie ufajmy niczemu, zakładajmy, że może się coś złego wydarzyć” – wylicza Jakub Jagielak, Lider technologiczny Security w Atende. „Bazując na tych trzech elementach, możemy przygotować tak polityki bezpieczeństwa, by były skuteczne w organizacji i na zewnątrz. Jeśli pracownik przyjdzie nawet z własnym urządzeniem do pracy, podłączy się do sieci, to systemy zweryfikują, czy ten komputer jest dobrze wyposażony w narzędzia cyberbezpieczeństwa, czy są na nim aktualizacje, czy sterowniki i programy wgrane na urządzenie nie mają podatności. Dopiero takie urządzenie będzie mogło zostać wpuszczone do sieci. To od strony technologii, bo też użytkownik będzie się musiał uwierzytelnić” – opowiadał w podcaście Computerworld Tech Trends, w odcinku poświęconym Zero Trust.

„Zero Trust nie jest konkretną technologią tylko pomysłem, inicjatywą, czy też filozofią budowania oraz implementacji architektury bezpieczeństwa, której główna koncepcja sprowadza się do zdania: „nigdy nie ufaj, zawsze weryfikuj”.

Tak, ale

Jak każda inicjatywa bezpieczeństwa, idea Zero Trust może spotkać się przynajmniej z dwoma problemami w implementacji: ludzkim oraz technologicznym.

„Problem ludzki to oczywiście niechęć do potencjalnych zmian. Przede wszystkim chodzi o zmiany modelu zachowania użytkowników końcowych, ale również o podejście osób odpowiedzialnych za wdrożenia takiej architektury. Ze względu na zbyt dużą liczbę bieżących zadań i brak zrozumienia samej idei, często będą oni dążyli do implementacji rozwiązań ochronnych w stary, dobrze sobie znany sposób” – wyjaśnia Maciej Iwanicki.

Podobne spostrzeżenia ma szef Cisco. „Koncepcję Zero Trust można z powodzeniem wdrożyć w każdej organizacji, ale należy zrobić to rozważnie. W bezpieczeństwie nie ma jednego uniwersalnego, złotego środka dla wszystkich. Nie każde rozwiązanie klasy korporacyjnej ma rację bytu w mniejszej organizacji. Na przykład ciągłe uwierzytelnianie to świetny pomysł, dopóki nie spowoduje konfliktu z użytkownikami - jeśli będą musieli zbyt często uwierzytelniać się, będą próbowali ominąć te elementy firmowej sieci, które tego wymagają. W mniejszych firmach warto precyzyjnie określić jakie zasoby wymagają dodatkowych zabezpieczeń, aby użytkownicy nie czuli się przytłoczeni. To samo dotyczy segmentacji. Możemy sobie wyobrazić, że w bardzo małych organizacjach każdy pracownik musi mieć dostęp zarówno do systemu pozwalającego kontrolować stany magazynowe, jak i systemu księgowego. Ważne, aby w takim środowisku pracownicy podchodzili odpowiedzialnie do swoich zdań i nie narażali organizacji na niebezpieczeństwo” – mówi Przemysław Kania.

Problem technologiczny, który może pojawić się podczas implementacji Zero Trust w organizacji to przede wszystkim tzw. dług technologiczny, czyli wykorzystywanie obecnie w organizacji takich rozwiązań – czy to programowych, czy sprzętowych – które w tej filozofii nie są w stanie się odnaleźć.

„Implementacja idei Zero Trust to proces, który w wielu przypadkach trwa i jeszcze będzie trwał. Jedno jest według mnie pewne: każdą nową usługę czy wdrażane rozwiązanie warto rozważyć pod kątem tego, w jaki sposób będzie się to wpisywało w architekturę ochronną. Korzyści wynikające ze stosowania się do zasad idei Zero Trust (czyli np. wprowadzenie MFA, Single Sign-On, sprawdzanie urządzeń końcowych, mikrosegmentacja, egzekwowanie dostępu z najniższymi uprawnieniami, kontrola dostępu do aplikacji, rozliczalność tego dostępu) będą miały zasadnicze znaczenie dla zachowania stanu cyberbezpieczeństwa przez firmy” – uzupełnia Maciej Iwanicki. „Dostępne na rynku rozwiązania wspierające implementację architektury Zero Trust, w których zawierają się rozwiązania Zero Trust Access oraz Zero Trust Network Access, starają się w możliwie jak największym stopniu uprościć i ułatwić ten proces.

Opłaca się

Za każdym rozwiązaniem, technologią, ideą, muszą stać twarde dane, które uwiarygodnią zasadność wprowadzanych zmian. „Liczby pokazują, że stosowanie zasady „zero zaufania” przynosi wyraźne korzyści. Koszt naruszenia w przypadku podmiotów niestosujących zasady „zero zaufania” był średnio o 42,3% wyższy w porównaniu z organizacjami, które wdrożyły tę strategię. Dzisiaj standardowe rozwiązania to za mało. Niezbędna jest zmiana w kulturze bezpieczeństwa, zgodnie z którą wszystko i wszyscy w sieciach IT powinni być traktowani jak podejrzani” – mówi Wolfgang Wendt. „Zilustruję powyższą tezę przykładem. Jeśli jeden z kontrahentów firmy, korzystający z platformy IT zazwyczaj w tradycyjnych godzinach pracy, nagle loguje się o dziwnej porze, z zupełnie innego regionu i pobiera ogromne ilości plików, które nie mają związku z jego działalnością, taka anomalia powinna być wykryta przez systemy bezpieczeństwa. W środowisku opartym na zasadzie „zero zaufania” nie tylko wdrożono by mechanizmy bezpieczeństwa, które natychmiast sygnalizowałyby i blokowały takie działania, ale wymuszałyby one również wielokrotne potwierdzanie tożsamości użytkownika w celu jego uwierzytelnienia. Taka praktyka ostatecznie pozwoliłaby ustalić, że ów kontrahent był w rzeczywistości hakerem działającym w przebraniu, prawdopodobnie wykorzystującym przechwycone dane uwierzytelniające w celu uzyskania dostępu do sieci” – dodaje.

Komu, komu?

Podejście Zero Trust, wprowadzające wielostopniową kontrolę i monitoring zachowań ludzi i sprzętu wydaje się być zbawienne dla obecnych wyzwań. Ale, jak w przypadku wielu technologii i rozwiązań, zawsze w głowie rodzi się pytanie, czy są jednak takie organizacje, które nowego podejścia do bezpieczeństwa nie potrzebują? „Moim zdaniem nie ma organizacji, w przypadku których filozofia ograniczonego zaufania nie ma szans na wdrożenie lub jest zbędna” – krótko odpowiada Paweł Łakomski, Technical Specialist Security & Compliance Microsoft, jeden z bohaterów naszego podcastu „Zero Trust – innej rzeczywistości nie będzie” (do posłuchania TUTAJ). „Zero Trust to model działania i sposób podejścia, który w zależności od okoliczności i charakterystyki organizacji (połączenie z Internetem lub jego brak, rodzaj urządzeń, sposób pracy, wielkość organizacji…) możemy wdrożyć na różne sposoby i przy wykorzystaniu różnych możliwości technicznych, ale możemy. Jeden z podstawowych filarów modelu Zero Trust – zasada najmniejszych uprawnień – jest możliwa do wprowadzenia zawsze i wszędzie, ale oczywiście na różne sposoby. Nie sądzę również, żeby ktoś mógł powiedzieć, że gdziekolwiek jest niepotrzebna – w skrajnym przypadku, kiedy „organizacja” sprowadza się do jednego użytkownika i jednego urządzenia pracującego bez połączenia z siecią, może to być realizowane poprzez pracę na koncie nieposiadającym nadmiernych uprawnień administracyjnych. Piękno podejścia Zero Trust polega na tym, że w zależności od potrzeb i możliwości możemy je stosować bardzo elastycznie” – dodaje.

„Jedyny rodzaj organizacji, który przychodzi mi do głowy, to taki, który nie podłączył swoich zasobów do sieci. Lecz czy w obecnym świecie takie firmy istnieją?” – zastanawia się z kolei Maciej Iwanicki z Fortinet. „Można by było odwrócić to pytanie i zadać je w następujący sposób: czy istnieją organizacje, które filozofii Zero Trust potrzebują? Czy firma ma pracowników zdalnych; zasoby i/lub aplikacje, do których mają dostęp nie tylko oni, ale też kontraktorzy i zewnętrzni użytkownicy? Czy korzysta z sieci typu WAN bądź z usług znajdujących się w chmurze? Czy miała kiedykolwiek do czynienia z incydentem bezpieczeństwa, a dane, które przetwarza mają wartość i ich utrata, czy też wyciek miałyby negatywne konsekwencje? Jeżeli, na którekolwiek z tych pytanie odpowiedź brzmi: „tak”, to filozofia Zero Trust jest na pewno jedną z tych, którą firma powinna się zainteresować”.