Ставка на зеро
Почему Zero Trust считают основой безопасности будущего
По данным исследования McKinsey «10 важнейших технологических трендов», в 2021 году одной из таких тенденций стала концепция «нулевого доверия» (Zero Trust, ZT). Считается, что эта модель наиболее актуальна при удаленном и гибридном форматах работы и дает компаниям максимальную защиту от киберинцидентов. Однако некоторые из элементов Zero Trust могут вызывать у российских специалистов отторжение, так как во многих компаниях принято иметь доверительные отношения внутри организаций.
Фото: Эмин Джафаров, Коммерсантъ
Новые архитектуры доверия в системах безопасности входят в десятку важнейших технологических трендов 2021 года, следует из рейтинга McKinsey. Под архитектурами доверия в исследовании аналитиков подразумеваются технологии распределенного реестра и модель «нулевого доверия». Их применение снижает затраты компаний на кибербезопасность и обеспечивает более экономичные трансакции, полагают аналитики.
ZT — это модель безопасности, разработанная бывшим аналитиком агентства Forrester Джоном Киндервагом в 2010 году. Эта стратегия реализуется по принципу «не доверяй, а проверяй», то есть в ней по умолчанию отсутствует доверие ко всем элементам системы. Пользователи, устройства и приложения должны подтверждать свои данные каждый раз, когда они запрашивают доступ к какому-либо корпоративному ресурсу.
Вне зоны доверия
На распространение концепции ZT повлиял массовый уход людей на удаленку, а приложений — в облако, говорит руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Классический подход подразумевает защиту внешнего периметра организации. С переходом на удаленный и гибридный форматы работы сети организаций стали включать домашние, публичные и другие частные сети, поэтому стало сложнее применять традиционные политики, говорит директор программ ИБ в Центральной и Восточной Европе Microsoft Артем Синицын.
По мере повышения мобильности бизнеса периметр компаний все больше размывается, а концепция «нулевого доверия» избавляет организацию от необходимости защищать его, подтверждает руководитель отдела предпродажной поддержки продуктов «Лаборатории Касперского» в России и СНГ Евгений Бударин. По его словам, модель ZT предполагает разделение корпоративной сети и других ресурсов на небольшие узлы, в результате чего получается множество микроскопических периметров со своими политиками безопасности и правами доступа. Это позволяет гибко управлять доступом: каждому пользователю предоставляется ровно столько прав, сколько необходимо для выполнения его задач, отмечает эксперт. «Если аккаунт отдельного пользователя взломают, это может привести к компрометации части ресурсов, но не всей инфраструктуры»,— добавляет он.
Благодаря тому, что все участники процесса постоянно перепроверяются, компании легче приспосабливаться к изменениям, например лишать прав доступа уволившихся сотрудников и адаптировать привилегии тех, чей круг задач изменился, отмечает Евгений Бударин. С точки зрения утечек в зоне наибольшего риска увольняющиеся сотрудники, «особенно те, кто увольняется не по собственной воле или в плохом настроении», продолжает руководитель по облачным платформам и инфраструктурным решениям «МегаФона» Александр Осипов. Поэтому очень важно контролировать актуальность доступов сотрудников к чувствительной информации и использовать дополнительные средства безопасности, чтобы они не могли скачать эти данные, рекомендует эксперт. «Впрочем, опасность утечек путем фотографирования все равно сохранится, хотя некоторые системы уже могут детектировать такие случаи»,— добавляет он. На сливы данных таким способом приходится 35% от общего числа утечек, писал “Ъ” 28 июня.
Бизнес расставляет приоритеты
Концепция «нулевого доверия» сегодня становится не просто одним из вариантов стратегии кибербезопасности, но и бизнес-приоритетом, уверен Артем Синицын. По данным исследования Microsoft Zero Trust Adoption Report, которое проводилось в США, Германии, Японии, Австралии и Новой Зеландии, 96% руководителей ИБ-подразделений считают разработку стратегии ZT главным приоритетом в области безопасности, критически важным для успеха их организации.
Модель ZT актуальна для компаний, взявших курс на цифровую трансформацию, то есть стремящихся двигать вперед свой бизнес в первую очередь за счет информтехнологий, говорит технический директор Trend Micro в России и странах СНГ Михаил Кондрашин. Чем крупнее компания, тем с большей вероятностью для нее будет актуальной концепция ZT, полагает Павел Коростелев. Исключения составляют только производственные предприятия, в частности защита автоматизированных систем управления (АСУ ТП): в них концепция будет применяться достаточно ограниченно, так как в АСУ ТП не везде можно поставить точки контроля и высоки требования по низким задержкам, добавляет эксперт.
Сегодня ZT применяют компании из многих отраслей, но «финансовые организации, пожалуй, чаще других», полагает заместитель директора центра противодействия кибератакам Solar JSOC «Ростелекома» Алексей Павлов. Системы защиты по модели ZT применяются в наиболее важных банковских информационных системах, уточняет эксперт по информбезопасности «Лиги цифровой экономики» Андрей Слободчиков.
Трудности перехода
ZT — это иной подход к обработке рисков, а значит, для перехода на эту модель почти всегда требуется пересмотр сложившихся подходов к обеспечению безопасности, говорит Михаил Кондрашин. Необходимо инвентаризовать все многообразие офисного оборудования и личных устройств, если сотрудники их используют для работы, установить корпоративные политики на тех устройствах, которые нужны для работы, запретить подключаться к корпоративным ресурсам с остальных, поясняет Евгений Бударин. У крупных компаний с филиалами в разных городах и странах эта работа может занять много времени.
Зачастую при инвентаризации выявляются технические средства и ПО, которые не позволяют обеспечить разграничение прав доступа, сегментацию и другие необходимые политики безопасности, предусмотренные концепцией, говорит Андрей Слободчиков. Поэтому, по его мнению, выстроить модель безопасности имеющимися средствами чаще всего невозможно и необходимы дополнительные закупки. Если у компании сложная инфраструктура, в ней могут оказаться устаревшие устройства и ПО, на которых воплотить современные стандарты безопасности невозможно, согласен Евгений Бударин. Поэтому одна из наиболее распространенных проблем при внедрении стратегии ZT — отсутствие поддержки со стороны руководства высшего звена и бюджетные ограничения, говорит Артем Синицын: «ИБ-специалистам зачастую трудно доказать окупаемость инвестиций в ZT».
Специальных продуктов требуют самые прогрессивные идеи ZT — постоянный мониторинг и принятие решений о доступе в динамике, отмечает Михаил Кондрашин. По его мнению, часть идей, например микросегментация, могут быть решены традиционными продуктами. С помощью имеющихся средств могут быть внедрены такие элементы концепции, как антивирус в части контроля запуска «белого списка» ПО, прокси-сервер в части доступа к интернет-ресурсам, доменные группы для унификации доступов и внедрения ролевой модели, уточняет Алексей Павлов. По его словам, теоретически концепцию можно реализовать на обычных элементах IТ-инфраструктуры, но на практике «контроль за всем "зоопарком" будет очень сильно затруднен и перестанет работать из-за человеческого фактора».
Примечательно, что в российских компаниях одна из самых главных сложностей перехода к концепции ZT — доверительные отношения, исторически сложившиеся внутри организаций и между бизнес-партнерами, полагает Андрей Слободчиков. Кроме того, ZT делает пользование информационными системами бизнеса менее удобным, с чем сложно примириться сотрудникам, в том числе высшему руководству, добавляет он. В модели ZT каждое действие в компании должно быть согласовано отделом безопасности, что чревато увеличением сроков предоставления доступов, привилегий, необходимого ПО — это часто вызывает негодование бизнес-подразделений, уточняет Алексей Павлов. Самые инновационные элементы концепции вызывают у специалистов отторжение как непонятные и не прошедшие проверку временем, согласен Михаил Кондрашин.
Поэтому переход на ZT может потребовать смены психологических установок сотрудников, подтверждает Евгений Бударин. Выстраивание стратегии «нулевого доверия» может оказаться «долгим и трудным» процессом. Так, Google понадобилось семь лет, чтобы построить фреймворк BeyondCorp, в основе которого лежат принципы «нулевого доверия». «Для менее разветвленных корпоративных структур срок может быть существенно меньше, но рассчитывать уложиться в пару недель или даже месяцев не стоит»,— предупреждает господин Бударин.
Однако, несмотря на сложности перехода, в дальнейшем он может обеспечить компании преимущества за счет снижения затрат на ИБ и сокращения числа инцидентов, а значит, и ущерба от них. Концепция ZT позволяет компаниям развивать свои IТ-инфраструктуры и реализовывать самые смелые проекты, не подвергая свою сеть рискам и сохраняя контроль над системами безопасности, подтверждает Михаил Кондрашин.