Ang modelo ng tiwala sa Zero ay nakakuha ng singaw sa mga eksperto sa seguridad

"Huwag magtiwala; palaging i-verify." Parang tunog ng sentido, di ba? Iyon ang moto sa likod ng isang diskarte na tinatawag na Zero Trust, na nakakakuha ng traksyon sa mundo ng cybersecurity. Nagsasangkot ito ng isang departamento ng IT na nagpapatunay sa lahat ng mga gumagamit bago magbigay ng mga pribilehiyo sa pag-access. Ang epektibong pamamahala ng pag-access sa mga account ay mas mahalaga kaysa dati na may 58 porsyento ng maliit upang midsize ang mga negosyo (SMBs) na nag-uulat ng mga paglabag sa data sa 2017, ayon sa ulat ng 2018 Verizon Data Breach Investigation Report.

Ang konsepto ng Zero Trust ay itinatag ni John Kindervag, isang dating analyst sa Forrester Research at ngayon ay isang Field CTO sa Palo Alto Networks. "Kailangan nating simulan ang paggawa ng isang tunay na diskarte, at iyon ang pinapayagan ng Zero Trust, " sinabi ng Kindervag sa madla noong Oktubre 30 sa SecurIT Zero Trust Summit sa New York City. Idinagdag niya na ang ideya ng Zero Trust ay nagmula noong siya ay naupo at talagang isinasaalang-alang ang konsepto ng tiwala, at kung paano ito ang mga nakakahamak na aktor na sa pangkalahatan ay nakikinabang sa mga kumpanyang nagtitiwala sa mga partido na hindi nila dapat.

Chase Cunningham ay naging kahalili ng Kindervag bilang isang Principal Analyst sa Forrester sa kampeon ng isang diskarte sa Zero Trust Access. "Ang Zero Trust ay kasama sa dalawang salitang iyon, nangangahulugang walang tiwala, huwag magtiwala sa pamamahala ng password, huwag magtiwala sa mga kredensyal, huwag magtiwala sa mga gumagamit, at huwag magtiwala sa network, " sinabi ni Cunningham sa PCMag sa Zero Trust Summit.

Ginamit ng Kindervag ang halimbawa ng US Secret Service upang ilarawan ang tungkol sa kung paano dapat subaybayan ng isang samahan ang kailangan nilang protektahan at kung sino ang nangangailangan ng pag-access. "Patuloy nilang sinusubaybayan at ina-update ang mga kontrol na ito upang makontrol nila kung ano ang lumilipas sa micro perimeter sa anumang oras, " sabi ni Kindervag. "Ito ay isang pamamaraan ng Zero Trust na proteksyon ng ehekutibo. Ito ang pinakamahusay na visual na halimbawa ng kung ano ang sinusubukan nating gawin sa Zero Trust."

Natutunan ang Mga Linya ng Zero Trust sa OPM

Ang isang perpektong halimbawa ng kung paano maaaring gumana ang Zero Trust upang makinabang ang mga organisasyon ay nagmula sa dating CIO ng gobyernong pederal ng Estados Unidos. Sa Zero Trust Summit, si Dr. Tony Scott, na gaganapin sa tanggapan ng US CIO mula 2015 hanggang 2017, ay inilarawan ang isang pangunahing paglabag sa data na naganap sa US Office of Personnel Management (OPM) noong 2014. Ang paglabag ay nangyari dahil sa dayuhang espiya kung saan ang impormasyon ng background at security clearance background ay ninakaw para sa 22.1 milyong tao kasama ang data ng fingerprint sa 5.6 milyong indibidwal. Inilarawan ni Scott kung paano hindi lamang isang kumbinasyon ng digital at pisikal na seguridad ang kinakailangan upang iwanan ang paglabag na ito, kundi pati na rin isang epektibong aplikasyon ng patakaran ng Zero Trust.

Kapag ang mga tao ay mag-a-apply para sa isang trabaho sa OPM, napuno nila ang isang kumpletong pamantayang Pamantasan (SF) 86 na talatanungan, at ang data ay mababantayan sa isang yungib ng mga armadong guwardya at tank, aniya. "Kung ikaw ay isang banyagang nilalang at nais mong nakawin ang impormasyong iyon, kailangan mong masira ang kuweba na ito sa Pennsylvania at makaraan ang mga armadong guwardya. Pagkatapos ay kailangan mong umalis kasama ang mga trak ng papel o magkaroon ng napakabilis na Xerox machine o isang bagay, "Sabi ni Scott.

"Mahusay na subukan upang makatakas na may 21 milyong mga tala, " patuloy niya. "Ngunit dahan-dahan, habang ang automation ay pumasok sa proseso ng OPM, sinimulan namin ang paglalagay ng mga bagay na ito sa mga file ng computer sa magnetic media, at iba pa. Ginagawa nitong mas madaling magnanakaw." Ipinaliwanag ni Scott na nabigo ang OPM na makahanap ng katumbas na uri ng epektibong seguridad bilang armadong guwardiya kapag digital ang ahensya. Kasunod ng pag-atake, pinakawalan ng Kongreso ang isang ulat na nanawagan ng isang diskarte sa Zero Trust upang maprotektahan ang mga ganitong uri ng mga paglabag sa hinaharap.

"Upang labanan ang mga advanced na paulit-ulit na pagbabanta na naghahanap upang kompromiso o pagsamantalahan ang mga pampang IT network ng gobyerno, ang mga ahensya ay dapat lumipat sa isang 'Zero Trust' na modelo ng seguridad ng impormasyon at arkitektura ng IT, " ang ulat ng kongreso. Ang dating US Rep. Jason Chaffetz (R-Utah), pagkatapos ng Tagapangulo ng Komite ng Panunumbalik, ay nagsulat din ng isang post tungkol sa Zero Trust sa oras na iyon, na orihinal na nai-publish ng Federal News Radio. "Ang Opisina ng Pamamahala at Budget (OMB) ay dapat bumuo ng mga patnubay para sa mga kagawaran ng ehekutibo at mga pinuno ng ahensya upang epektibong ipatupad ang Zero Trust kasama ang mga hakbang upang mailarawan at mai-log ang lahat ng trapiko sa network, " sulat ni Chaffetz.

Zero Tiwala sa Real World

Sa isang tunay na mundo na halimbawa ng isang pagpapatupad ng Zero Trust, inilagay ng Google ang panloob na isang inisyatibo na tinatawag na BeyondCorp na inilaan upang ilipat ang mga kontrol sa pag-access mula sa perimeter ng network sa mga indibidwal na aparato at mga gumagamit. Ang mga tagapangasiwa ay maaaring gumamit ng BeyondCorp bilang isang paraan upang lumikha ng mga patakaran sa kontrol ng butil para sa Google Cloud Platform at Google G Suite batay sa IP address, katayuan ng seguridad ng aparato, at pagkakakilanlan ng isang gumagamit. Ang isang kumpanya na tinatawag na Luminate ay nagbibigay ng seguridad ng Zero Trust bilang isang serbisyo batay sa BeyondCorp. Pinapatunayan ng Luminate Secure Access Cloud ang mga gumagamit, nagpapatunay ng mga aparato, at nag-aalok ng isang engine na nagbibigay ng isang marka ng peligro na nagpapahintulot sa pag-access ng aplikasyon.

"Ang aming layunin ay upang ligtas na magbigay ng pag-access para sa anumang gumagamit, mula sa anumang aparato, sa anumang mapagkukunan ng kumpanya alintana kung saan ito ay naka-host, sa ulap o sa lugar na walang pag-aalis ng anumang mga ahente sa endpoint o anumang mga kasangkapan tulad ng virtual pribadong network (VPN), mga firewall, o mga proxies sa patutunguhan na site, "Michael Dubinsky, pinuno ng Pamamahala ng Produkto sa Luminate, sinabi sa PCMag sa Hybrid Identity Protection (HIP) Conference 2018 (HIP2018) sa NYC.

Ang isang pangunahing disiplina sa IT kung saan ang Zero Trust ay nakakakuha ng mabilis na traksyon ay pamamahala ng pagkakakilanlan. Na malamang na dahil 80 porsyento ng mga paglabag ay sanhi ng maling paggamit ng mga pribilehiyong kredensyal, ayon sa ulat ng "Forrester Wave: Privileged Identity Management, Q3 2016". Ang mga system na kinokontrol ang awtorisadong pag-access sa isang mas malapad na degree ay makakatulong upang maiwasan ang mga insidente.

Ang espasyo sa pamamahala ng pagkakakilanlan ay hindi bago, at mayroong isang mahabang listahan ng mga kumpanya na nag-aalok ng naturang mga solusyon, na may posibilidad na ang pinaka-saklaw na pagiging Microsoft at ang Aktibong Direktoryo (AD) na platform, na naka-embed sa popular na Windows Server operating system ( OS). Gayunpaman, mayroong isang pagpatay sa mga mas bagong manlalaro na maaaring mag-alok hindi lamang ng higit pang pag-andar kaysa AD, ngunit maaari ring gawing mas madaling maipatupad at mapanatili ang pamamahala ng pagkakakilanlan. Ang mga nasabing kumpanya ay kasama ang mga manlalaro tulad ng Centrify, Idaptive, Okta, at SailPoint Technologies.

At habang ang mga namuhunan na sa Windows Server ay maaaring magbawas nang higit pa para sa teknolohiya na sa palagay nila ay namuhunan na sila, ang isang mas malalim at mas mahusay na pinapanatili na arkitektura ng pamamahala ng pagkakakilanlan ay maaaring gumawa para sa mga malaking dividends sa thwarted breaches at pagsunod sa mga pag-awdit. Dagdag pa, ang gastos ay hindi ipinagbabawal, kahit na maaaring maging makabuluhan. Halimbawa, ang Centrify Infrastructure Services ay nagsisimula sa $ 22 bawat buwan bawat system.

Paano gumagana ang Zero Trust

"Ang isa sa mga bagay na ginagawa ng Zero Trust ay tukuyin ang pagkakabukod ng network, " sinabi ni Kindervag. Ang Segmentation ay isang pangunahing konsepto kapwa sa pamamahala ng network at cybersecurity. Ito ay nagsasangkot ng paghahati ng isang computer network sa mga subnetworks, alinman sa lohikal o pisikal, upang mapabuti ang pagganap at seguridad.

Ang isang arkitektura ng Zero Trust ay gumagalaw sa kabila ng isang modelo ng perimeter, na sumasaklaw sa pisikal na lokasyon ng isang network. Ito ay nagsasangkot ng "pagtulak ng perimeter pababa sa nilalang, " sinabi ni Cunningham.

"Ang entidad ay maaaring isang server, isang gumagamit, isang aparato, o isang access point, " aniya. "Itinulak mo ang mga kontrol hanggang sa antas ng micro kaysa sa pag-iisip na nagtayo ka ng isang talagang mataas na pader at ligtas ka." Inilarawan ni Cunningham ang isang firewall bilang bahagi ng isang tipikal na perimeter. "Ito ay isang problema ng diskarte at diskarte at perimeter, " sabi niya. "Ang mataas na pader at isang malaking bagay: hindi lang sila gumagana."

Upang makakuha ng pag-access sa isang network, ang isang lumang aspeto ng seguridad ay ang paggamit ng mga router, ayon kay Danny Kibel, ang bagong CEO ng Idaptive, isang kumpanya ng pamamahala ng pagkakakilanlan na umiikot mula sa Centrify. Bago ang Zero Trust, mai-verify ng mga kumpanya at pagkatapos ay magtiwala. Ngunit sa Zero Trust, ikaw ay "palaging nagpapatunay, hindi magtiwala, " paliwanag ni Kibel.

Nag-aalok ang Idaptive ng platform ng Next-Gen Access na kasama ang Single Sign-On (SSO), adaptive na multifactor authentication (MFA), at pamamahala ng mobile device (MDM). Ang mga serbisyo tulad ng Idaptive ay nagbibigay ng isang paraan upang lumikha ng kinakailangang butil na kontrol sa pag-access. Maaari kang magbigay ng probisyon o de-probisyon batay sa kung sino ang nangangailangan ng pag-access sa iba't ibang mga aplikasyon. "Binibigyan nito ang kakayahang mahusay na grained para sa organisasyon upang makontrol ang pag-access nito, " sabi ni Kibel. "At iyon ay napakahalaga para sa mga samahan na nakikita namin dahil mayroong maraming sprawl sa mga tuntunin ng hindi awtorisadong pag-access."

Tinukoy ni Kibel ang diskarte ng Idaptive sa Zero Trust na may tatlong hakbang: i-verify ang gumagamit, i-verify ang kanilang aparato, at pagkatapos ay payagan ang pag-access sa mga application at serbisyo para lamang sa gumagamit na iyon. "Mayroon kaming maramihang mga vectors upang masuri ang pag-uugali ng gumagamit: lokasyon, geo-bilis, oras ng araw, oras ng linggo, anong uri ng aplikasyon ang ginagamit mo, at kahit na sa ilang mga kaso kung paano mo ginagamit ang application na iyon, " sinabi ni Kibel . Ang matagumpay na monitor ay matagumpay at nabigo ang mga pagtatangka sa pag-login upang makita kung kailan kailangan nitong muling maikumpirma ang pagpapatunay o hadlangan ang isang gumagamit sa kabuuan.

Noong Oktubre 30, ipinakilala ng Centrify ang isang diskarte sa cybersecurity na tinatawag na Zero Trust Privilege kung saan binibigyan ng mga kumpanya ang hindi bababa sa pribilehiyong pag-access kinakailangan at i-verify kung sino ang humihiling ng pag-access. Ang apat na hakbang ng proseso ng Zero Trust Pribilehiyo ay kinabibilangan ng pagpapatunay ng gumagamit, pagtingin sa konteksto ng kahilingan, pagseguro sa kapaligiran ng admin, at pagbibigay ng hindi bababa sa halaga ng pribilehiyo na kinakailangan. Ang diskarte sa Zero Trust Privilege ng Centrify ay nagsasangkot ng isang phased diskarte sa pagbabawas ng panganib. Nagdadala din ito ng isang paglipat mula sa legacy Privileged Access Management (PAM), na kung saan ay software na nagpapahintulot sa mga kumpanya na higpitan ang pag-access sa mga mas bagong uri ng mga kapaligiran tulad ng mga platform ng pag-iimbak ng ulap, mga malalaking proyekto ng data, at kahit na mga advanced na mga pasadyang proyekto sa pag-unlad na tumatakbo sa web-grade web mga pasilidad sa pagho-host.

Ipinagpapalagay ng isang modelo ng Zero Trust na ang mga hacker ay naka-access na sa isang network, sabi ni Tim Steinkopf, Pangulo ng Centrify. Ang isang diskarte upang labanan ang banta na ito ay upang limitahan ang pag-ilid ng paggalaw at ilapat ang MFA kahit saan, ayon sa Steinkopf. "Kung kailan sinisikap ng isang tao na mag-access ng isang pribilehiyong kapaligiran, kailangan mong agad na magkaroon ng tamang mga kredensyal at tamang pag-access, " sinabi ni Steinkopf sa PCMag. "Ang paraan upang ipatupad iyon ay upang pagsamahin ang mga pagkakakilanlan, at pagkatapos ay kailangan mo ang konteksto ng kahilingan, nangangahulugang kung sino, ano, kailan, bakit, at saan." Pagkatapos nito, bibigyan mo lamang ang halaga ng pag-access na kinakailangan, sinabi ni Steinkopf.

"Kinukuha mo ang konteksto ng gumagamit, kung saan maaari itong maging isang doktor, maaari itong maging isang nars, o maaaring ito ay ibang ibang tao na tinatangkang ma-access ang data, " sabi ni Dubinsky. "Kinukuha mo ang konteksto ng aparato kung saan sila nagtatrabaho, kinukuha mo ang konteksto ng file na sinusubukan nilang ma-access, at pagkatapos ay kailangan mong gumawa ng isang desisyon sa pag-access batay sa."

Ang MFA, Zero Trust, at Pinakamahusay na Kasanayan

Ang isang pangunahing aspeto ng isang modelo ng Zero Trust ay malakas na pagpapatunay, at pinapayagan ang maraming mga kadahilanan ng pagpapatunay ay isang bahagi nito, nabanggit na Hed Kovetz, CEO at Co-Founder ng Silverfort, na nag-aalok ng mga solusyon sa MFA. Sa kakulangan ng mga perimeter sa panahon ng ulap, mayroong isang mas higit na pangangailangan para sa pagpapatunay kaysa sa dati. "Ang kakayahang gawin ang MFA ng anumang bagay ay halos isang pangunahing kinakailangan ng Zero Trust, at imposible na gawin ngayon dahil ang Zero Trust ay nagmula sa ideya kung saan wala nang perimeter, " sinabi ni Kovetz sa PCMag sa HIP2018. "Kaya't ang anumang bagay ay kumokonekta sa anumang bagay, at sa katotohanan na ito, wala kang isang gateway na maaari mong ilapat ang control."

Inilarawan ng Forrester's Cunningham ang isang diskarte na tinatawag na Zero Trust eXtended (XTX) upang mapa ang mga pagbili ng teknolohiya sa pagbili ng isang diskarte sa Zero Trust. "Tiningnan talaga namin ang pitong piraso ng kontrol na kailangan mong aktwal na pamahalaan ang isang kapaligiran nang ligtas, " sinabi ni Cunningham. Ang pitong mga haligi ay Automation at Orchestration, Visibility and Analytics, Workloads, People, Data, Networks, at Device. Upang maging isang platform ng ZTX, ang isang system o teknolohiya ay magkakaroon ng tatlo sa mga haligi na ito kasama ang mga kakayahan sa application programming interface (API). Maraming mga vendor na nag-aalok ng mga solusyon sa seguridad ay magkasya sa iba't ibang mga haligi ng balangkas. Nag-aalok ang Centrify ng mga produkto na tumutugon sa seguridad ng mga tao at aparato, ang Palo Alto Networks at Cisco ay nag-aalok ng mga solusyon sa network, at ang mga solusyon sa Security Guardium ng IBM ay nakatuon sa proteksyon ng data, sinabi ni Cunningham.

Ang isang modelo ng Zero Trust ay dapat ding isama ang naka-encrypt na mga tunnels, isang traffic cloud, at naka-encrypt na batay sa sertipiko, sinabi ni Steinkopf. Kung nagpapadala ka ng data mula sa isang iPad sa internet, pagkatapos ay nais mong i-verify na ang tatanggap ay may karapatang mag-access, ipinaliwanag niya. Ang pagpapatupad ng umuusbong na mga uso sa teknolohiya tulad ng mga lalagyan at DevOps ay makakatulong sa paglaban sa mga pribilehiyo na may kredensyal na pang-aabuso, ayon kay Steinkopf. Inilarawan din niya ang cloud computing na nasa harap ng isang diskarte sa Zero Trust.

Sumasang-ayon ang Dubinsky ni Luminate. Para sa mga SMB, lumingon sa isang kumpanya ng ulap na nagbibigay ng pamamahala ng pagkakakilanlan o MFA bilang isang serbisyo na nag-aalis ng mga responsibilidad na ito sa seguridad sa mga kumpanyang nagpakadalubhasa sa lugar na iyon. "Gusto mong i-offload hangga't maaari sa mga kumpanya at mga taong responsable para sa kanilang trabaho sa araw, " sabi ni Dubinsky.

Ang Potensyal ng Zero Trust Framework

Bagaman kinilala ng mga eksperto na ang mga kumpanya ay lumiliko sa isang modelo ng Zero Trust, lalo na sa pamamahala ng pagkakakilanlan, ang ilan ay hindi nakakakita ng pangangailangan para sa malaking pagbabago sa imprastruktura ng seguridad upang magpatibay ng Zero Trust. "Hindi ako sigurado na isang estratehiya na nais kong mag-ampon sa anumang antas ngayon, " sabi ni Sean Pike, Program Vice President para sa Security Products Group ng IDC. "Hindi ako positibo na ang calculus ng ROI ay umiiral sa isang time frame na may katuturan. Mayroong isang bilang ng mga pagbabago sa arkitektura at mga isyu ng tauhan na sa palagay ko ay ginagawang pagbabawal ang gastos bilang isang diskarte."

Gayunpaman, nakikita ni Pike ang potensyal para sa Zero Trust sa telecommunication at IDM. "Sa palagay ko ay may mga sangkap na madaling magamit na ngayon na hindi nangangailangan ng mga pagbabago sa arkitektura ng pagbabago - halimbawa, " sabi ni Pike. "Habang nauugnay ang mga ito, ang aking malakas na pakiramdam ay ang pag-aampon ay hindi kinakailangang isang estratehikong hakbang patungo sa Zero Trust ngunit sa halip isang hakbang upang matugunan ang mga bagong paraan na kumonekta ang mga gumagamit at ang pangangailangan na lumayo sa mga system na nakabatay sa password at pagbutihin ang pamamahala ng pag-access, " Pike ipinaliwanag.

Kahit na ang Zero Trust ay maaaring ma-kahulugan bilang isang maliit na konsepto sa pagmemerkado na inuulit ang ilan sa mga pamantayang prinsipyo ng cybersecurity, tulad ng hindi pagtitiwala sa mga nagdadala sa iyong network at kinakailangang i-verify ang mga gumagamit, nagsisilbi itong isang layunin bilang isang plano sa laro, ayon sa mga eksperto . "Ako ay isang malaking proponent para sa Zero Trust, ng paglipat patungo sa isahan, estratehikong uri ng mantra at kampeoniko sa loob ng samahan, " sinabi ni Forrester's Cunningham.

Ang mga ideya ng Zero Trust na ipinakilala ng Forrester noong 2010 ay hindi bago sa industriya ng cybersecurity, ayon kay John Pescatore, Direktor ng umuusbong na Tren Security sa SANS Institute, isang samahan na nagbibigay ng pagsasanay sa seguridad at sertipikasyon. "Iyon ay halos ang pamantayang kahulugan ng cybersecurity - subukang gawing ligtas ang lahat, i-segment ang iyong network, at pamahalaan ang mga pribilehiyo ng gumagamit, " aniya.

Nabanggit ni Pescatore na sa paligid ng 2004, isang organisasyong pangseguridad na ngayon ay walang kabuluhan na tinawag na Jericho Forum ay nagpakilala ng mga katulad na ideya bilang Forrester patungkol sa "perimeter-less security" at inirerekumenda lamang na pinapayagan ang mga pinagkakatiwalaang koneksyon. "Ito ay uri ng sinasabi, 'Ilipat sa isang lugar na walang mga kriminal at perpektong panahon, at hindi mo kailangan ng bubong o pintuan sa iyong bahay, " sinabi ni Pescatore. "Ang Zero Trust ng hindi bababa sa ibabalik sa pangkaraniwang kahulugan ng pag-ihiwalay - palagi kang segment mula sa internet na may perimeter."

• Higit pa sa Perimeter: Paano Makikipag-usap sa Layered Security Higit pa sa Perimeter: Paano Makikipag-usap sa Layered Security
• Ang NYC Venture ay naghahanap upang Magtrabaho sa Spur, Innovation sa Cybersecurity NYC Venture ay Tumingin sa Spur Jobs, Innovation sa Cybersecurity
• Paano Maghanda para sa Iyong Susunod na Pagsira sa Seguridad Paano Maghanda para sa Iyong Susunod na Paglabag sa Seguridad

Bilang isang kahalili sa modelo ng Zero Trust, inirerekomenda ni Pescatore kasunod ng Mga Kontrata ng Mga Kritikal na Seguridad sa Kritikal ng Seguridad sa Internet. Sa huli, ang Zero Trust ay tiyak na maaaring magdala ng mga benepisyo sa kabila ng hype. Ngunit, tulad ng nabanggit ni Pescatore, kung tinawag itong Zero Trust o iba pa, ang ganitong uri ng diskarte ay nangangailangan pa rin ng mga pangunahing kontrol.

"Hindi nito binabago ang katotohanang iyon upang maprotektahan ang negosyo, kailangan mong bumuo ng mga pangunahing proseso at kontrol sa kalinisan ng seguridad pati na rin ang mga bihasang kawani na panatilihin ang mga ito nang mabisa at mahusay, " sabi ni Pescatore. Iyon ay higit pa sa isang pinansiyal na pamumuhunan para sa karamihan ng mga samahan, at isa itong mga kumpanya ay kailangang tumuon upang magtagumpay.