Zero Trust to nie technologia, to stan umysłu, a może wręcz postawa filozoficzna, uważa Rik Turner, główny analityk w firmie konsultingowej Omdia. Według niego, to rodzaj mentalności związany ze zmianą kulturową w firmie i sprowadzający się do zasady ‘nigdy nie ufaj, zawsze weryfikuj’.

Jego zdaniem pierwszym etapem tej zmiany jest odchodzenie od poprzednich paradygmatów bezpieczeństwa, takich jak ‘ufaj, ale weryfikuj’. „Kiedyś logowałeś się przy bramie, a oni sprawdzali, kim jesteś, weryfikowali cię, a kiedy już wszedłeś, to wszystko” – przypomina Turner i zaznacza, że tamten model już się nie sprawdza, jest wadliwy i niezwykle wrażliwy.

#ZeroTrust, według Turnera, oznacza zero zaufania do każdego pracownika, partnera, kontrahenta lub pracownika partnera w dowolnym momencie: „Ta reguła dotyczy wszystkich, od pracowników wewnętrznych aż po strony trzecie, którym pozwalasz na interakcję z systemem. Nigdy więcej zaufania do żadnego z nich. De facto, podejście ‘zero zaufania’ oznacza utratę dotychczasowego zaufania w sieci, a każda próba połączenia się z nią jest uznawana za wrogą. Zamiast tego każdy wniosek o dostęp do sieci musi zostać zweryfikowany na podstawie jasno określonej polityki.

Przyszłość dostępu do sieci polega na uwierzytelnianiu wszystkich stron, ich tożsamości i stanu bezpieczeństwa ich urządzeń za każdym razem, gdy żądają dostępu do dowolnego pojedynczego zasobu w ramach danej infrastruktury: „Chodzi o dostęp do określonej aplikacji, do określonego zasobu, do konkretnej bazy danych, nawet wtedy, gdy spełniają wszystkie kryteria” – zaznacza Turner. „Mogą istnieć kryteria, takie jak pora dnia. Nie chcemy, żeby ktoś dzwonił do nas o drugiej w nocy. Podobnie jak nie chcemy, aby ludzie, którzy zwykle logują się z Wielkiej Brytanii, nagle dzwonili z Chin. Tu i tam będą ograniczenia geograficzne, i dlatego uwzględniając je sam możesz wybrać i ustanowić zasady uwierzytelniania i autoryzacji”.

Ważne jest również, podkreślaTurner, ciągłe monitorowanie, co robi dana osoba raz wpuszczona do sieci na wypadek, gdyby ktoś inny przejął jej konto: „Nagle pojawia się ktoś inny, kto wydaje się być uwierzytelniony w punkcie wejścia. Musisz więc mieć na niego oko przez całą sesję, szukając nietypowego zachowania. Wtedy możesz albo całkowicie go zablokować, zakończyć sesję, albo jeśli masz pewien poziom pewności, że to nadal on, będziesz chciał to potwierdzić”.

Turner zauważa, że Zero Trust czasami może przypominać ‘zinstytucjonalizowaną paranoję’, a zwłaszcza może to być postrzegane jako paranoja w życiu społecznym. „Ale mówimy o istnieniu firmy i potrzebie obrony zasobów firmy, danych, infrastruktury, a nawet ludzi, a czasami Zero Trust napotka opór”.

Rik Turner poprowadził zorganizowany przez NetEvents panel ‘Exploring the myths behind Zero Trust’ z udziałem ekspertów ds. bezpieczeństwa, którzy opowiedzieli, jak pomagają swoim klientom we wdrażaniu podejścia Zero Trust.

Wobec niejasności wokół tego, co dokładnie oznacza określenie „Zero Trust”, Guy Matthews, redaktor NetReporter (który przygotował podsumowanie panelu) przytacza definicję stosowaną w jego redakcji: ‘to struktura bezpieczeństwa, która wymaga, aby wszyscy użytkownicy sieci i wszystkie urządzenia, które chcą się do niej podłączyć – byli na bieżąco uwierzytelniani, autoryzowani i weryfikowani, zanim uzyskają dostęp do aplikacji i danych’. Matthews przypomina, że model ten wymyślony w 2010 r. przez analityka z firmy Forrester Research, wychodzi poza ideę tradycyjnego brzegu sieci, uznając, że sieci mogą być lokalne, oparte na chmurze lub hybrydowe, z zasobami i użytkownikami, którzy mogą znajdować się w dowolnym miejscu. Coraz częściej reguła Zero Trust jest postrzegana jako podstawa zabezpieczania infrastruktury i danych w erze transformacji cyfrowej, odpowiadając na wyzwania związane z chmurą, takie jak zabezpieczanie pracowników zdalnych, zarządzanie złożonymi środowiskami chmurowymi i zapobieganie zagrożeniom ransomware.

Inżynieria społeczna jedną z najefektywniejszych metod cyberprzestępców

Sposoby działania osób chcących wykraść poufne informacje każdego dnia przybierają nowe formy. Jedną z najpopularniejszych metod cyberprzestępców jest socjotechnika, inaczej zwana inżynierią społeczną. Polega ona na stosowaniu technik manipulacyjnych i psychologicznych do wyłudzenia od ofiar informacji potrzebnych do przeprowadzenia ataku (dane uwierzytelniające) lub skłonienia ich do samodzielnego pobrania zainfekowanego oprogramowania. Przykład wykorzystania tej techniki stanowią maile zawierające wyjątkowo atrakcyjne oferty lub informacje o niezapłaconej fakturze. Treść ma zwrócić uwagę użytkowników i skłonić ich do działania. Cyberprzestępcy liczą na moment nieuwagi i kliknięcie w link lub załącznik. Ofiarą takiego ataku może stać się niemal każdy użytkownik internetu.

Jak wskazują eksperci firmy baramundi, inżynieria społeczna stosowana wraz z wykorzystywaniem luk w oprogramowaniu stanowi jedną z najefektywniejszych metod pozwalających na infiltrację wewnętrznych sieci firmowych, a pracownicy bez odpowiednich zabezpieczeń, narzędzi oraz edukacji są bezsilni w samodzielnym odpieraniu ataków. Z raportu Związku Firm Ochrony Danych Osobowych wynika, że pracownicy aż 8 razy częściej odpowiadają za wyciek danych niż wadliwa technologia. Dlatego współczesne polityki bezpieczeństwa powinny być tworzone z uwzględnieniem podatności wynikających z potencjalnych błędów użytkowników.

Badanie „ESET Threat Report T1 2021” wskazuje, że największą aktywnością w 2021 r. wyróżniły się wyspecjalizowane grupy hakerskie wykorzystujące łańcuch luk w zabezpieczeniach oprogramowania Microsoft Exchange Server. Często cyberprzestępcy łączą metody socjotechniczne wraz z wykorzystaniem luk w oprogramowaniu. Taką taktykę przyjęła grupa hakerska Lapsus$, która z powodzeniem infiltruje wewnętrzne sieci największych gigantów technologicznych, takich jak Samsung, Nvidia, Vodafone, Ubisoft, Okta czy Microsoft. Ostatnio udało jej się wykraść część kodu źródłowego Cortany, Bing i Bing Maps.

„W obecnych czasach polityka bezpieczeństwa każdej organizacji powinna uwzględniać nie tylko narzędzia, takie jak program antywirusowy czy uwierzytelnienie wieloskładnikowe, ale także, co mniej oczywiste, system do zarządzania urządzeniami końcowymi, który zautomatyzuje wiele istotnych procesów” – powiedział Sebastian Wąsik, Country Manager na Polskę w baramundi software.