Zero Trust («нулевое доверие») — модель безопасности, которая была создана экс-аналитиком Forrester Джоном Киндервагом в 2010 году. На текущий момент выступает в качестве одной из наиболее распространенных концепций в глобальном кибербезе. Многочисленные утечки информации, происходящие в разных странах мира и в различных по размеру организациях, только лишний раз подтверждают необходимость предприятиям уделять огромное внимание информационной безопасности. И модель Zero Trust для многих может стать правильным выбором.
Под реализацией концепции Zero Trust понимается принцип “недоверия по умолчанию” ко всем участникам, даже если они находятся внутри защищенного периметра. Осуществление этого подхода включает микросегментацию, обеспечивающую детальное управление доступом и снижение возможной поверхности атаки за счет деления сети на множество сегментов. Вместо традиционной концепции “поверхности атаки”, модель Zero Trust предлагает ориентир на “поверхность защиты”, тем самым меняя привычные представления о безопасности. Следуя принципу минимальных привилегий, модель предоставляет участникам сети только те права, которые необходимы для выполнения их ролей. Многофакторная аутентификация становится обязательным элементом, усиливающим надежность идентификации пользователей и устройств. Все эти меры способствуют созданию системы, в которой осуществляется полный контроль над всеми действиями в сети, обеспечивая требуемый уровень безопасности и соответствие регуляторным нормам.
Редакция CISOCLUB опросила российских экспертов на тему модели Zero Trust. Мы поговорили о том, как применять моделирование угроз с учетом принципов Zero Trust, кто в компании должен отвечать за эту модель, и стоит ли привлекать подрядчиков к построению Zero Trust внутри организации, какие инструменты должны использоваться для контроля за соблюдением модели, а также задали ряд других вопросов.
[...]
Из каких ключевых элементов должна состоять модель Zero Trust, с точки зрения процессов, средств защиты информации, персонала и ИТ-инфраструктуры?
Дмитрий Пудов, генеральный директор NGR Softlab:
«Ключевые принципы Zero Trust: по умолчанию всем объектам не доверяют; обеспечивается доступ с наименьшими привилегиями; реализован комплексный мониторинг безопасности. За время своего существования модель успела эволюционировать, появились стандарты и рекомендации, описывающие архитектуру, подходы к реализации в зависимости от фокуса и уровня зрелости компании. Для воплощения принципов Zero Trust в жизнь, скорее всего, не обойтись без модернизации инструментов управления доступом, сетевой безопасности, безопасности данных. Отдельно стоит обратить внимание, что принятие решения, исходя их текущего контекста, вероятно, потребует более интеллектуальных систем ИБ, таких как UEBA/NTBA».
[...]
Каковы основные шаги и ключевые факторы успешного внедрения модели Zero Trust в организацию?
Дмитрий Пудов посоветовал в этом случае ориентироваться на рекомендации Forrester, которые ввели термин Zero Trust в 2010 году. В частности, для построения подробной дорожной карты они рекомендуют установить зрелость Zero Trust, определить текущие бизнес-инициативы и существующие возможности безопасности, а также желаемое состояние зрелости и временные рамки для ее достижения.
«Детальную дорожную карту предлагается разрабатывать с горизонтом двух-трех лет. За это время важно учитывать стратегию развития организации и ее подразделений. Подобные изменения с большой вероятностью потребуют пересмотра стратегии ИБ организации. Таким образом, поддержка руководства компании — один из ключевых факторов успеха программы внедрения Zero Trust, как и наличие соответствующих ресурсов. Forrester считает, что перемещение с 0 на 5 уровень зрелости может занимать до десяти лет», — отметил генеральный директор NGR Softlab.
[...]
Как применять моделирование угроз, учитывая принципы модели Zero Trust?
[...]
Дмитрий Пудов уверен, что ответственность за реализацию должен брать на себя CISO/CSO или руководитель профильного подразделения.
Как лучше строить модель Zero Trust: самостоятельно или с привлечением подрядчика? Напишите плюсы и минусы обоих подходов
По словам Дмитрия Пудова, традиционно ответ на этот вопрос зависит от ряда параметров: наличия собственной экспертизы, достаточных ресурсов и сроков реализации.
«Если организация привлечет экспертного подрядчика, имеющего опыт реализации подобных проектов, скорее всего, удастся избежать проблем архитектурного и ресурсного характера. Минусы очевидны: носители экспертизы уйдут после реализации проекта, и организация может столкнуться со сложностями в поддержке и развитии своей архитектуры Zero Trust. В силу длительности подобных проектов стоит обращаться к подрядчикам, на которых вы можете положиться в долгосрочной перспективе», — ответил на вопрос генеральный директор NGR Softlab.
Подробнее на сайте издания по ссылке.
Под реализацией концепции Zero Trust понимается принцип “недоверия по умолчанию” ко всем участникам, даже если они находятся внутри защищенного периметра. Осуществление этого подхода включает микросегментацию, обеспечивающую детальное управление доступом и снижение возможной поверхности атаки за счет деления сети на множество сегментов. Вместо традиционной концепции “поверхности атаки”, модель Zero Trust предлагает ориентир на “поверхность защиты”, тем самым меняя привычные представления о безопасности. Следуя принципу минимальных привилегий, модель предоставляет участникам сети только те права, которые необходимы для выполнения их ролей. Многофакторная аутентификация становится обязательным элементом, усиливающим надежность идентификации пользователей и устройств. Все эти меры способствуют созданию системы, в которой осуществляется полный контроль над всеми действиями в сети, обеспечивая требуемый уровень безопасности и соответствие регуляторным нормам.
Редакция CISOCLUB опросила российских экспертов на тему модели Zero Trust. Мы поговорили о том, как применять моделирование угроз с учетом принципов Zero Trust, кто в компании должен отвечать за эту модель, и стоит ли привлекать подрядчиков к построению Zero Trust внутри организации, какие инструменты должны использоваться для контроля за соблюдением модели, а также задали ряд других вопросов.
[...]
Из каких ключевых элементов должна состоять модель Zero Trust, с точки зрения процессов, средств защиты информации, персонала и ИТ-инфраструктуры?
Дмитрий Пудов, генеральный директор NGR Softlab:
«Ключевые принципы Zero Trust: по умолчанию всем объектам не доверяют; обеспечивается доступ с наименьшими привилегиями; реализован комплексный мониторинг безопасности. За время своего существования модель успела эволюционировать, появились стандарты и рекомендации, описывающие архитектуру, подходы к реализации в зависимости от фокуса и уровня зрелости компании. Для воплощения принципов Zero Trust в жизнь, скорее всего, не обойтись без модернизации инструментов управления доступом, сетевой безопасности, безопасности данных. Отдельно стоит обратить внимание, что принятие решения, исходя их текущего контекста, вероятно, потребует более интеллектуальных систем ИБ, таких как UEBA/NTBA».
[...]
Каковы основные шаги и ключевые факторы успешного внедрения модели Zero Trust в организацию?
Дмитрий Пудов посоветовал в этом случае ориентироваться на рекомендации Forrester, которые ввели термин Zero Trust в 2010 году. В частности, для построения подробной дорожной карты они рекомендуют установить зрелость Zero Trust, определить текущие бизнес-инициативы и существующие возможности безопасности, а также желаемое состояние зрелости и временные рамки для ее достижения.
«Детальную дорожную карту предлагается разрабатывать с горизонтом двух-трех лет. За это время важно учитывать стратегию развития организации и ее подразделений. Подобные изменения с большой вероятностью потребуют пересмотра стратегии ИБ организации. Таким образом, поддержка руководства компании — один из ключевых факторов успеха программы внедрения Zero Trust, как и наличие соответствующих ресурсов. Forrester считает, что перемещение с 0 на 5 уровень зрелости может занимать до десяти лет», — отметил генеральный директор NGR Softlab.
[...]
Как применять моделирование угроз, учитывая принципы модели Zero Trust?
[...]
Дмитрий Пудов уверен, что ответственность за реализацию должен брать на себя CISO/CSO или руководитель профильного подразделения.
Как лучше строить модель Zero Trust: самостоятельно или с привлечением подрядчика? Напишите плюсы и минусы обоих подходов
По словам Дмитрия Пудова, традиционно ответ на этот вопрос зависит от ряда параметров: наличия собственной экспертизы, достаточных ресурсов и сроков реализации.
«Если организация привлечет экспертного подрядчика, имеющего опыт реализации подобных проектов, скорее всего, удастся избежать проблем архитектурного и ресурсного характера. Минусы очевидны: носители экспертизы уйдут после реализации проекта, и организация может столкнуться со сложностями в поддержке и развитии своей архитектуры Zero Trust. В силу длительности подобных проектов стоит обращаться к подрядчикам, на которых вы можете положиться в долгосрочной перспективе», — ответил на вопрос генеральный директор NGR Softlab.
Подробнее на сайте издания по ссылке.