Подкаст Семёна Жейда для портала «Код ИБ»

Справочная информация: в конце ноября 2021 г. состоялся эфир «Код ИБ. Безопасная среда», тема показала свою востребованность, со стороны заказчиков есть понимание, что в формате, когда периметр размыт, его сложно контролировать, именно концепция zero trust (или нулевое доверие к рабочим местам) оказывается, своего рода, выходом из положения. Именно об этом говорили Код ИБ с руководителем направления информационной безопасности компании “ИТ-Экспертиза” Семёном Жейда.

Часть 1. Концепция Zero Trust

Код ИБ: Что такое Zero Trust? Поясните для тех, кто не знает, что это.

СЖ: На Западе об этой концепции говорят достаточно давно, в России начали использовать лет пять назад, но это были больше теоретические рассуждения, чем попытки практического применения. С приходом пандемии (в 2020 г.) zero trust (сама концепция нулевого доверия) и Zero Trust Network Access (сетевой доступ c нулевым доверием) как технология помогает справляться с угрозами и выстраивать безопасную инфраструктуру в рамках распределённых информационных ландшафтов.

Это концепция, при которой владелец информации не доверяет никому и ничему и должны проверять любое устройство и процесс, которые получают доступ к информации. Истории возникновения этой концепции разные, но в открытых источниках первое упоминание было зафиксировано в 1994 году в США как теоретическая концепция, которая применяла понятие «доверие» в человеческом понимании к информационным системам и информационной безопасности. Если можно определить критерии, по которым можно доверять людям, значит, возможно определить критерии, по которым мы доверяем устройствам и процессам. В начале 2000-х годов эта концепция перешла из чисто теоретической в практическую плоскость. На конференции в 2004 году было введено понятие «периметризация», то есть распределение как пользователей и устройств, так и систем в определённом периметре или вне его. Все пользователи и устройства внутри периметра – по умолчанию доверенные (проверенные). Например, человек вошёл по пропуску, затем ввёл логин и пароль от своего компьютера – значит, это довернный пользователь.

С введением таких понятий как распределённая инфраструктура и удалённый пользователь, тема периметра стала переосмысливаться. Впервые формулировка zero trust появляется в 2010 году, когда её применил аналитик агентства Forrester Research. Это понятие было, в первую очередь, связано с тем, чтобы весь сетевой трафик признать недоверенным (по умолчанию не доверяем), и при любом подключении, при любой попытке доступа нужно проверять источник доступа и сам трафик, и только после проверки предоставлять доступ к нужным ресурсам и компонентам. Любой запрос должен быть безопасен.     

Код ИБ: Кто начал активно применять эту концепцию?

СЖ: Первые практические применения этой истории возникли в Google. В 2010-х годах были масштабные атаки китайских хакеров на американские ресурсы, так называемая «операция «Аврора». Это был и фишинг, и трояны, и уязвимости zero day, с помощью которых были атакованы многие компании, Google был одной из основных целей атак. Главное, чем воспользовались – компрометация учётных данных пользователей. Компрометация одной учётной записи приводит к тому, что можно получить доступ ко многим внутренним ресурсам. Злоумышленники могли получить и исходные коды, и много чего интересного. Нужно было каким-то образом централизованно и универсально защищать доступ к данным – если злоумышленник получал доступ к одному ресурсу, он не должен был получить доступ ко множеству этих ресурсов. Google выпустил свой фреймворк. Основные его идеи: 1) отказ от VPN, любой доступ из любой сети проверяется одинаково, 2) доступ ограничивается тем, что мы знаем о пользователе и его окружении: если устройство и данные пользователя проверены, то он получает полный доступ, если проверен пользователь, но скомпрометировано устройство – это другой уровень доступа и так далее, 3) доступ должен быть аутентифицирован, авторизован и зашифрован. После этого американский Институт стандартов и технологий выпустил стандарт Zero Trust. Сейчас этим стандартом руководствуются более 20 вендоров (такие как Amazon, Palo Alto, CISCO и другие).

Код ИБ: А как с этим обстоят дела в российских компаниях?

СЖ: В России подход немного другой. Если в США упомянутые вендоры уже давно и много работают с «облаками», с распределённой инфраструктурой, т.е. системы могут располагаться в разных местах, то в России все системы, как правило, находятся on-premise. У нас тоже есть примеры перехода в «облака» и этот тренд является нарастающим, но чаще всего это частные «облака» и это касается только данных. Если же говорить о системах безопасности, то в России «облачных» систем ИБ вы практически не найдёте. Поэтому, если западный подход больше про защиту распределённых ресурсов и управление доступом к таким ресурсам, то в России это подход к распределённым пользователям. Наверное, основное отличие в этом.

Продолжение следует…



Репост

Свяжитесь с нами

119435 г. Москва, ул. Малая Пироговская, 16
Контакты
Нажимая на кнопку "Связаться с нами", вы даете согласие на обработку персональных данных. Подробнее об обработке данных читайте в Политике
Связаться с нами

Заполните форму ниже и наши специалисты свяжутся с вами в ближайшее время

Удобное время для звонка
  • 10:00 - 12:00
  • 12:00 - 14:00
  • 14:00 - 16:00
  • 16:00 - 18:00
  • 18:00 - 19:00
Время московское
Отвечаем с понедельника по пятницу
Нажимая на кнопку "Связаться с нами", вы даете согласие на обработку персональных данных. Подробнее об обработке данных читайте в Политике