Тема цифровой безопасности пестрит многочисленными терминами. Некоторые на слуху: VPN, маршрутизатор, фишинг. Другие встречаются реже. Слышали словосочетание Zero Trust? Теплица рассказывает, что это и насколько Zero Trust может быть полезно в смысле безопасности.
Доверяем по умолчанию
В английском языке существует понятие implicit trust — доверие, которое подразумевается по умолчанию. Его легко наблюдать во взаимоотношениях между людьми.
Так пациент доверяет своему врачу, а пассажир такси – водителю. Мы полагаем, что повар в ресторане умелый, опытный и ответственный. А значит, нам не придется остаток недели провести, держась за ручку сортира. Мы верим, что лифт не рухнет в шахту, если нажать на кнопку первого этажа. Конечно, лифты иногда ломаются, но мы верим, что специалисты (чьих профессий и, тем более, имен мы не знаем) следят за исправностью всех механизмов.
Разумеется, бывают другие, печальные примеры доверия по умолчанию. Люди сплошь и рядом верят ужасным пропагандистским телешоу, ведь «по телевизору не станут врать». Случается, что подозреваемый передает свою судьбу в руки нечистоплотного адвоката по назначению, который играет в одной команде с прокурором и судьей.
Можно сказать, что мы живем в мире презумпции доверия. Она распространяется на информационные технологии. Запуская программу-антивирус, мы рассчитываем, что программа не подселит к нам на компьютер парочку свежих вирусов.
При этом мы часто действуем по принципу «доверяй, но проверяй». Если у вас заболели зубы, вы вряд ли побежите с этой проблемой в первый попавшийся медпункт. Скорее, вы поспрашиваете друзей и знакомых контакты хорошего стоматолога.
Словарь Collins усиливает акцент: implicit trust — безусловное доверие. С таким смыслом эту фразу часто используют в разговорах и публикациях. «Покупка квартиры дело непростое, а деньги большие. Вы доверяете своему риэлтору?» – «Полностью. Он из солидной компании, я уже работал с ним раньше».
Внутри защищенного периметра
Представьте защищенную структуру (сеть, проект, устройство, сервис), для подключения к которой требуется аутентификация. Простым примером может служить локальная сеть организации. Люди, которые успешно прошли аутентификацию и вошли в сеть, считаются «своими». (Доверяй, но проверяй). Доверия заслуживают также компоненты сети, например, компьютеры. Если мы входим в сеть организации, то по умолчанию доверяем включенным в эту сеть компьютерам.
При этом верификация необязательно происходит при каждом подключении к защищенной системе. Классический пример: пользователь вводит пароль (а если надо, то и второй фактор для аутентификации) лишь в первый раз. Система предлагает отметить устройство как доверенное. Пользователь соглашается, ведь это удобно. В последующие дни ему не придется снова вводить пароль и второй фактор.
Однако наши коммуникации сегодня далеки от образа одинокой маленькой защищенной локальной сети. Вспомните, сколько разных мессенджеров у вас на смартфоне. Мы используем десятки и сотни аккаунтов. Контактируем с множеством людей. Из-за пандемии объем онлайнового общения неимоверно вырос. Этому росту способствовали удаленные подключения, перенос работы с локальных компьютеров в облачные сервисы и онлайн-мероприятия. Попробуйте сосчитать вебинары и прочие интернет-встречи, в которых вы участвовали за последние пару лет. Что из этого находилось внутри защищенного периметра? Вероятно, не так уж много.
Принцип нулевого доверия
Если переводить с английского буквально, Zero Trust — модель нулевого доверия. Фактически это означает отказ от идеи защищенного периметра. Никто не получает доверие автоматически. Никто не получает его надолго после однократной аутентификации. Каждый, кто находится вне периметра или внутри него, для доступа к важной информации должен быть верифицирован.
Нулевое доверие, в частности, помогает с инсайдерскими рисками. В классической модели человек или устройство, которого знают, к которому привыкли, без лишних трудов обретает доверие. Но и люди, и устройства, и угрозы меняются со временем. Того, кому годами доверяла вся команда, переманивает на свою сторону злодей. Человек становится фактором риска. Программа, которую организация использовала без всяких сомнений, вдруг получает от разработчика обновление с критической уязвимостью. Бывает и такое. Обновление устанавливается автоматически, результат — утечка данных.
В модели Zero Trust требуются проверки. Те ли это люди/устройства? Верные ли у них права доступа? Соответствуют ли они меняющемуся контексту? И так всякий раз, когда человек/устройство хочет получить доступ к ресурсу.
Упрощенный пример Zero Trust в жизни — защищенная комната внутри офиса. Конечно, на входе в здание налажен контроль всех работников и посетителей. Но доступ в эту комнату все равно требует индивидуальной аутентификации — специальной карточки, отпечатка пальца и т.д. Права доступа нужно подтверждать всякий раз, когда человек хочет войти в комнату.
Достоинства и недостатки Zero Trust
Главным плюсом Zero Trust является повышение уровня безопасности по сравнению с традиционным подходом, основанном на доверии внутри защищенного периметра. Снижаются риски от инсайдеров, угрозы, связанные с кражей логинов и паролей. Модель Zero Trust формирует культуру активного и непрекращающегося контроля уровня безопасности.
У Zero Trust есть несколько особенностей (хотя список не исчерпывающий):
- постоянный мониторинг доступа к ресурсам;
- принцип наименьших прав по умолчанию;
- проверки и пользователей, и устройств;
- мультифакторная аутентификация;
- микросегментация (разделение всей структуры, сети на небольшие зоны с контролем доступа в каждую зону).
Но ведь подобное требует дополнительных затрат? Да. К примеру, в корпоративной среде для подключения компьютера к сети организации может понадобиться установка на компьютер дополнительного программного обеспечения. Программа будет проверять, насколько устройство безопасно. В частности, обновлены ли операционная система и основные приложения. Важно не только верифицировать устройство, но и убедиться, что оно не несет угрозы. Однако установка «проверяльщиков» на устройства пользователей может вызвать проблемы. С одной стороны, это вопросы технической совместимости. С другой — психологический фактор. Мало кто приходит в восторг от того, что на его компьютер или смартфон (особенно личный) устанавливают корпоративного «смотрящего». Необходимость то и дело проходить аутентификацию тоже может вызывать раздражение.
Внедрение философии Zero Trust может застопориться из-за того, что организация использует традиционные сервисы, которые лишены даже двухфакторной аутентификации, не говоря уже об остальном. Чем больше текучка кадров, чем больше людей работает удаленно, тем сложнее внедрять Zero Trust.
Перспективы Zero Trust
Само понятие Zero Trust возникло сравнительно недавно. В апреле 1994 года его впервые предложил и обосновал в своей работе Стивен Марш (Stephen Marsh), ныне профессор Университета Онтарио. Но понадобилось время, чтобы специалисты по цифровой безопасности не только оценили новый подход, но и принялись его внедрять. О каком-то общем стандарте для Zero Trust заговорили лишь в 2018 году.
Cloudflare — сервис, который знает каждый мало-мальски уважающий себя администратор веб-сайта и «безопасник» — использует Zero Trust в своем сетевом продукте Cloud One. Концепцию нулевого доверия продвигают такие гиганты отрасли, как Microsoft и IBM. На рынке уже доступны десятки технических решений, которые способны помочь компаниям внедрять Zero Trust.
Хотя эксперты IT-отрасли демонстрируют энтузиазм, нам кажется, что речь, скорее, о корпоративной среде. Концепции нулевого доверия потребуется минимум несколько лет, чтобы найти свое место в сердцах руководителей НКО. Помимо общих трудностей, а также недостатка финансирования и компетентной техподдержки, внедрению Zero Trust в командах гражданских активистов будет препятствовать горизонтальный характер взаимоотношений. В ближайшие годы надежду следует возлагать на «цифровых чемпионов» — наиболее продвинутых в компьютерном смысле членов активистских команд. Они могут способствовать постепенному росту культуры уважения к безопасности. Вот некоторые практические советы этим людям.
- Предусматривать обязательную верификацию для доступа к самым важным ресурсам. (И прописывать это в политиках безопасности).
- Совершенствовать действующие механизмы аутентификации. Например, отключать функцию «запомнить пароль» и, напротив, включать опцию разлогинивания после определенного периода бездействия. Использовать двухфакторную аутентификацию везде, где можно (и не забывать о резервных кодах).
- Отказаться от выдачи максимальных или «усредненных» прав доступа по умолчанию. Например, если человек впервые входит в корпоративный мультиканальный чат, это не значит, что он должен быть автоматически подписан на все каналы. Лучше, если таких «автоматических» каналов останется один-два, а допуск в другие каналы будет по запросу.
- Вести мониторинг прав доступа. Исключить ситуации, когда человек покидает команду, но по-прежнему может войти в панель управления сайтом (базу данных и т.п.). Не допускать, чтобы права доступа раздавали люди, которые не должны это делать. Например, при расшаривании Google-документа коллеге мы рекомендуем снимать первую галочку в опциях, которая позволяет коллеге, в свою очередь, расшаривать документ кому-то еще.
Эти меры будут полезны для безопасности сами по себе. Кроме того, они подготовят почву для постепенного внедрения концепции Zero Trust в будущем.