Перейти к содержанию

Концепция Zero Trust: не доверяй — всегда проверяй


Рекомендуемые сообщения

В последние годы среди организаций набирает популярность концепция «нулевого доверия» (Zero Trust). По данным за 2019 год, 78% ИБ-отделов уже реализовали ее или планировали на нее перейти. Разбираемся, что это за концепция и чем она привлекательна для бизнеса.

Периметра больше нет

Традиционно при защите инфраструктуры компании оперируют понятием «защита периметра». Этот принцип предполагает тщательную проверку всего, что пытается подключиться к ресурсам компании извне. При этом внутри периметра (то есть в корпоративной сети) образуется доверенная зона, в которой пользователи, устройства и приложения обладают определенной свободой действий.

Пока доверенная зона ограничивалась локальной сетью и подключенными к ней стационарными устройствами, защита периметра была эффективной. Однако с ростом количества мобильных гаджетов и облачных сервисов, которыми пользуются организации и их сотрудники, понятие периметра размылось. У большинства современных компаний по меньшей мере часть корпоративных ресурсов расположена за пределами офиса, а то и страны. Соответственно, спрятать их за одной большой стеной практически невозможно. А вот проникнуть внутрь доверенной зоны и беспрепятственно перемещаться по ней стало значительно проще.

Поэтому в 2010 году аналитик проекта Forrester Research Джон Киндерваг (John Kindervag) выдвинул концепцию «нулевого доверия» как альтернативу «защите периметра». Он предложил отказаться от разделения ресурсов на внешние и внутренние. Концепция Zero Trust — это по сути полное отсутствие каких-либо доверенных зон. В рамках этой модели пользователи, устройства и приложения подлежат проверке каждый раз, когда требуют доступ к какому-либо корпоративному ресурсу.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      В этом году исполняется 15 лет первому руководству по внедрению Zero Trust в организациях, и почти две трети крупных компаний в той или иной мере внедрили эту концепцию безопасности. Правда, в 58% случаев этот переход далек от завершения и Zero Trust покрывает менее половины инфраструктуры. В большинстве организаций пока пилотируют технологические решения и строят элементы необходимой инфраструктуры. Чтобы оказаться в «продвинутом меньшинстве», нужно планировать переход к Zero Trust, понимая, каких преград и трудностей стоит ожидать, а главное, как их преодолеть.
      Руководства по Zero Trust
      Zero Trust — это архитектура безопасности, в которой все соединения, устройства и приложения считаются недоверенными и потенциально скомпрометированными, даже если они принадлежат к внутренней инфраструктуре организации. Решения Zero Trust воплощают непрерывную адаптивную защиту и проверяют каждое соединение или транзакцию заново с учетом возможно изменившегося контекста безопасности. Это позволяет компаниям развивать ИБ в реалиях гибридных облачных инфраструктур и удаленной работы.
      Кроме самых старых и известных руководств, таких как первый обзор Forrester и BeyondCorp от Google, компоненты Zero Trust детально описаны в NIST SP 800-207, Zero Trust Architecture, а в отдельном руководстве NIST SP 1800-35B даны рекомендации по внедрению. Есть руководства, проецирующие конкретные меры и инструменты ИБ на методологию Zero Trust, например CIS Controls v8. У CISA есть удобная модель зрелости, правда, оптимизированная для государственных учреждений.
      На практике внедрение Zero Trust редко идет «по учебнику» и многие CISO вынуждены объединять рекомендации из этих методических документов с руководствами своих ключевых ИТ-поставщиков (например, Microsoft), расставляя приоритеты и выбирая необходимые меры по ситуации.
      Также все руководства лаконичны и дипломатичны в описании сложностей, которые приходится преодолевать при внедрении.
       
      View the full article
    • sputnikk
      Автор sputnikk
      Продают Смартфон Xiaomi Redmi Note 10 5G 128/128GB, серебристый за 3599 с процессором от iPhone 11😂
       https://www.ozon.ru/product/smartfon-xiaomi-redmi-note-10-5g-128-128gb-serebristyy-344737255/?sh=aWkYEZxa 
      Ссылка не постоянная, поэтому прилагаю скрин. Раньше считал Озон серьёзным магазином
       

    • KL FC Bot
      Автор KL FC Bot
      Традиционная модель безопасности сети с защищенным периметром и зашифрованными каналами внешнего доступа внутрь периметра трещит по швам. Облачные сервисы и удаленная работа поставили саму концепцию «периметра» под сомнение, а основной способ доступа в периметр — через VPN — за последние годы стал излюбленным вектором атак злоумышленников. Многие «громкие» взломы начались с эксплуатации дефектов в VPN-решениях: CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893 в Ivanti Connect Secure, CVE-2023-4966 в решениях Citrix. Скомпрометировав VPN-сервер, который обязан быть доступен через Интернет, злоумышленники получают привилегированный доступ к внутренней сети предприятия и широкие возможности по скрытному развитию атаки.
      Серверные и корпоративные приложения часто настроены таким образом, что доверяют и доступны всем хостам в интрасети, поэтому в них проще находить и эксплуатировать новые уязвимости, извлекать, шифровать или уничтожать важные данные.
      VPN-доступ часто предоставляют и подрядчикам организации. Если подрядчик нарушает требования ИБ, а доступ по VPN выдан стандартный, с широкими правами в сети организации, то компрометация подрядчика позволяет атакующим проникнуть в сеть компании и получить доступ к информации, пользуясь аккаунтами и правами подрядчика. При этом их деятельность может остаться незамеченной долгое время.
      Радикальное решение этих проблем сетевой безопасности требует нового подхода к ее организации. В рамках этого подхода каждое сетевое соединение детально анализируется, проверяются реквизиты и права доступа у его участников, и доступ запрещается всем, кто явно не указан как имеющий право на работу с конкретным ресурсом. Этот подход применим как к сервисам во внутренней сети, так и к публичным и облачным сервисам. Недавно агентства по киберзащите США, Канады и Новой Зеландии выпустили совместную рекомендацию о том, как перейти на эту модель безопасности. Вот из каких инструментов и подходов она состоит.
      Zero Trust
      Модель Zero Trust создана для предотвращения несанкционированного доступа к данным и службам благодаря детальному, точному контролю доступа. Каждый запрос на доступ к ресурсу или микросервису отдельно анализируется, и решение принимается на основе ролевой модели доступа и принципа наименьших привилегий. Каждый пользователь, устройство, приложение должны регулярно проходить аутентификацию и авторизацию во время работы — разумеется, технические средства делают эти процессы незаметными для пользователя.
      Подробнее о Zero Trust и его воплощении мы писали в отдельном материале.
       
      View the full article
    • ***Leeloo***
      Автор ***Leeloo***
      Людям, планирующим приобрести подержанный смартфон, немаловажный совет проверять устройство по IMEI. 

      Не стоит пренебрегать мерами предосторожности при покупке телефона с рук, чтобы не столкнуться с мошенниками. 
      У каждого iPhone есть идентификатор из 15 цифр. Чаще всего он прописан в трех местах: на лотке сим-карты или внутри лотка на корпусе смартфона, на коробке, а также в меню «Об этом устройстве».
      Другим важным критерием при изучении смартфона, побывавшего в использовании, является сверка модели: F — официально восстановленный, N — смартфон меняли по программе сервисной гарантийной замены, P — персонализированный с гравировкой. В том случае, если в начале стоит буква M, а продавец убеждает в восстановлении гаджета, то был произведен несертифицированный ремонт.
      Эксперты предупредупреждают о ряде рисков при покупке подержанного смартфона. К таким факторам относится то, что продавец в дальнейшем может запросто заблокировать устройство через опцию «Найти iPhone» и потребовать еще деньги за включение.
    • KL FC Bot
      Автор KL FC Bot
      TikTok захватил мир несколько лет назад и до сих пор держит его в цепких руках. На игле коротких видео сидят все: от дошкольников до взрослых. Конечно же, такая популярность сервиса не могла быть проигнорирована хакерами.
      На этот раз стало известно об уязвимости zero-click в TikTok, с помощью которой злоумышленники сумели получить контроль над аккаунтами больших корпораций и популярных личностей. Пострадали, например, аккаунты CNN, Sony и Пэрис Хилтон.
      Что случилось
      Некоторые наивно полагают, что попасться на удочку хакеров можно, только перейдя по фишинговой ссылке или добровольно скачав вредоносное ПО. На самом деле это не всегда так: в истории со взломом TikTok жертвам оказалось достаточно открыть вредоносное личное сообщение, пришедшее в мессенджер в приложении, и все — аккаунт потерян. Это так называемая zero-click-атака, которую порой неверно называют «атакой нулевого клика» — ведь для нее никаких кликов как раз и не требуется. Чем могут быть опасны такие атаки, можно узнать здесь.
      О проблеме уже знают в TikTok, но официальные лица компании пока умалчивают о деталях. Неизвестно, сколько пользователей пострадали от атаки, как вообще стали возможны взломы аккаунтов не только рядовых пользователей, но и популярных блогеров. Есть вероятность, что атака затронула только топ-блогеров, а рядовые пользователи и не пострадали, — представители TikTok заявили, что помогают вернуть доступ к аккаунтам «в индивидуальном порядке», а атака затронула «крайне малое» количество пользователей.
       
      Посмотреть статью полностью.
×
×
  • Создать...