Cyberbezpieczeństwo
Z czego wynika konieczność wdrożenia Zero Trust?
Najnowszy raport ENISA pokazuje, że cyberprzestępczość stanowi i będzie stanowiła ogromny problem społeczny i gospodarczy.
Artykuł sponsorowany
Zdaniem Johna Roese’a, globalnego dyrektora ds. technologii w Dell Technologies, wyjściem z sytuacji może być model Zero Trust: - To właściwa odpowiedź na pytanie, jak zmienić krzywą cyberprzestępczości, więc spodziewamy się, że zasady i wymagania dotyczące stosowania modelu Zero Trust będą się upowszechniać na całym świecie – komentuje.
ENISA Threat Landscape 2023: najważniejsze wnioski
Według raportu ENISA Threat Landscape 2023, w latach 2022-2023 nastąpił znaczny wzrost cyberataków, wśród głównych kategorii pojawiają się ransomware, malware, inżynieria społeczna, zagrożenia dla danych, ataki typu Denial of Service (DoS), zagrożenia internetowe, manipulacja informacjami oraz ataki na łańcuch dostaw. W tym czasie największym zagrożeniem okazały się DDoS i ransomware, a na kolejnych miejscach znalazły się inżynieria społeczna, zagrożenia danych, manipulacja informacjami, ataki na łańcuch dostaw i malware.
Raport wskazuje na coraz wyższą jakość programów „as-a-Service” używanych przez cyberprzestępców, którzy stosują nowe taktyki i metody infiltracji. Najczęściej atakowanym sektorem okazała się administracja publiczna (19 proc.), a za nią indywidualne cele (11 proc.), sektor zdrowia (8 proc.), infrastruktura cyfrowa (7 proc.) oraz sektory produkcyjny, finansowy i transportowy. Warto zauważyć, że manipulacja informacjami stała się ważnym elementem w kontekście konfliktu Rosji z Ukrainą.
W 2023 roku nastąpił również wzrost ataków inżynierii społecznej, często wykorzystujących sztuczną inteligencję (AI), z phishingiem jako głównym wektorem ataku. Grupy ze związkami państwowymi coraz częściej wykorzystują narzędzia o podwójnym zastosowaniu i trojanizują znane pakiety oprogramowania, skupiając się na atakach na infrastruktury chmurowe i szantażach.
Liczba wektorów potencjalnych cyberataków wciąż rośnie. Właśnie dlatego podejście do tematu bezpieczeństwa ulega fundamentalnym zmianom i na znaczeniu zyskuje model Zero Trust. Składają się na niego różne komponenty, najważniejsza jest jednak zasada każdorazowej autoryzacji użytkowników.
Czytaj też
Czym jest Zero Trust według agencji rządowych? Podobieństwa i różnice
Podejmują próbę zdefiniowania, czym jest Zero Trust, warto powołać się na definicje podawane przez trzy amerykańskie agencje rządowe: Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowy Instytut Standardów i Technologii (NIST) oraz oczywiście DoD, czyli Departament Obrony.
Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) rozumie Zero Trust jako strategię ograniczania ryzyka poprzez dokładną i restrykcyjną kontrolę dostępu. Ten model koncentruje się na zapobieganiu nieautoryzowanemu dostępowi, stosując szczegółowe zabezpieczenia, które są dynamicznie dostosowywane. Zero Trust zakłada, że każde środowisko może być zagrożone, dlatego zamiast polegać na ochronie bazującej na lokalizacji, stosuje precyzyjne mechanizmy bezpieczeństwa bezpośrednio przy danych i usługach. CISA wskazuje na konieczność ciągłego ulepszania tych metod ochrony. Model Zero Trust - według CISA - obejmuje pięć filarów (tożsamość, urządzenie, sieć/środowisko, obciążenie aplikacji i dane) oraz trzy przekrojowe możliwości (widoczność i analiza, automatyzacja i orkiestracja oraz zarządzanie), zapewniając organizacjom ramy do stopniowego przechodzenia w kierunku bardziej zoptymalizowanego środowiska zerowego zaufania.
National Institute of Standards and Technology (NIST) definiuje Zero Trust jako zestaw paradygmatów cyberbezpieczeństwa skoncentrowanych na rozszerzeniu obrony, przeniesieniu punktu ciężkości z wyłącznie statycznych, opartych na sieci perymetrów, na skupienie się w równie wysokim stopniu na użytkownikach, danych i zasobach. Zakłada on, że nie może istnieć domyślne zaufanie oparte wyłącznie na fizycznej lub sieciowej lokalizacji, bądź na własności zasobów. Ważną rolę odgrywają: dynamiczna kontrola dostępu oparta na polityce wewnętrznej, ciągłe monitorowanie stanu bezpieczeństwa wszystkich zasobów oraz aktualizowane na bieżąco i ścisłe egzekwowanie uwierzytelniania i autoryzacji przed zezwoleniem na dostęp.
Najbardziej restrykcyjnym podejściem wykazuje się Departament Obrony (DoD). Koncentruje się głównie na konsekwencjach bezpieczeństwa dla obrony narodowej i operacji wojskowych, ale zwraca także uwagę na kluczową infrastrukturę. Wdrożenie Zero Trust przez DoD z konieczności musi być bardziej rygorystyczne, biorąc pod uwagę charakter informacji i systemów, które chronią.
Podejście do Zero Trust wszystkich tych instytucji ma wspólne mianowniki, przede wszystkim zasadę „nigdy nie ufaj, zawsze weryfikuj” czy znaczenie ciągłego monitorowania i walidacji.
Różnice polegają głównie na zastosowaniu i obszarach zainteresowania tych zasad. CISA zapewnia bardziej ustrukturyzowany model dojrzałości dla organizacji, NIST oferuje bardziej koncepcyjne ramy z naciskiem na standardy i najlepsze praktyki, podczas gdy podejście DoD musi być dostosowane do potrzeb obrony narodowej – stąd spełnienie wszystkich wymogów DoD to najwyżej zawieszona poprzeczka.
Czytaj też
Projekt Fort Zero, czyli Zero Trust w praktyce
Fort Zero to kolejny etap projektu realizowanego przez Dell Technologies, przyspieszającego wdrożenie podejścia Zero Trust. Ma na celu zapewnienie kompleksowego, sprawdzonego i zweryfikowanego rozwiązania Zero Trust, by minimalizować ryzyko cyberataków.
W pełni skonfigurowane rozwiązanie w ramach Projektu Fort Zero obniży barierę przystąpienia do wdrażania podejścia Zero Trust. Dell Technologies podejmie się integracji i koordynacji rozwiązań i technologii, co zazwyczaj jest zadaniem przedsiębiorstw, współpracujących z szeregiem dostawców. Dzięki temu ujednoliceniu oraz zastosowaniu chmury prywatnej czas wdrożenia zaawansowanego podejścia Zero Trust zostanie skrócony.
To kompleksowe rozwiązanie ma pomóc organizacjom publicznym i prywatnym w dostosowaniu się i reagowaniu na zagrożenia z zakresu cyberbezpieczeństwa, oferując przy tym najwyższy poziom ochrony.
Projekt Fort Zero można wdrażać w:
- lokalnych centrach danych przedsiębiorstw, dla których bezpieczeństwo danych i zgodność mają kluczowe znaczenie;
- odległych albo regionalnych placówkach, takich jak sklepy detaliczne, w których bezpieczna analiza danych klientów w czasie rzeczywistym może zapewnić przewagę konkurencyjną;
- terenie, gdzie tymczasowe wdrożenie jest niezbędne w miejscach z brakiem ciągłej łączności, takich jak samoloty albo pojazdy, w celu zapewnienia ciągłości operacyjnej.
Przedsiębiorstwa zwracają się ku podejściu Zero Trust, aby zmodernizować swoje programy cyberbezpieczeństwa i dotrzymywać kroku zmianom w zakresie ataków, na jakie są wystawione. Jednak określenie od czego zacząć, priorytetowych możliwości oraz działań niezbędnych do dążenia ku dojrzałości może być złożone.
Liderzy ds. bezpieczeństwa oraz IT potrzebują pomocy w planowaniu swoich strategii oraz wdrażaniu narzędzi, które będą je wspierać. Projekt Fort Zero może pomóc przyspieszyć ten proces, oferując powtarzalny schemat kompleksowego rozwiązania opartego o zwalidowaną architekturę referencyjną, uznawaną na całym świecie.