Wśród dominujących obecnie trendów bezpieczeństwa w sieci, prym wiedzie reguła „zero trust”, oznaczająca dosłownie brak zaufania do otoczenia. Jest to także jeden z kluczowych kierunków wskazanych w raporcie F5 State of Application Strategy 2022. Eksperci F5 wyjaśniają znaczenie polityki zerowego zaufania oraz wskazują trzy kluczowe założenia tej polityki.
W wydanym w kwietniu raporcie F5 State of Application Strategy 2022 eksperci F5 wskazali politykę zerowego zaufania, jako jeden z najczęściej omawianych trendów w obecnym roku. Co ciekawe, również dane z serwisu Google Trends, pokazują rosnące zainteresowanie tym zagadnieniem. Jednocześnie w raporcie F5 stwierdzono, że jest to temat szerzej niezrozumiały i traktowany bardzo wybiórczo. Zbyt często reguła „zero trust” utożsamiana jest bowiem z konkretną technologią, taką jak Software-Defined Perimeter (SDP – granica wyznaczona przez oprogramowanie), lub segmentem rynku, takim jak zarządzanie tożsamością i dostępem (IDAM – ang. identity and access management).
Jak właściwie rozumieć politykę zerowego zaufania?
Wraz z upowszechnieniem się chmur obliczeniowych (ang. cloud computing) obserwujemy zjawisko utożsamiania konkretnych technologii z szerszymi pojęciami. Tak jak w ekologii, mówi się o zjawisku greenwashingu, tak w cyberbezpieczeństwie możemy stworzyć pojęcie „cloudwashingu”. Nadużywanie określenia technologie chmurowe w stosunku do innych usług jest niestety dosyć powszechne, podobnie wygląda sytuacja z zasadą „zero trust”.
Podejście do bezpieczeństwa w zgodzie z regułą zerowego zaufania to w istocie sposób myślenia, z którego wyłaniają się techniki i taktyki wykorzystujące konkretne technologie. Jest to zatem pojęcie znacznie szersze, obejmujące cały zestaw założeń, a nie konkretne rozwiązanie czy usługa. Dlatego właśnie wdrożenie narzędzi takich jak SDP, czy zabezpieczenia API nie oznacza od razu przyjęcia pełnej zasady zerowego zaufania.
– Obecnie, nie istnieje żaden pojedynczy produkt, który zapewnia pełne zastosowanie reguły „zero trust”. Póki co, nie ma na rynku technologii, która z taką samą mocą ochroni system przez różnymi zagrożeniami, takimi jak ataki, naruszenia polityki bezpieczeństwa czy infiltracja zabezpieczeń. Prawdą jest, że zabezpieczenia SDP i API mogą posłużyć jako element polityki „zero trust”, jednak aby to osiągnąć należy przyjąć pewne podstawowe założenia, a następnie wybrać, odpowiednie narzędzia, które spełnią potrzeby danego środowiska – tłumaczy Lori MacVittie, Główny Inżynier Oprogramowania w F5.
Trzy kluczowe założenia dla reguły „zero trust”
Przejdźmy przez kilka przykładów, które, poprowadzą nas do wniosku, że ochrona przed botami oraz bezpieczeństwo stron internetowych i API są częścią większego zestawu narzędzi współtworzących politykę zerowego zaufania.
Podejście „zero trust” zakłada kompromis
W pełni uprawnieni użytkownicy, z autoryzowanym dostępem, mogą paść ofiarą ataku botowego i zostać wykorzystani przez cyberprzestępców. Atakujący rozumieją, że zwykle łatwiej jest wejść do systemu bokiem, czyli przez konto użytkownika, niż frontalnie zinfiltrować sieć korporacyjną. Użytkownicy stanowią najbardziej podatne na atak ogniwo systemu. Dlatego już na starcie tworzenia polityki zerowego zaufania należy przyjąć, że prędzej czy później pojawi się bezpośrednie zagrożenie właśnie z ich strony.
Zakres potencjalnych działań ze strony zainfekowanego przez cyberprzestępców laptopa firmowego lub telefonu komórkowego jest szeroki. Obejmuje m.in. inicjowanie ataków na strony internetowe i aplikacje, które próbują powstrzymać szkodliwe działanie, takie jak ataki malware, ransomware i whatever-comes-next-ware. Alternatywnie, za pomocą konta użytkownika, atakujący mogą próbować uzyskać dostęp do wrażliwych danych. Ponieważ interfejsy API coraz częściej umożliwiają aplikacjom mobilnym i internetowym dostęp do systemów korporacyjnych, ważne staje się sprawdzanie treści pochodzących nawet od legalnych, uwierzytelnionych użytkowników w celu ustalenia, czy nie są one złośliwe. To sprawia, że narzędzia zapewniające bezpieczeństwo środowiska web i interfejsów API stają się logicznym wyborem do wdrożenia w celu ochrony przed tym ryzykiem.
Samo poświadczenie nie wystarczy do zweryfikowania tożsamości
Podejście zerowego zaufania zakłada, że poświadczenia bezpieczeństwa nie są wystarczającymi narzędziami do obrony przed atakiem z zewnątrz. Niezależnie od tego, czy użytkownik jest człowiekiem, maszyną czy oprogramowaniem, reguła zerowego zaufania zakłada, że nawet jeśli zostaną przedstawione uzasadnione dane uwierzytelniające, rzeczywisty użytkownik może nie być uprawniony do pełnego dostępu.
– Nie zapominajmy, że masowe próby logowania za pomocą wykradzionych danych (ang. credential stuffing) to wciąż powszechnie stosowana metoda ataku na systemy korporacyjne. Każdego dnia, średnio milion loginów i haseł zostaje zgłoszonych jako wykradzione lub upublicznione. Nasza analiza wykazała, że 0,5%-2% rekordów z każdej naruszonej listy poświadczeń umożliwia zalogowanie się na docelowej stronie internetowej lub aplikacji mobilnej. Dlatego podejście „zero trust” powinno obejmować działania w celu weryfikacji nie tylko poświadczeń, ale samej tożsamości użytkownika – dodaje Lori MacVittie.
Weryfikacja tożsamości użytkowników obejmuje miedzy innymi wykrywanie botów, które podszywają się pod rzeczywiste osoby. Określenie właściwej tożsamości pozwala odróżnić nie tylko zachowania ludzi od algorytmów, ale także rozróżnić pożyteczne i szkodliwe boty. Dzięki temu odgrywa kluczową rolę w budowaniu podejścia zero zaufania.
Podejście „zero trust” zakłada, że zmiana jest stała
Reguła zerowego zaufania odrzuca założenie, że gdy użytkownik zostanie zweryfikowany, a dostęp do zasobu autoryzowany, nie ma żadnego ryzyka. Każda transakcja jest traktowana jako ryzykowna i oceniana w odniesieniu do treści, którą niesie i użytkownika, który ją wysyła. Ataki, w których haker próbuje uzyskać dostęp do istniejącej sesji użytkownika (ang. session hijacking) stanowią nadal wysoki współczynnik incydentów cyberbezpieczeństwa. Stała czujność jest (lub powinna być) mottem polityki „zero trust”, co oznacza ciągłe bycie na tropie złośliwych treści. To sprawia, że bezpieczeństwo sieci i API wraz z wykrywaniem botów jest krytycznym elementem podejścia zerowego zaufania.
Podsumowanie
Polityka „zero trust” uwzględnia stosowanie narzędzi, takich jak SDP, kontrola tożsamości, zapory sieciowe, CASB czy wiele innych. Jednak, wskazane technologie jedynie łagodzą znane nam zagrożenia. W podejściu zerowego zaufania należy zwrócić szczególną uwagę na systemowe wykrywanie i przechwytywanie zagrożeń. Odporność tylko na jeden rodzaj ataków sprawia, że polityka „zero trust” nie spełnia swoich założeń.
– Cyberochrona przed botami i innymi zagrożeniami jest działaniem wieloczynnikowym, które obejmuje szeroki wachlarz aktywności. Dlatego zastosowanie reguły zerowego zaufania powinno skutkować zbudowaniem kompleksowej odporności na cyberzagrożenia. Kluczowe znaczenie tutaj ma zmiana sposobu myślenia, tak żeby nie ograniczać się do ochrony tylko wybranych elementów systemu, tylko wdrożyć holistyczne rozwiązanie. Na tym właśnie polega reguła „zero trust” – dopowiada Ireneusz Wiśniewski, dyrektor zarządzający F5 w Polsce.
