Model zerowego zaufania w SASE kluczem do ochrony biznesu
Zagrożenie cyberatakami jest dziś jednym z najpoważniejszych wyzwań stojących przed menedżerami zarządzającymi infrastrukturą IT w przedsiębiorstwach. A coraz bardziej wyrafinowane metody stosowane przez hakerów wymagają nowego podejścia do bezpieczeństwa.
CZEGO SIĘ DOWIESZ Z TEGO ARTYKUŁU:
|
Nowe modele sieci, przeniesienie aplikacji i danych do chmury, czy wreszcie praca zdalna i możliwość wykorzystywania prywatnych urządzeń do obowiązków służbowych – wszystko to sprawia, że cyberprzestępcy zyskali nowe miejsca i okazje do ataku. Coraz skuteczniej wykorzystują oni również psychologiczne triki zwiększające efektywność phishingu.
Podobnie sprawa wygląda również z innymi zagrożeniami. Choć ataki typu DDoS, czy ransomware są stosowane przez przestępców od dekad, ostatnie lata przyniosły gwałtowny wzrost zainteresowania hakerów tego typu działaniami. Szczególną popularność zdobyło ransomware, ponieważ – jak się okazało – jest to skuteczna metoda wymuszania okupów od organizacji chcących odzyskać swoje dane lub zapobiec ich wyciekowi w internecie. Od 2020 roku liczba ataków polegających na szyfrowaniu danych wzrosła o 500 proc. Próba ataku rejestrowana jest na świecie średnio co 14 sekund.
Według przewidywań zawartych w raporcie Cybersecurity Ventures, w 2024 roku ransomware spowoduje szkody wyceniane globalnie na 42 mld dolarów[i]. Zagrożenie nie polega zresztą tylko na szyfrowaniu danych i żądaniu okupu za ich zwrot. W połowie takich ataków dochodzi do wykradzenia firmowych informacji.
Każdy może być włamywaczem
Nowe wymagania dotyczące funkcjonowania sieci w połączeniu z rosnącym zagrożeniem sprawiły, że konieczne stało się wdrożenie zmodernizowanej metody kontroli dostępu. Tradycyjne systemy traktowały dowolny ruch wewnątrz firmowej sieci jako zaufany – po pojedynczym zalogowaniu każdy użytkownik miał dostęp do wszystkich zasobów. W przypadku wykradzenia haseł (co nie jest przecież tak trudne w przypadku słabo zabezpieczonych prywatnych urządzeń) cała sieć staje przed włamywaczem otworem. Tak właśnie stało się podczas słynnego ataku ransomware na Colonial Pipeline, w którym wykorzystano słabo zabezpieczoną sieć VPN[ii].
Rozwiązaniem tego problemu jest przyjęta w rozwiązaniach SASE (Secure Access Service Edge) filozofia zerowego zaufania – zero trust. W największym skrócie polega ona na wdrożeniu trzech podstawowych zasad: przyznawania poziomu dostępu w zależności od zweryfikowanej tożsamości i sprawdzania tej tożsamości za każdym razem przy przyznawaniu dostępu do zasobów; wykorzystaniu uwierzytelnienia wieloskładnikowego i wreszcie analizie behawioralnej użytkowników, czyli sprawowaniu ciągłego nadzoru nad ich poczynaniami. Więcej o tym modelu i ochronie instalacji SASE można przeczytać w materiale „Polityka zerowego zaufania, czyli bezpieczeństwo według SASE” w Strefie wiedzy.
Jakie zasoby przedsiębiorstwa powinny być chronione w ramach filozofii zerowego zaufania? Wbrew pozorom nie chodzi tylko o sieć, ale również o urządzenia końcowe, użytkowników i wreszcie wrażliwe informacje. Takie podejście pozwala na precyzyjne określenie, które zasoby zostały skutecznie zaatakowane, a następnie odizolowanie ich od reszty infrastruktury. Taka mikrosegmentacja to jedna z podstawowych koncepcji zerowego zaufania. Polega na ograniczeniu dostępu do aplikacji i zasobów, aby atakujący, któremu udało się złamać zabezpieczenia w jednym miejscu, nie mógł wyrządzić szkód w innym.
Jak się bronić?
Oparte na zerowym zaufania wdrożenia SASE pozwalają jednak skutecznie odpierać większość prób włamań i ataków. Co jednak najistotniejsze: trudności w przezwyciężeniu systemów zabezpieczeń firmy sprawią, że atak stanie się dla przestępców nieopłacalny. W takim przypadku wybiorą oni inny, łatwiejszy cel.
Spójrzmy na konkretne przykłady. Często wykorzystywany przez hakerów spear phishing w przypadku stosowania procedur zero trust okaże się nieskuteczny. W przypadku fałszywych linków przesłanych w poczcie e-mail system SASE nie pozwoli na przekierowanie przeglądarki na stronę służącą do wykradania loginów i haseł. Mało tego – nawet jeśli przestępcom uda się zdobyć hasła, dostęp do chronionych zasobów będzie wymagał kolejnych weryfikacji tożsamości – i to w modelu wieloskładniowego uwierzytelnienia.
Analiza ruchu sieciowego i zachowań użytkowników jest wykorzystywana również do ochrony przed ransomware – zagrożeniu numer jeden dla większości organizacji. SASE pozwala wykryć ruch pochodzący ze stron wpisanych na „czarną listę”. Co więcej, analiza oparta na uczeniu maszynowym i sztucznej inteligencji umożliwia wykrycie prób wykorzystania podatności typu zero day, a także polimorficznego złośliwego oprogramowania. Rozwiązanie takie jak broker bezpieczeństwa dostępu do chmury (CASB, Cloud Access Security Broker) uniemożliwiają zaś atakującym przechwycenie danych na linii organizacja – chmura.
Ten sam mechanizm w połączeniu z firewallem (FWaaS) jest w stanie ochronić organizację przed skutkami ataków typu DDoS – wykrywając niepożądany ruch przychodzący i blokując go, zanim trafi do firmowych serwerów.
Długa droga do bezpieczeństwa
Wszystko to sprawia, że wdrożenie modelu zerowego zaufania jest dziś centralnym elementem budowy bezpiecznych systemów dla większości specjalistów IT. Z badania Cloud Security Alliance wynika, że 80 proc. menedżerów uważa implementację zero trust za priorytet, a 77 proc. zwiększyło swoje budżety właśnie z myślą o odpowiednich zmianach w swoich zespołach[iii].
Koncepcja zerowego zaufania – filar rozwiązań SASE bazujących na sieciach SD-WAN – jest jednak niełatwa do wdrożenia. Firma Gartner przewiduje, że na początku 2023 roku zaledwie 1 proc. przedsiębiorstw dysponowało działającym i w pełni rozwiniętym programem zerowego zaufania. Do 2026 roku zaledwie co dziesiąta duża organizacja zdąży uruchomić model zero trust[iv].
Co z tego wynika dla tych, którzy będą się ociągać? Aż 78 proc. menedżerów IT ankietowanych przez Trend Micro Research uważa, że w ciągu najbliższego roku padnie ofiarą cyberataku. Jedna trzecia w ciągu minionego roku doświadczyła siedmiu udanych włamań do ich systemów[v].
Podsumowanie
Problem ochrony najważniejszych danych i zabezpieczenia się przed atakami cyberprzestępców dotyczy wszystkich firm – zarówno tych największych, międzynarodowych, jak i małych, działających na lokalnym rynku. Dla większości organizacji kwestia odparcia ataku, to nie pytanie „czy”, ale „kiedy”. Szkody wyrządzone podczas operacji ransomware, DDoS, czy będące skutkiem spear phishingu mogą być ogromne i zachwiać pozycją przedsiębiorstwa. Oto najważniejsze wnioski:
- Nowy sposób organizacji pracy i nowe rozwiązania sieciowe wymagają zmiany praktyk dotyczących bezpieczeństwa.
- Najczęściej obecnie przyjmowanym rozwiązaniem zapewniającym ochronę 360 stopni bez utraty elastyczności działania jest model SASE, którego centralnym założeniem jest filozofia zerowego zaufania.
- Na koncepcję zero trust składa się kilka elementów – wdrożenie tylko części z nich nie przyniesie spodziewanego rezultatu.
- Wdrożenie zerowego zaufania przez organizację wymaga inwestycji w technologię, ale również przygotowania do tego wszystkich pracowników.
[i] https://www.zscaler.com/resources/ebooks/zero-trust-against-ransomware.pdf
[ii] https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack
[iii] https://cloudsecurityalliance.org/artifacts/ciso-perspectives-and-progress-in-deploying-zero-trust/
[iv] https://www.gartner.com/en/newsroom/press-releases/2023-01-23-gartner-predicts-10-percent-of-large-enterprises-will-have-a-mature-and-measurable-zero-trust-program-in-place-by-2026
[v] https://www.trendmicro.com/en_us/security-intelligence/breaking-news/cyber-risk-index.html
Data publikacji: 30.06.2023