7 ключей к оценке фреймворков безопасности с нулевым доверием

Источник · Перевод автора

Нулевое доверие как основа для защиты современных предприятий существует уже много лет, но вновь привлекает внимание с увеличением числа кибератак. Правительство Соединенных Штатов настаивает на внедрении нулевого доверия во всех своих агентствах, и все больше поставщиков присоединяются к уже набирающей популярность продукции с нулевым доверием.

Сочетание потребностей пользователей и ажиотажа со стороны поставщиков особенно затрудняет оценку систем нулевого доверия. Может ли данное решение с нулевым доверием выдержать тщательную проверку? Покупатели должны определить и протестировать беспристрастный, сбалансированный набор сложных критериев, прежде чем принимать решения о покупке.

Факторы, которые следует учитывать, включают масштабируемость, расширенное управление исправлениями и наименее привилегированный доступ, и это только начало. Поскольку автоматизированное обнаружение сетей и приложений на основе ИИ набирает обороты, покупатели должны быть готовы оценить эффективность программного обеспечения ИИ, что является непростой задачей.

Нулевое доверие встречает мега шумиху

Согласно недавнему опросу ThycoticCentrify, 77% организаций уже используют подход нулевого доверия в своей стратегии кибербезопасности. Для 42% респондентов «снижение киберугроз» было главным мотивом для принятия, за которым следовали более строгое соответствие (30%), сокращение злоупотреблений привилегированным доступом (14%), а также проверка и регистрация запросов трафика / доступа (также 14%).

По данным Gartner, интерес к нулевому доверию вырос более чем на 230% в 2020 году по сравнению с 2019 годом. От двадцати до тридцати новых поставщиков заявляют, что у них нет доверяющих продуктов или услуг каждый квартал, и на конференции RSA было объявлено не менее дюжины или более совершенно новых решений. Фактически, сегодня более 160 поставщиков предлагают решения с нулевым доверием. Но по мере того, как организации наращивают расходы на нулевое доверие, важно отделить шумиху от результатов.

12 мая президент Байден издал Указ о повышении кибербезопасности страны. Орден определяет нулевое доверие как архитектурный стандарт для федерального правительства, призывая Агентство кибербезопасности и безопасности инфраструктуры (CISA) модернизировать свои текущие и будущие возможности, программы и услуги кибербезопасности на основе облачных вычислений для поддержки архитектуры нулевого доверия.

Принятие многофакторной аутентификации (MFA), использование микросегментации и обеспечение наименее привилегированного доступа – вот основные составляющие архитектуры с нулевым доверием. Эти методы получат более широкое распространение на предприятиях, поскольку они упомянуты в указе.

По словам Наяки Найяра (Nayaki Nayyar), директора по продуктам и президента подразделения решений для управления услугами Ivanti, нулевое доверие – это не только архитектура и не только платформа и внедрение технологий.

«Это действительно образ мышления и культура, которые необходимы каждой организации не только для начала, но и для ускорения работы с учетом некоторых недавних проблем, с которыми все столкнулись», – сказала она недавно во время презентации о нулевом доверии на саммите Ivanti Solutions Summit 2021.

Очевидно, что углубленная оценка структуры является важной частью мышления, которое пользователи должны учитывать при построении своих стратегий и архитектур кибербезопасности. Следующие семь факторов помогают изолировать тех поставщиков кибербезопасности, которые сегодня могут обеспечить надежную архитектуру нулевого доверия.

Фактор 1: Масштабируемость

Насколько хорошо данное решение с нулевым доверием может масштабироваться от защиты малого и среднего бизнеса (SMB) до крупных предприятий, определяет, насколько хорошо его архитектура спроектирована для адаптации и гибкости к меняющимся потребностям организации. Проверенные на треке решения с нулевым доверием могут так же быстро защитить удаленный офис, региональный центр офисов или всю организацию. Однако часто упускается из виду обеспечение безопасности малых и средних предприятий, которые часто выступают в качестве независимых партнеров для крупных предприятий.

Чтобы узнать больше о том, как малые и средние предприятия могут реализовать архитектуру нулевого доверия, я поговорил с Чейзом Каннингемом (Chase Cunningham), директором по стратегии Ericom Software и бывшим криптологом ВМС на пенсии. Каннингем объяснил, что сегодня существуют значительные пробелы в сетевых рабочих пространствах предприятий малого и среднего бизнеса и среднего уровня – пробелы, которые трудно устранить из-за использования устаревших технологий на основе периметра.

Каннингем говорит, что для любого решения с нулевым доверием для масштабирования и защиты малых и средних предприятий с тем же уровнем безопасности, которого достигают предприятия, применение политик безопасности должно происходить на периферии, где взаимодействуют пользователи, устройства, приложения и рабочие нагрузки. Масштабируемость также означает, что система должна быть прозрачной для пользователей, чтобы пользователи могли сосредоточиться на своей работе, а не пытаться выяснить безопасность. Более того, система должна быть простой в активации, настройке политики, масштабировании и изменении по мере адаптации организации к новым обстоятельствам. Кроме того, для масштабируемости требуется полностью интегрированный бесплатный инструмент управления доступом к удостоверениям (IAM), который работает с любым поставщиком аутентификации.

Фактор 2: Подтвержденный послужной список

Чтобы преуспеть в предоставлении решения с нулевым доверием, поставщик кибербезопасности должен предоставить один или несколько способов получения аналитической информации и прозрачности в реальном времени по всем активам конечных точек, устройствам и хранилищам данных. Выявление и изоляция несанкционированных устройств также важны для защиты каждой конечной точки. Оценка потенциальных поставщиков с нулевым доверием по этому признаку быстро отделит тех, у кого сегодня есть активные программы НИОКР, и раздвинет пределы их машинного обучения, искусственного интеллекта и связанных с ними функций расширенной аналитики.

Еще одна причина, по которой это полезный тест, потому что невозможно подделать эту функцию на устаревшей платформе или приложении кибербезопасности, которые полагаются на междоменные или групповые элементы управления.

Поставщики с нулевым доверием, которые удваивают расходы на исследования и разработки, связанные с автоматизацией обнаружения сетей и оптимизацией рабочих процессов, задают быстрый темп инноваций. Ищите приложения и платформы с нулевым доверием на основе ИИ с отзывами клиентов в качестве хорошего критерия оценки. Лидерами в этой области являются Akamai, Forescout, Fortinet и Ivanti. Рабочие процессы автоматического обнаружения сети являются важным элементом платформ управления доступом к сети.

Наиболее продвинутые решения с нулевым доверием в этой области включают обнаружение аномалий аналитики поведения пользователей и объектов (UEBA, user and entity behavior analytics), интеграцию на основе предупреждений со сторонними сетями для обнаружения угроз OT и реагирования на них, профилирование без агентов и поддержку хостинга на общедоступных облачных платформах, в том числе Amazon AWS и Microsoft Azure. Из многих конкурентов в этой области рынка нулевого доверия платформа для гиперавтоматизации Ivanti Neurons демонстрирует потенциал для создания ценности для отчетности и сдерживания ИТ и операционных технологий (OT).

Фактор 3: Защита личности человека и машины

Согласно недавнему вебинару Forrester «Как защитить и управлять нечеловеческой идентичностью», идентификационные данные компьютеров (включая ботов, роботов и Интернет вещей) растут в два раза быстрее, чем человеческие удостоверения в корпоративных сетях. Согласно исследованию Venafi, количество атак на идентификацию машин выросло на 400% в период с 2018 по 2019 год, а в период с 2014 по 2019 год – более чем на 700%. Эти исследования и быстрый рост межмашинных атак за последние 18 месяцев делают защиту идентификационных данных компьютеров с помощью подход с наименьшими привилегиями необходим для любой организации.

Поставщики эталонных тестов, заявляющие, что предлагают нулевое доверие к идентификаторам машин, должны быть подтверждены клиентами, которые в настоящее время используют централизованную IAM на всех машинах. В идеале, каждый клиент должен иметь IAM и управление привилегированным доступом (PAM) на уровне машины.

Финансовые услуги, логистика, цепочки поставок и производственные компании, которые полагаются на мониторинг в реальном времени как основную часть своей повседневной работы, должны уделять приоритетное внимание этой функции продукта поставщиков с нулевым доверием. В финансовых услугах идентификация машин и взаимодействие между машинами растут быстрее, чем ИТ, и командам по кибербезопасности трудно не отставать. Ведущими поставщиками безопасности с нулевым доверием для идентификации машин, включая ботов, роботов и IoT, являются BeyondTrust, ThycoticCentrify, CyberArk и Ivanti. HashiCorp доказала свою способность защищать циклы DevOps, которые в основном основаны на межмашинном взаимодействии.

Фактор 4: Одновременная защита конечных точек и отслеживание ИТ-активов

Сравнительный анализ инноваций поставщиков с нулевым доверием – их способности выходить за рамки основ безопасности конечных точек и предоставлять более отказоустойчивые, постоянные и самовосстанавливающиеся конечные точки – это область, которую необходимо решить. Венчурный капитал, инвесторы на ранних стадиях и частные инвесторы обращают внимание на самовосстанавливающиеся конечные точки, поскольку их продажи могут перерасти более широкий рынок кибербезопасности.

Недавнее объявление Absolute Software о своем намерении приобрести NetMotion – одна из нескольких незавершенных транзакций. Absolute – одна из немногих компаний, публично раскрывающих свои планы приобретения в этом году.

Организациям нужны более автоматизированные подходы к определению конечных точек, которым требуются приложения с самовосстановлением, клиенты или агенты безопасности, микропрограммное обеспечение и операционные системы. Каждая организация могла бы использовать более высокий уровень прозрачности и контроля над ИТ- и ОТ-системами. Ведущие поставщики с нулевым доверием будут иметь рекомендации, доказывающие, что они могут предоставить аналитическую информацию в области ИТ и OT.

Кроме того, поставщики средств обнаружения и реагирования на конечные точки (EDR) продолжают уделять приоритетное внимание интеграции с максимально разнообразной базой систем IAM, систем журналов, мобильных платформ с нулевым доверием и систем электронной почты для защиты от фишинга. Что интересно в этом аспекте разработки продуктов для кибербезопасности, так это то, насколько разнообразны подходы к решению этой проблемы, что отражено в недавней истории VentureBeat о борьбе с шумихой о безопасности конечных точек.

Оценка в этом случае далеко не простая. Как отметил технический директор Absolute Нико ван Сомерен (Nicko van Someren), который спроектировал, разработал и внедрил самовосстанавливающиеся конечные точки, существует большой разрыв между тем, что неизвестно о нулевом доверии к конечным устройствам, и тем, что известно.

Его совет: «При оценке решений конечных точек с нулевым доверием сосредоточьтесь на вопросах, которые заставляют поставщиков задуматься о том, где их пробелы, что они делают, чтобы их закрыть». Более того, сказал ван Сомерен, любой, кто оценивает решения для конечных точек, может способствовать развитию инноваций, используя более сократовский подход – тот, который постоянно ставит под сомнение то, о чем человек не знает.

Фактор 5: Обеспечение нулевого доверия через DevOps, SDLC

Страницы: 1 2