Η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA) εξέδωσε τις κατευθυντήριες γραμμές της για ασφάλεια δικτύου μηδενικής εμπιστοσύνης αυτή την εβδομάδα, προσφέροντας έναν πιο συγκεκριμένο οδικό χάρτη προς την υιοθέτηση μηδενικής εμπιστοσύνης. Είναι μια σημαντική προσπάθεια να γεφυρωθεί το χάσμα μεταξύ της επιθυμίας και της εφαρμογής της ιδέας.

Καθώς οι επιχειρήσεις μετατοπίζουν περισσότερους φόρτους εργασίας στο cloud, οι στρατηγικές υπολογιστικής μηδενικής εμπιστοσύνης έχουν μετακινηθεί από μια πολύβουη φάση διαφημιστικής εκστρατείας στην απόλαυση της κατάστασης μιας βασικής προσέγγισης ασφάλειας. Αλλά ακόμα κι έτσι, η έννοια του «αναξιόπιστο μέχρι να επαληθευτεί» εξακολουθεί να αργεί να πιάσει τον πραγματικό κόσμο (αν και σε ορισμένες περιοχές, όπως στα Ηνωμένα Αραβικά Εμιράτα,Η υιοθέτηση μηδενικής εμπιστοσύνης επιταχύνεται).

John Kindervag, ο οποίος ήταν ο πρώτος που όρισε τον όρο «μηδενική εμπιστοσύνη».  το 2010, όταν ήταν αναλυτής στην Forrester Research, χαιρέτισε την κίνηση της NSA, σημειώνοντας ότι «πολύ λίγοι οργανισμοί έχουν κατανοήσει τη σημασία των ελέγχων ασφάλειας δικτύου στη δημιουργία περιβαλλόντων μηδενικής εμπιστοσύνης και αυτό το έγγραφο βοηθάει τους οργανισμούς να κατανοήσουν αξία."

Επιπλέον, «θα βοηθήσει πολύ τους διάφορους οργανισμούς σε όλο τον κόσμο να κατανοήσουν ευκολότερα την αξία των ελέγχων ασφάλειας δικτύου και να κάνουν περιβάλλοντα μηδενικής εμπιστοσύνης ευκολότερα στη δημιουργία και λειτουργία», λέει ο Kindervag, ο οποίος πέρυσι εντάχθηκε στο Illumio ως ο επικεφαλής ευαγγελιστής του, όπου συνεχίζει να προωθεί η έννοια της μηδενικής εμπιστοσύνης.

Κέντρα μηδενικής εμπιστοσύνης στην τμηματοποίηση δικτύου

Το έγγραφο της NSA περιέχει πολλές συστάσεις σχετικά με τις βέλτιστες πρακτικές μηδενικής εμπιστοσύνης, συμπεριλαμβανομένης, βασικά, της τμηματοποίησης της κυκλοφορίας του δικτύου για να εμποδίσει τους αντιπάλους να μετακινηθούν σε ένα δίκτυο και να αποκτήσουν πρόσβαση σε κρίσιμα συστήματα.

Η ιδέα δεν είναι νέα: τα τμήματα πληροφορικής τμηματοποιούν την εταιρική τους δικτυακή υποδομή για δεκαετίες και ο Kindervag υποστηρίζει την τμηματοποίηση δικτύου από την αρχική του έκθεση Forrester, όπου είπε ότι «όλα τα μελλοντικά δίκτυα πρέπει να τμηματοποιούνται από προεπιλογή».

Ωστόσο, όπως είπαν οι Carlos Rivera και Heath Mullins από την Forrester Research έκθεση από το περασμένο φθινόπωρο, «καμία ενιαία λύση δεν μπορεί να παρέχει όλες τις δυνατότητες που απαιτούνται για μια αποτελεσματική αρχιτεκτονική μηδενικής εμπιστοσύνης. Οι εποχές που οι επιχειρήσεις ζούσαν και λειτουργούσαν μέσα στα όρια μιας παραδοσιακής περιμετρικής άμυνας δικτύων έχουν παρέλθει.

Στην εποχή των σύννεφων, Η μηδενική εμπιστοσύνη είναι εκθετικά πιο περίπλοκη να επιτύχει από ό,τι ήταν κάποτε. Ίσως αυτός είναι ο λόγος που λιγότερο από το ένα τρίτο των ερωτηθέντων στην έρευνα Akamai's Έκθεση 2023 σχετικά με την κατάσταση της τμηματοποίησης από το περασμένο φθινόπωρο έχουν κατατμηθεί σε περισσότερους από δύο κρίσιμους επιχειρηματικούς τομείς το περασμένο έτος.

Για να απαλύνει μέρος του πόνου, η NSA περιγράφει πώς μπορούν να επιτευχθούν οι έλεγχοι τμηματοποίησης δικτύου μέσω μιας σειράς βημάτων, όπως η χαρτογράφηση και η κατανόηση των ροών δεδομένων και η εφαρμογή δικτύωση που καθορίζεται από λογισμικό (SDN). Κάθε βήμα θα απαιτήσει σημαντικό χρόνο και προσπάθεια για να κατανοήσετε ποια μέρη ενός επιχειρηματικού δικτύου κινδυνεύουν και πώς να τα προστατέψετε καλύτερα.

«Το σημαντικό πράγμα που πρέπει να έχετε κατά νου με τη μηδενική εμπιστοσύνη είναι ότι είναι ένα ταξίδι και κάτι που πρέπει να εφαρμοστεί χρησιμοποιώντας μια μεθοδική προσέγγιση», προειδοποιεί ο Garrett Weber, ο τοπικός CTO του Enterprise Security Group στο Akamai.

Ο Weber σημειώνει επίσης ότι υπήρξε μια αλλαγή στις στρατηγικές τμηματοποίησης. «Μέχρι πρόσφατα, η ανάπτυξη τμηματοποίησης ήταν πολύ δύσκολη για να γίνει μόνο με το υλικό», λέει. «Τώρα με τη στροφή προς την τμηματοποίηση βάσει λογισμικού, βλέπουμε ότι οι οργανισμοί μπορούν να επιτύχουν τους στόχους τμηματοποίησης πολύ ευκολότερα και πιο αποτελεσματικά».

Συνεχίζουμε με την Μικρο-Τμηματοποίηση Δικτύου

Το έγγραφο της NSA διαφοροποιεί επίσης την τμηματοποίηση μακρο- και μικροδικτύων. Το πρώτο ελέγχει την κυκλοφορία που κινείται μεταξύ τμημάτων ή ομάδων εργασίας, επομένως ένας εργαζόμενος στον τομέα της πληροφορικής δεν έχει πρόσβαση, για παράδειγμα, σε διακομιστές ανθρώπινων πόρων και δεδομένα.

Η μικροτμηματοποίηση διαχωρίζει περαιτέρω την κυκλοφορία, έτσι ώστε να μην έχουν όλοι οι εργαζόμενοι τα ίδια δικαιώματα πρόσβασης στα δεδομένα, εκτός εάν απαιτείται ρητά. "Αυτό περιλαμβάνει την απομόνωση χρηστών, εφαρμογών ή ροών εργασίας σε μεμονωμένα τμήματα δικτύου για περαιτέρω μείωση της επιφάνειας επίθεσης και περιορισμό των επιπτώσεων σε περίπτωση παραβίασης", σύμφωνα με την έκθεση Akamai.

Οι διαχειριστές ασφαλείας «θα πρέπει να λάβουν μέτρα για τη χρήση της μικρο-τμηματοποίησης για να επικεντρωθούν στις εφαρμογές τους, για να διασφαλίσουν ότι οι εισβολείς δεν μπορούν να παρακάμψουν τους ελέγχους από ανατροπή ενιαίας πινακίδας κατά την πρόσβαση, χρησιμοποιώντας πλευρικούς λογαριασμούς ή βρίσκοντας τρόπους για να εκθέσετε δεδομένα σε εξωτερικούς χρήστες», λέει ο Brian Soby, CTO και συνιδρυτής της AppOmni.

Αυτό βοηθά στον καθορισμό των ελέγχων ασφαλείας με βάση το τι χρειάζεται για κάθε συγκεκριμένη ροή εργασίας, όπως ορίζει η αναφορά του Akamai. «Η τμηματοποίηση είναι καλή, αλλά η μικροτμηματοποίηση είναι καλύτερη», δήλωσαν οι συγγραφείς.

Μπορεί να είναι μια περίπλοκη προσπάθεια, αλλά ο χυμός αξίζει τον κόπο: Στην έκθεση του Akamai, οι ερευνητές διαπίστωσαν ότι «η επιμονή αποδίδει καρπούς. Η τμηματοποίηση αποδείχθηκε ότι είχε μια μεταμορφωτική επίδραση στην άμυνα για όσους είχαν τμηματοποιήσει τα περισσότερα από τα κρίσιμα περιουσιακά τους στοιχεία, επιτρέποντάς τους να μετριάζουν και να περιέχουν ransomware 11 ώρες γρηγορότερα από εκείνους με ένα μόνο στοιχείο τμηματοποιημένο».

Η Kindervag εξακολουθεί να υποστηρίζει τη μηδενική εμπιστοσύνη. Μέρος της έλξης και της μακροζωίας του οφείλεται στο γεγονός ότι είναι μια απλή έννοια στην κατανόηση: οι άνθρωποι και τα τελικά σημεία δεν έχουν πρόσβαση σε υπηρεσίες, εφαρμογές, δεδομένα, σύννεφα ή αρχεία εκτός εάν αποδείξουν ότι είναι εξουσιοδοτημένοι να το κάνουν — και ακόμη και τότε, πρόσβαση χορηγείται μόνο για το χρονικό διάστημα που χρειάζεται.

«Η εμπιστοσύνη είναι ανθρώπινο συναίσθημα», είπε. «Οι άνθρωποι δεν το κατάλαβαν όταν το πρότεινα για πρώτη φορά, αλλά το μόνο που χρειάζεται είναι η διαχείριση του κινδύνου, παρά ο κίνδυνος και το άνοιγμα τρυπών στην ασφάλειά σου».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/remote-workforce/nsa-s-zero-trust-guidelines-focus-on-segmentation