Τι ειναι το ZERO TRUST SECURITY

Τι είναι το ZERO TRUST SECURITY και πως η Ελλάδα και οι κυβερνητικές υπηρεσίες και αξιωματούχοι θα πρέπει να υιοθετήσουν αυτην την στρατηγικη.

Το Zero Trust είναι μια στρατηγική ασφάλειας δικτύου που βασίζεται στη φιλοσοφία ότι σε κανένα άτομο ή συσκευή εντός ή εκτός του δικτύου ενός οργανισμού δεν θα πρέπει να παρέχεται πρόσβαση για σύνδεση σε συστήματα πληροφορικής ή φόρτους εργασίας, εκτός εάν κρίνεται ρητά απαραίτητο. Εν ολίγοις, σημαίνει μηδενική εμπιστοσύνη.

Το 2010 ηταν η χρονια που για πρωτη φορα αναφερθηκε αυτος ο όρος, ο οποίος σημαινει με απλα λογια,η εποχή του Trust but Verify, εδωσε τα σκήπτρα στο Never Trust, Always Verify.

Στο μοντέλο Zero Trust, κανένας χρήστης ή συσκευή δεν είναι αξιόπιστη για πρόσβαση σε έναν πόρο μέχρι να επαληθευτεί η ταυτότητα και η εξουσιοδότησή τους. Αυτή η διαδικασία ισχύει για όσους βρίσκονται συνήθως εντός ενός ιδιωτικού δικτύου, όπως ένας υπάλληλος σε έναν υπολογιστή της εταιρείας που εργάζεται εξ αποστάσεως από το σπίτι ή στην κινητή συσκευή τους ενώ βρίσκεται σε συνέδριο σε διαφορετική τοποθεσία. 

Ισχύει επίσης για κάθε άτομο ή τελικό σημείο εκτός αυτού του δικτύου. 

Δεν έχει καμία διαφορά αν είχαμε πρόσβαση στο δίκτυο στο παρελθόν ή πόσες φορές νωρίτερα η ταυτότητά εξακριβώθηκε, θα πρέπει να επαληθευτεί ξανά ( και ξανά).

Η ιδέα είναι ότι θα πρέπει να θεωρείτε ότι κάθε μηχανημα(machine/συσκευή) , χρήστης και διακομιστής δεν είναι αξιόπιστοι μέχρι να αποδειχθεί το αντίθετο.

Φανταστείτε το μοντέλο Zero Trust σαν έναν εξαιρετικά άγρυπνο φύλακα που ελέγχει μεθοδικά και επανειλημμένα τα διαπιστευτήριά σας προτού σας επιτρέψει την πρόσβαση στο κτίριο γραφείων όπου εργάζεστε ( γενικότερα ), ακόμα κι αν σας αναγνωρίσει, στη συνέχεια, αντιγράφει αυτή τη διαδικασία για να επαληθεύει συνεχώς την ταυτότητά σας.

Το μοντέλο Zero Trust βασίζεται σε ισχυρό έλεγχο ταυτότητας και εξουσιοδότηση για κάθε συσκευή και άτομο προτού πραγματοποιηθεί οποιαδήποτε πρόσβαση ή μεταφορά δεδομένων σε ιδιωτικό δίκτυο, ανεξάρτητα από το αν βρίσκονται εντός ή εκτός αυτής της περιμέτρου του δικτύου. Η διαδικασία συνδυάζει επίσης αναλυτικά στοιχεία, φιλτράρισμα και καταγραφή για να επαληθεύει τη συμπεριφορά και να παρακολουθεί συνεχώς για σήματα παραβιασμού, καθώς και αλλες πολύτιμες λειτουργίες.

Η οποιαδήποτε μη εξουσιοδοτημένη αποκάλυψη, τροποποίηση, αντικατάσταση ή χρήση ευαίσθητων δεδομένων (π.χ. κλειδιών, μεταδεδομένων ή άλλων πληροφοριών που σχετίζονται με την ασφάλεια) ή η μη εξουσιοδοτημένη τροποποίηση συστήματος, συσκευής ή διαδικασίας που σχετίζεται με την ασφάλεια με σκοπό την απόκτηση μη εξουσιοδοτημένης πρόσβασης, μπορεί σήμερα να αντιμετωπιστεί στο 100%, χρησιμοποιώντας τους κατάλληλους πόρους και εργαλεία.

Εάν ένας χρήστης ή μια συσκευή εμφανίσει σημάδια ότι ενεργεί διαφορετικά από πριν, λαμβάνεται υπόψη και παρακολουθείται ως πιθανή απειλή.

Βασικές δυνατότητες για την εφαρμογή Zero Trust ασφάλειας

• Ορατότητα on-prem, περιβαλλόντων cloud και συσκευών IoT
• Έλεγχος του δικτύου μεταξύ όλων των assets.
• Επαλήθευση ταυτότητας και δυνατότητα παραχώρησης πρόσβασης στο cloud
• Τμηματοποίηση δικτύου (Network segmentation) καθώς και τμηματοποίηση επιπέδου εφαρμογής (Application-Layer Segmentation)
• Έλεγχος ταυτότητας και εξουσιοδότηση, συμπεριλαμβανομένου του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA- Security Key NFC)
• Πολιτικές αναλυτικής πρόσβασης (πρόσβαση εφαρμογής έναντι πρόσβασης σε ολόκληρο το δίκτυο) - (Granular access policies)
• Πρόσβαση χρήστη με τα λιγότερα προνόμια σε όλες τις εφαρμογές (IaaS, SaaS και εσωτερικής εγκατάστασης- on-premises)
• Ελαχιστοποίηση χρήσης VPN και τείχους προστασίας ( firewalls)
• Εισαγωγή υπηρεσίας - Service insertion
• Security at the edge
• Βελτιωμένη απόδοση εφαρμογής
• Βελτιωμένη στάση ασφαλείας έναντι προηγμένων απειλών (security posture)
• Δυνατότητες αυτοματισμού και ολοκλήρωσης - Automation and integration capabilities

Οι IT ομάδες πρέπει να διασφαλίσουν ότι όλοι οι χρήστες και οι συσκευές μπορούν να συνδεθούν με ασφάλεια στο Διαδίκτυο, ανεξάρτητα από την προέλευση του αιτήματος πρόσβασης, χωρίς την πολυπλοκότητα που σχετίζεται με τις παλαιού τύπου προσεγγίσεις. Πρέπει επίσης να εντοπίζουν προληπτικά, να αποκλείουν και να μετριάζουν στοχευμένες απειλές, όπως κακόβουλο λογισμικό, ransomware, phishing, εξαγωγή δεδομένων DNS (DNS data exfiltration) και προηγμένες ευπάθειες zero-day (zero-day vulnerabilities) για τους χρήστες. Η ασφάλεια Zero Trust μπορεί να βελτιώσει τις στάσεις ασφαλείας ενώ μειώνει τον κίνδυνο κακόβουλου λογισμικού.

Οι παραδοσιακές τεχνολογίες πρόσβασης, όπως το VPN, βασίζονται σε απαρχαιωμένες αρχές διαχείρισης πρόσβασης και είναι ιδιαίτερα ευάλωτες λόγω παραβιασμένων διαπιστευτηρίων χρήστη που έχουν οδηγήσει σε παραβιάσεις (data breaches). 

Το IT πρέπει να επανεξετάσει το μοντέλο πρόσβασης και τις τεχνολογίες του για να διασφαλίσει ότι η κρατικές υποδομές είναι ασφαλής, ενώ παράλληλα επιτρέπει τη γρήγορη και απλή πρόσβαση σε όλους τους χρήστες, συμπεριλαμβανομένων των τρίτων χρηστών. 

Η ασφάλεια Zero Trust μπορεί να μειώσει τον κίνδυνο και την πολυπλοκότητα, ενώ προσφέρει μια συνεπή εμπειρία χρήστη μέσω λεπτομερών πολιτικών ασφαλείας.

Η πρόσβαση και η ασφάλεια των επιχειρήσεων/κράτους είναι περίπλοκες και συνεχώς μεταβαλλόμενες. Οι αλλαγές και οι αναπτύξεις με τις παραδοσιακές τεχνολογίες συχνά απαιτούν ημέρες (και συχνά σε πολλά στοιχεία υλικού και λογισμικού) χρησιμοποιώντας πολύτιμους πόρους. Ένα μοντέλο ασφαλείας Zero Trust μπορεί να μειώσει την αρχιτεκτονική πολυπλοκότητα.

Για να είναι ανταγωνιστικές, οι ομάδες ασφαλείας χρειάζονται μια αρχιτεκτονική δικτύου Zero Trust ικανή να προστατεύει τα κρατικα/εθνικά δεδομένα, όπου κι αν βρίσκονται οι χρήστες και οι συσκευές, διασφαλίζοντας παράλληλα ότι οι εφαρμογές λειτουργούν γρήγορα και απρόσκοπτα.

Η "εμπιστοσύνη αλλά επαλήθευση" (Trust but Verify) δεν είναι πλέον επιλογή, καθώς στοχευμένες προηγμένες απειλές κινούνται εντός της περιμέτρου.

Γιατί χρειάζεται ένα μοντέλο ασφαλείας Zero Trust;

Το σύγχρονο εργατικό δυναμικό γίνεται όλο και πιο κινητό, έχοντας πρόσβαση σε εφαρμογές και υπηρεσίες cloud από πολλές συσκευές εκτός της περιμέτρου (γραφειο). 

Στο παρελθόν, πολλές επιχειρήσεις υιοθέτησαν ένα μοντέλο «verify, then trust», το οποίο σήμαινε ότι εάν κάποιος είχε τα σωστά διαπιστευτήρια χρήστη, γινόταν δεκτός σε οποιονδήποτε ιστότοπο, εφαρμογή ή συσκευή ζητούσε. Αυτό είχε ως αποτέλεσμα αυξημένο κίνδυνο έκθεσης, διαλύοντας αυτό που κάποτε ήταν η αξιόπιστη ζώνη ελέγχου των επιχειρήσεων/κρατικών δεδομένων και αφήνοντας πολλούς οργανισμούς εκτεθειμένους σε παραβιάσεις δεδομένων, κακόβουλο λογισμικό και επιθέσεις ransomware. 

Απαιτείται πλέον προστασία σε συγκεκριμένες ψηφιακές υποδομές όπου βρίσκονται εφαρμογές και δεδομένα, χρήστες και συσκευές, η οποίες περιέχουν κρατικές πληροφορίες.