Zero Trust
В этом году исполняется 15 лет первому руководству по внедрению Zero Trust в организациях, и почти две трети крупных компаний в той или иной мере внедрили эту концепцию безопасности. Правда, в 58% случаев этот переход далек от завершения и Zero Trust покрывает менее половины инфраструктуры. В большинстве организаций пока пилотируют технологические решения и строят элементы необходимой инфраструктуры. Чтобы оказаться в «продвинутом меньшинстве», нужно планировать переход к Zero Trust, понимая, каких преград и трудностей стоит ожидать, а главное, как их преодолеть.
Руководства по Zero Trust
Zero Trust — это архитектура безопасности, в которой все соединения, устройства и приложения считаются недоверенными и потенциально скомпрометированными, даже если они принадлежат к внутренней инфраструктуре организации. Решения Zero Trust воплощают непрерывную адаптивную защиту и проверяют каждое соединение или транзакцию заново с учетом возможно изменившегося контекста безопасности. Это позволяет компаниям развивать ИБ в реалиях гибридных облачных инфраструктур и удаленной работы.
Кроме самых старых и известных руководств, таких как первый обзор Forrester и BeyondCorp от Google, компоненты Zero Trust детально описаны в NIST SP 800-207, Zero Trust Architecture, а в отдельном руководстве NIST SP 1800-35B даны рекомендации по внедрению. Есть руководства, проецирующие конкретные меры и инструменты ИБ на методологию Zero Trust, например CIS Controls v8. У CISA есть удобная модель зрелости, правда, оптимизированная для государственных учреждений.
На практике внедрение Zero Trust редко идет «по учебнику» и многие CISO вынуждены объединять рекомендации из этих методических документов с руководствами своих ключевых ИТ-поставщиков (например, Microsoft), расставляя приоритеты и выбирая необходимые меры по ситуации.
Также все руководства лаконичны и дипломатичны в описании сложностей, которые приходится преодолевать при внедрении.
Поддержка руководства
Переход к Zero Trust не является чисто техническим проектом, поэтому ему потребуется существенная административная и политическая поддержка. Помимо инвестиций в ПО и оборудование и обучения пользователей потребуются существенные усилия многих департаментов, например HR. Руководство компании должно понимать, зачем нужны изменения и что они принесут бизнесу.
Донести важность и ценность проекта помогают регулярные коммуникации о цене реализации рисков, с одной стороны (incident cost или value at risk), и новых бизнес-возможностях, с другой стороны. Например, под защитой решений Zero Trust становятся возможны более широкое использование сервисов SaaS или собственных устройств сотрудников, экономически эффективных решений для организации сети.
Кроме различных совещаний эту мысль нужно проводить в рамках специальных ИБ-тренингов для руководства. Тренинги помогают не только прививать конкретные навыки ИБ, но и отрепетировать, например, сценарии кризисного управления в ситуации кибератаки — для этого есть специально разработанные деловые игры.
Определение приоритетов
Чтобы понять, где и какие меры Zero Trust применить в инфраструктуре организации, потребуется детальный анализ сети, приложений, учетных записей и identity, рабочих нагрузок. Также нужно выделить критически важные ИТ-активы. Эти «королевские драгоценности» обычно составляют очень небольшую часть общего ИТ-парка: либо содержат конфиденциальную и особо ценную информацию, либо поддерживают критические бизнес-процессы. Консолидировав информацию об ИТ-активах и их ценности, будет легче принять решение о том, какие компоненты наиболее нуждаются в переводе на Zero Trust и какие меры ИБ в этом помогут. При инвентаризации также обнаружатся устаревшие сегменты инфраструктуры, которые нерационально или технически невозможно переводить на Zero Trust.
Важно заранее спланировать взаимодействие различных элементов инфраструктуры, а также совместное использование разных мер ИБ для их защиты. Типовая проблема выглядит так. В компании уже внедрены некоторые компоненты Zero Trust (например, MFA и сегментация сети), но они работают полностью независимо, и не запланировано никаких процессов и технологий, которые позволят этим компонентам работать совместно в рамках одного сценария безопасности.
Пошаговое внедрение
Хотя планирование архитектуры Zero Trust проводится целостно, практическое внедрение надо начинать с конкретных небольших шагов. Чтобы получить поддержку менеджмента и протестировать процессы и технологии в контролируемых условиях, начните с мер и процессов, которые легче внедрить и проще контролировать. Например, введите многофакторную аутентификацию и систему условного доступа только для офисных компьютеров и офисного Wi-Fi. Инструменты можно разворачивать, начиная с конкретных отделов и их специфичных ИТ-систем, тестируя как работоспособность ИБ-инструментов, так и пользовательские сценарии и корректируя настройки и регламенты.
Что из компонентов архитектуры Zero Trust легче внедрить и что поможет достичь первых «легких побед», зависит от конкретной организации. Но каждая «легкая победа» должна масштабироваться на новые отделы и сегменты инфраструктуры, а там, где внедрение уже прошло, можно пилотировать дополнительные элементы архитектуры Zero Trust.
Хотя кажется, что пошаговое внедрение повышает риски застрять на переходном этапе и никогда не завершить переход на Zero Trust, практика демонстрирует, что «большой взрыв», то есть одномоментный переход всей инфраструктуры и всех процессов на Zero Trust, не работает в большинстве случаев. Это создает слишком много точек отказа в ИТ-процессах, лавинообразно повышает нагрузку на ИТ, отпугивает пользователей и не позволяет вовремя и малой кровью исправить ошибки планирования и внедрения, если таковые были допущены.
Пошаговое внедрение не ограничивается первыми шагами и пилотами. Многие компании объединяют переход на Zero Trust с внедрением новых ИТ-проектов и открытием новых офисов, делят миграцию инфраструктуры на многочисленные этапы, то есть внедряют Zero Trust короткими шагами, постоянно контролируя сложность процессов и эффективность.
Управление identity… и кадрами
Краеугольным камнем Zero Trust является развитая система управления identity (IAM), которую нужно не только обеспечить техническими решениями, но и постоянно поддерживать в административном аспекте. Данные о сотрудниках, их должностях, ролях, доступных им ресурсах нужно постоянно обновлять и поддерживать актуальными, поэтому потребуется существенная поддержка коллег из HR, ИТ и руководства основных департаментов. Их обязательно вовлекать для построения формальных процессов вокруг управления identity; нужно заботиться о том, чтобы они чувствовали личную ответственность за эти процессы. Важно подчеркивать, что это не одноразовая работа. Данные нужно будет проверять и обновлять очень часто, чтобы не допускать, например, ситуаций «ползучего расширения доступа» (access sprawl), когда разрешения, выданные сотруднику для одноразового проекта, остаются у него навсегда.
Чтобы улучшение ИБ и внедрение Zero Trust стало по-настоящему командной работой, иногда приходится даже менять организационную структуру и зону ответственности сотрудников, разрушая барьеры, изолирующие людей в рамках узкой должностной инструкции. Например, в крупной строительной компании перешли от должностей «сетевой инженер» и «администратор серверов» к более общему названию «технолог», чтобы подчеркнуть, что результат работы разных людей сильнее взаимосвязан.
Обучение и сбор отзывов
Переход на Zero Trust не проходит незаметно для сотрудников. Они должны привыкнуть к новым процедурам аутентификации и инструментам MFA; их нужно научить запрашивать доступ к системам, куда их не пускают «по умолчанию»; их нужно предупредить о том, что иногда придется повторно аутентифицироваться в системе, в которую уже входили час назад; на их компьютерах могут появиться ранее невиданные инструменты — ZTNA, MDM, EDR (часто в одном агенте, но иногда по отдельности). Все это требует обучения и тренировки.
Для каждого этапа внедрения стоит сформировать «фокус-группу» из бизнес-пользователей, которые, с одной стороны, первыми получат обучение и помогут улучшить учебные материалы, язык объяснений, а с другой, — дадут свои отзывы о том, как работают новые процессы и инструменты. Общение с пользователями будет двухсторонним процессом. Им надо доносить ценность нового подхода, но одновременно следует прислушиваться к жалобам и рекомендациям, чтобы исправить политики (как технические, так и административные), устраняя недочеты и улучшая пользовательский опыт.
