Wdrożenie zasad Zero Trust polega na ścisłym weryfikowaniu tożsamości każdej osoby lub urządzenia, które próbuje uzyskać dostęp do sieci lub aplikacji – niezależnie od tego, czy dany sprzęt lub użytkownik znajduje się już w obrębie sieci. Mechanizmy weryfikacji mogą być uruchamiane przez takie zdarzenia, jak zmiana urządzeń próbujących nawiązać łączność z siecią, nowa lokalizacja, częstotliwość logowania odbiegająca od normy lub wysoka liczba nieudanych prób zalogowania.

W większości przypadków budowa sieci według zasady Zero Trust może rozpocząć się od wdrożenia firewalli nowej generacji (NGFW), które mogą służyć jako narzędzie do segmentacji sieci. Należy również wdrożyć uwierzytelnianie wieloskładnikowe (MFA), aby mieć pewność, że użytkownicy są dokładnie sprawdzani przed uzyskaniem dostępu do zasobów.

Po zaprojektowaniu sieci należy stworzyć reguły polityki realizacji modelu zerowego zaufania. Według tego podejścia ochrona rozpoczyna się od określenia zasobów o znaczeniu krytycznym, które można określić akronimem DAAS i są to: dane (Data), aplikacje (Applications), aktywa (Assets) oraz usługi (Services). Ich właściwe skategoryzowanie pozwoli skupić się dokładnie na tym, co wymaga ochrony.

Czym jest Zero Trust Network Access?

Elementem filozofii Zero Trust jest mechanizm Zero Trust Network Access (ZTNA), który skupia się na kontroli dostępu do aplikacji. ZTNA wprowadza weryfikację użytkowników i urządzeń przed każdą sesją aplikacji w celu potwierdzenia, że spełniają oni reguły wyznaczone przez firmową politykę bezpieczeństwa w zakresie dostępu do danej aplikacji. Kluczowym elementem koncepcji ZTNA jest to, że użytkownicy w sieci nie są obdarzeni zaufaniem w większym stopniu niż użytkownicy, którzy są poza nią.

Dla użytkowników spoza sieci ZTNA zapewnia bezpieczny, szyfrowany tunel do nawiązania połączenia z ich urządzenia do punktu proxy aplikacji ZTNA. Zautomatyzowany charakter obsługi tego tunelu sprawia, że jest on łatwiejszy w użyciu niż tradycyjne tunele VPN. Pozytywne doświadczenia użytkowników sprawiają, że wiele przedsiębiorstw decyduje się na zastosowanie ZTNA po to, aby zastąpić VPN.

Agnieszka Szarek, Channel Manager, Fortinet  

Serdecznie zapraszamy do kontaktu integratorów zainteresowanych rozwiązaniami pozwalającymi na implementację podejścia Zero Trust. Chętnie przedstawimy portfolio rozwiązań Fortinet, które to umożliwiają. Partnerzy rozpoczynający współpracę z nami mogą liczyć na dostęp do szkoleń, jak też wsparcie opiekuna przy realizacji pierwszych wdrożeń. Gwarantujemy także atrakcyjny system rabatów i marży.

  

Zerowy model zaufania: korzyści

Klienci przyjmują filozofię Zero Trust z kilku powodów. Najważniejsze z nich to chęć ulepszenia ochrony danych, wprowadzenia jednolitej polityki dostępu dla wszystkich lokalizacji zarządzanych centralnie czy uproszczenia systemu zabezpieczającego (dzięki obsłudze wszystkich funkcji ochronnych można eliminować nadmiarowe zapory, bramy internetowe i inne).

Wszystkie potrzebne elementy do zbudowania sieci bazującej na modelu Zero Trust zapewnia Fortinet dzięki architekturze Security Fabric. Umożliwia ona współpracę produktów oferowanych przez Fortinet, stanowi też otwarty ekosystem, w którym można integrować rozwiązania od wielu dostawców. Pozwala to na zbudowanie jednej szerokiej platformy ochronnej.

Rozwiązania Fortinet dotyczące ZeroTrust Access oraz Zero Trust Network Access to między innymi FortiNAC, który zapewnia kontrolę dostępu do sieci, czy też FortiClient, pozwalający na zaawansowaną kontrolę telemetryczną punktów końcowych oraz zdalny dostęp do nich. Za pomocą FortiAuthenticatora można zarządzać tożsamością użytkowników. Z kolei FortiToken zapewnia dodatkową warstwę ochrony dzięki tokenom bazującym na aplikacjach fizycznych i mobilnych.

Kontakt dla partnerów: Agnieszka Szarek, Channel Manager, aszarek@fortinet.com

Artykuł Zero Trust: pełna ochrona dostępu do zasobów firmy pochodzi z serwisu CRN.

Obecnie pracownicy korzystają z rozmaitych urządzeń, łączą się z różnych miejsc z zasobami korporacyjnymi. W związku z tym poleganie wyłącznie na ochronie każdego urządzenia i konta, które może łączyć się z systemami firmy, jest nie tylko trudne, ale często katastrofalne, ponieważ atakujący przechodząc przez jedne drzwi zyskują dostęp do całego „królestwa”.

Dlatego coraz częściej wspomina się o stosowaniu zasady Zero Trust, opartej na przekonaniu, że każdy użytkownik, urządzenie oraz adres IP uzyskujący dostęp do zasobów stanowi zagrożenie dla bezpieczeństwa firmowej sieci i danych. Dopóki nie udowodni, że jest inaczej.

– Sam fakt, że ktoś przebywa w budynku, nie upoważnia go do tego, aby mieć dostęp do ważnych rzeczy i miejsc, które się w nim znajdują – obrazowo mówi Anshu Sharma, CEO Skyflow, startupu zajmującego się projektowaniem systemów bezpieczeństwa IT.

Liczne przykłady pokazują, że cyberprzestępcy mogą uderzyć z dowolnego miejsca, a napastnicy wcale nie muszą być wytrawnymi hakerami, aby osiągnąć zamierzony przez siebie cel. W Darknecie za niezbyt wygórowane sumy można znaleźć narzędzia służące do przeprowadzania różnego rodzaju ataków, w tym także ransomware. Nie bez przyczyny niektórzy przedsiębiorcy zaczynają powątpiewać w skuteczność stosowanych od lat technologii i rozwiązań. Nowym batem na hakerów ma być właśnie koncepcja Zero Trust. Przyjęcie takiej linii obrony wymaga zmiany wielu wielu warstw zabezpieczeń.

Jedną z kluczowych kwestii jest dodanie uwierzytelniania wieloskładnikowego na kontach firmowych oraz ograniczenie do niezbędnego minimum użytkownikom oraz systemom dostępu do zasobów i infrastruktury. Dobrym pomysłem jest również umieszczenie najbardziej wrażliwych danych w jednym miejscu, zamiast rozrzucać je po różnych bazach danych firm. Tyle teoria, a jak wygląda to w praktyce?

Częściową odpowiedź na to pytanie przynoszą wyniki badań przeprowadzonych wśród 185 amerykańskich firm przez TeleGeography. Wynika z nich, że 35 proc. respondentów wdrożyło w ubiegłym roku jeden lub więcej elementów zabezpieczeń typu Zero Trust (ZTS) i Secure Access Service Edge (SASE) w 2021 r. Co ciekawe, blisko 100 proc. ankietowanych, którzy przyjęli ZTS, zastosowało uwierzytelnianie wieloskładnikowe MFA (Multi-Factor Authentication). Poza tym uczestnicy badania wymieniali regułę pojedynczego logowania (single sign-on), zasady dostępu zdalnego użytkowników i urządzeń oraz zarządzanie dostępem uprzywilejowanym. Natomiast znikomy odsetek badanych wykorzystywał oprogramowanie do analizy zachowania użytkowników.

Zdaniem analityków TeleGeography do postępującej adaptacji modelu Zero Trust w znacznym stopniu przyczynił się wzrost liczby zdalnych pracowników. Warto też zauważyć, że wśród decydentów rośnie świadomość odnośnie do nowej koncepcji bezpieczeństwa. O ile w 2019 r. zasady Zero Trust znało zaledwie 8 proc. badanych, o tyle w roku ubiegłym ten wskaźnik wyniósł już 20 proc.

Mali ufają bardziej

Jednym z rozwiązań wspierających administratorów w realizacji zadań związanych z weryfikacją tożsamości jest uwierzytelnianie wieloskładnikowe. Według większości specjalistów systemy MFA powinny stanowić nieodzowny element rozwiązań bezpieczeństwa IT. Uwierzytelnianie wieloskładnikowe wymusza na użytkowniku, który chce dostać się do strzeżonych zasobów, co najmniej dwuetapową weryfikację (2FA). Nie wystarczy samo podanie hasła i loginu. W przypadku bardzo zaawansowanych systemów elementów weryfikacji może być znacznie więcej niż dwa.

MFA stanowi dodatkowe zabezpieczenie kont użytkowników. Takie rozwiązanie daje niemal 100-procentową pewność, że każdy, kto uzyskuje dostęp do informacji firmy i loguje się do jej systemów, jest naprawdę tym, za kogo się podaje. W ten sposób w dużym stopniu minimalizujemy ryzyko włamania niepowołanych osób do uprzywilejowanych kont. Jednak należy podkreślić, że odnotowano już przypadki, kiedy hakerzy potrafili oszukać system MFA.

Adaptacja MFA w większych firmach oraz instytucjach postępuje stosunkowo szybko, czego nie można powiedzieć o segmencie MŚP. Jak wynika z raportu Cyber Readiness, sporządzonego na podstawie badań przeprowadzonych wśród małych i średnich firm z Ameryki Północnej, Australii, Azji oraz Europy, zaledwie 28 proc. respondentów wymaga stosowania MFA na swoim oprogramowaniu, sprzęcie i urządzeniach sieciowych.

– Wśród małych i średnich firm 2FA jest bardzo rzadko spotykanym rozwiązaniem. Myślę, że na polskim rynku z uwierzytelniania wieloskładnikowego korzysta z niego mniej niż jedna czwarta. Co nie zmienia faktu, że administratorzy bardzo pozytywnie reagują na 2FA, gdyż używają go w życiu prywatnym. Inaczej wygląda to w przypadku dużych przedsiębiorstw, gdzie tego rodzaju zabezpieczenia są stosowane znacznie częściej niż w segmencie MŚP – tłumaczy Kamil Budak, Product Manager Senhasegura w Dagmie.

Nie ulega wątpliwości, że upowszechnienie się MFA na rynku konsumenckim sprzyja adaptacji MFA w małych i średnich firmach. Szefowie chętniej wydadzą pieniądze na coś, co nie jest dla nich czarną magią, ale zwykłą czynnością wykonywaną przynajmniej kilka razy w tygodniu.

Natomiast z punktu widzenia rodzaju aplikacji oraz kont wymagających uwierzytelniania wieloskładnikowego, na szczycie listy Cyber Readiness znalazły się bazy danych (45 proc.), a następnie oprogramowanie finansowo-księgowe i HR. Inne usługi wymagające pomocy MFA obejmowały konta w mediach społecznościowych, programy do obsługi poczty e-mail i kalendarzy, jak też aplikacje zwiększające wydajność oraz zdalny dostęp.

Użytkownicy mogą korzystać z różnych metod MFA. Firmy biorące udział w badaniu Cyber Readiness najczęściej wymieniały: powiadomienia push na telefon lub alternatywny adres mejlowy (29 proc.), jednorazowe hasła (28 proc.),urządzenia bazujące na tokenie (15 proc.), automatycznie generowane kody (12 proc) czy biometrię (7 proc.).

Artykuł Nigdy nie ufać, zawsze weryfikować pochodzi z serwisu CRN.

Zresztą dane uwierzytelniające należą do najchętniej kupowanych „towarów” w tzw. ciemnej stronie sieci. Cyberprzestępcy mogą je nabywać tak samo, jak konsumenci zaopatrują się w Internecie w ubrania czy kosmetyki. Poza tym hakerzy, zdobywając dane uwierzytelniające do konta, często otwierają sobie drogę do innych serwisów, bowiem większość użytkowników zazwyczaj posługuje się tylko jednym, uniwersalnym hasłem. Dodatkowy problem stanowi niedocenianie napastników – wielu osobom wydaje się, że cyberprzestępcy siedzą przed komputerem i podsuwają mu różne ciągi znaków. W rzeczywistości hakerzy posługują się specjalnym oprogramowaniem wykonującym niewiarygodną liczbę prób na minutę. Dlatego tak ważna jest edukacja użytkowników, którą powinni prowadzić zarówno producenci, jak też integratorzy. Kiedy właściciele firm, a także ich pracownicy, lepiej zrozumieją podstawowe reguły dotyczące bezpieczeństwa, będą bardziej skłonni ich przestrzegać.

Przeszkody na drodze hakera

Dostawcy systemów bezpieczeństwa toczą wojnę z hakerami na kilku frontach i cały czas starają się uprzykrzyć im życie, co rusz wprowadzając kolejne rodzaje zabezpieczeń. Jednym z takich  przykładów jest uwierzytelnianie wieloskładnikowe, które wykorzystuje w trak-cie logowania dodatkowy etap weryfikacji użytkownika. Najczęściej jest to wpisanie jednorazowego kodu wysłanego przez usługodawcę za pomocą SMS-a albo hasła generowanego przez aplikację mobilną lub dane biometryczne, takie jak zapis linii papilarnych placów, obrazu tęczówki czy wizerunku twarzy.

Wprawdzie wymienione metody ograniczają ryzyko wycieku danych, ale nie dają stuprocentowej gwarancji bezpieczeństwa. W przypadku większości systemów uwierzytelniania dwuskładnikowego (2FA), zgubienie, kradzież bądź naruszenie urządzenia pozwala hakerowi osiągnąć swój cel. Tak naprawdę bowiem 2FA nie uwierzytelnia osoby, lecz urządzenie, co eksperci określają czasami jako „przybliżenie tożsamości”. Nie jest to wyłącznie teoria i można przytoczyć wiele przykładów naruszenia zabezpieczeń 2FA. W ten sposób zhakowano chociażby konto Jacka Dorseya, CEO Twittera – w tym przypadku skończyło się na opublikowaniu kilku nieprzyjemnych informacji. Zdecydowanie mniej szczęścia miała giełda kryptowalut Binance, która straciła na skutek podobnego incydentu 7000 bitcoinów. Jedną z najczęściej stosowanych metod przez napastników jest tzw. SIM-swap. Oszuści zdobywają od operatora sieci komórkowej duplikat karty SIM z numerem telefonu ofiary i zanim ta się zorientuje i podejmie odpowiednie działania, uzyskują dostęp do jej konta bankowego. Innym sposobem jest instalacja na smartfonie malware’u, który podszywa się pod znane legalne programy i śledzi działania użytkownika, w tzw. międzyczasie przesyłając dane – w tym SMS-y – do urządzenia kontrolowanego przez hakera. Nieco trudniej jest pokonać zabezpieczenia biometryczne, ale niestety nie jest to niemożliwe.

Pokaż swoją twarz

Obecnie najczęściej stosowanym sposobem uwierzytelniania opartym na biometrii jest rozpoznawanie linii papilarnych. Wraz z debiutem iPhone’a X z funkcją Face ID znacznie wzrosła także popularność rozwiązań identyfikujących tożsamość na podstawie analizy twarzy. W modelu X kamera wyświetla ponad 30 tys. niewidzialnych punktów, tworząc mapę głębi twarzy osoby, którą następnie analizuje, jednocześnie rejestrując jej obraz w podczerwieni. Zdaniem ekspertów jest to rozwiązanie zaawansowane i trudne do sforsowania przez hakerów. 

Funkcja rozpoznawania twarzy znajduje zastosowanie nie tylko w smartfonach Apple’a czy Samsunga, ale również w wielu innych systemach identyfikacji. Co oczywiste, cyberprzestępcy nie zamierzają składać broni i podejmują działania, które mają na celu przechytrzenie mechanizmów służących do wykrywania tożsamości. Według Johna Spencera, dyrektora ds. strategii w Veridium, firmie zajmującej się identyfikacją biometryczną, aby sfałszować zdjęcie, wcale nie trzeba sięgać po zaawansowane oprogramowanie. Jednym z najczęstszych sposobów oszukania systemu identyfikacji twarzy jest wydrukowanie zdjęcia czyjejś facjaty i wycięcie oczu, a następne użycie fotki jako maski. Z kolei analitycy Experian przewidują, że oszuści będą coraz częściej tworzyć „twarze Frankensteina”, wykorzystując sztuczną inteligencję do łączenia cech twarzy różnych osób w celu stworzenia nowej tożsamości, aby w ten sposób oszukać systemy identyfikacji.

Zdaniem Pawła Rybczyka, Territory Managera CEE/CIS w Wallixie, wszystko wskazuje na to, że firmy zaczną zmierzać w kierunku wieloskładnikowego uwierzytelniania opartego na wykorzystaniu wielu różnych sensorów – czytników linii papilarnych, kamer, a także potwierdzaniu tożsamości w oparciu o analizę zachowania użytkownika. O sukcesie poszczególnych rozwiązań zadecydują dostępne narzędzia komercyjne oraz ich przewidywalność.

Zdaniem integratora

IAM: pierwszy krok w kierunku kontroli dostępu

Ostatnimi czasy działy IT znajdują się pod bardzo dużą presją. Z jednej strony wynika to ze zmasowanych cyberataków, zaś z drugiej, różnego rodzaju regulacji wymuszających na firmach oraz instytucjach specjalną ochronę danych. W takiej sytuacji ciężko jest polegać na ręcznych i podatnych na błędy procesach przypisywania i śledzenia uprawnień użytkowników. Z odsieczą przychodzą w tym przypadku rozwiązania do zarządzania tożsamością i dostępem IAM (Identity and Access Management). Ich zastosowanie pozwala kontrolować dostęp do krytycznych informacji. IAM oferuje możliwość pojedynczego logowania z dowolnego urządzenia, a także realizację mechanizmów uwierzytelniania dwuskładnikowego i wieloskładnikowego czy zarządzanie dostępem uprzywilejowanym. Technologie te zapewniają również możliwość bezpiecznego przechowywania danych dotyczących tożsamości i profilu. 

– Wdrożenie IAM wydaje się być zasadne, o ile wcześniej przeprowadzona zostanie segmentacja i inwentaryzacja zasobów. IAM to podstawa, od której należy rozpocząć planowanie i wdrażanie procesów związanych z granularną kontrolą dostępu – tłumaczy Piotr Bartman, System Engineer w Veracomp – Exclusive Networks. 

Wprawdzie wśród wielu informatyków panuje przekonanie, że IAM jest rozwiązaniem przeznaczonym dla dużych firm z zasobnym portfelem, ale w rzeczywistości technologia ta sprawdzi się w firmie każdej wielkości. Zresztą systemy do zarządzania tożsamością i dostępem mogą być oferowane w modelu subskrypcyjnym w dwóch odmianach – uwierzytelnianie jako usługa lub tożsamość jako usługa (IDaaS). W obu przypadkach usługodawca bierze na siebie ciężar uwierzytelniania i rejestracji użytkowników, a także zarządzania ich informacjami.

– W przypadku ograniczonych zasobów finansowych czy personalnych, outsourcing to zdecydowanie korzystna opcja. Dodatkowo mamy gwarancję bezstronności w zarządzaniu systemem wrażliwym dla organizacji, choć klient musi mieć kontrolę nad usługodawcą. Nie bez znaczenia jest doświadczenie dostawcy we wdrażaniu procedur czy w analizie procesów – przekonuje Rafał Barański, prezes zarządu braf.tech.

W modelu usługowym klient, poza rozwiązaniem informatycznym, dostaje dostęp do wiedzy eksperckiej na temat wdrażanego narzędzia. Gdyby chciał zapewnić sobie podobną jakość usługi we własnym zakresie, przy często ograniczonych zasobach wewnętrznych, wiązałoby się to z długim i kosztownym procesem. Tak czy inaczej, wraz z szybkim rozwojem i tempem cyfrowego biznesu, działy IT dostrzegają rosnące znaczenie IAM. Analitycy Gartnera przewidują, że wartość rynku zarządzania dostępem sięgnie 19 mld dol. w 2024 r., w porównaniu z 13,7 mld dol. w tym roku.

Administratorzy pod lupą

Administratorzy IT mają dostęp do najbardziej poufnych informacji, takich jak korespondencja e-mailowa, lista płac czy treści zawieranych umów. Poza tym mogą bez trudu dezaktywować zabezpieczenia IT – antywirusy, firewalle czy narzędzia do backupu. Niestety, zdarza się, że szerokie uprawnienia i możliwości ingerencji w infrastrukturę IT prowadzą do poważnych nadużyć. Chyba najbardziej spektakularny jest tutaj przykład Edwarda Snowdena, który ujawnił na łamach prasy kilkaset tysięcy poufnych, tajnych i ściśle tajnych dokumentów NSA. Podobne sytuacje, choć oczywiście na dużo mniejszą skalę, mają miejsce w wielu firmach oraz instytucjach.

Dlatego też firmy oraz instytucje wykazują rosnące zainteresowanie rozwiązaniami, które umożliwiają kontrolę nie tylko pracy administratorów, ale również firm świadczących outsourcing IT. Gartner zwraca na szczególną uwagę na rolę, jaką spełniają w tym zakresie systemy kontroli dostępu uprzywilejowanego PAM (Privileged Access Management). Zdaniem analityków tego typu narzędzia będą w ciągu najbliższych dwóch lat tematem numer jeden w sektorze bezpieczeństwa IT. Gartner na przykład prognozuje, że wielkość globalnego rynku systemów PAM osiągnie w 2024 r. wartość 2,9 mld dol., co stanowi wzrost o 50 proc. w porównaniu z rokiem 2018. W bieżącym roku ma to być 2,2 mld dol., co oznacza wzrost o 16 proc. w stosunku do roku poprzedniego.

PAM-y ułatwiają nadzór nad sesjami uprzywilejowanymi oraz monitorowanie i zarządzanie uprzywilejowanymi kontami. Najwięcej kłopotów mają z tym duże organizacje, które korzystają z wielu serwerów, komputerów i innych podobnych zasobów. Nic więc dziwnego, że mechanizmy PAM już od dłuższego czasu znajdują zastosowanie w instytucjach finansowych a także w przemyśle. Niewykluczone również, że w najbliższym czasie dołączą do tego grona nieco mniejsze podmioty gospodarcze. Przedsiębiorstwa świadczące outsourcing IT zazwyczaj mają dostęp do newralgicznych danych klienta. Gdyby doszło do kradzieży informacji, PAM odnotuje takie zdarzenie i dostarczy dowody dokonania przestępstwa, które będą niezwykle istotne podczas ewentualnej rozprawy sądowej.

– Wdrożenie PAM tylko w tym zakresie jest w naszym przypadku bardzo proste i nie zajmuje więcej niż jeden dzień roboczy. Uruchomienie rozwiązań IAM jest natomiast traktowane często jako drugi etap projektu dotyczącego zarządzania tożsamością w organizacji. Tego typu rozwiązania wymagają od klientów dużo więcej przygotowań – tłumaczy Paweł Rybczyk.  

Dostawcy systemów IAM czy PAM są na ogół zgodni, że istnieje już w Polsce grupa integratorów, którzy posiadają duże doświadczenie w zakresie wdrażania wymienionych produktów. Zresztą same mechanizmy funkcjonowania rozwiązań do zarządzania dostępem i tożsamością nie są zbyt zawiłe i nie stanowią bariery dla integratorów. O wiele trudniejszym zadaniem jest przekonanie klientów do inwestycji w PAM lub IAM. Może się to wydawać dziwne, zwłaszcza, że oba rozwiązania chronią dostęp do bardzo cennych informacji i nie bez przyczyny często mówi się o nich jako o najlepszej formie zabezpieczenia kluczy do królestwa IT.

Zdaniem specjalisty  

Piotr Bartman, System Engineer, Veracomp – Exclusive Networks   

W czasie pandemii zapotrzebowanie na mechanizmy uwierzytelniana wieloskładnikowego znacząco wzrosło. Wynikało to przede wszystkim z przejścia na pracę zdalną. Większa świadomość w zakresie nowoczesnych mechanizmów kontroli dostępu oraz łatwość ich wdrożenia sprawiły, że wiele firm zastosowało te technologie na potrzeby swoich pracowników. Nie zmienia to faktu, że w tym zakresie pozostało jeszcze wiele do zrobienia. Bankowość, ubezpieczenia, instytucje rządowe czy służby mundurowe to sektory, w których mechanizmy uwierzytelnienia wieloskładnikowego stały się standardem. Duże rezerwy tkwią nadal w rynku MŚP, gdzie większe znaczenie odgrywają koszty. W tym przypadku mechanizmy MFA są częściowo wdrażane, o ile wykorzystywane platformy bezpieczeństwa oferują tego typu możliwości.