A hagyományos informatikai védelem sokáig arra az elképzelésre épült, hogy a vállalati hálózaton kívül találhatók a veszélyek, a belső rendszerben lévő felhasználókban és eszközökben pedig meg lehet bízni. Az otthoni munkavégzés, a felhőalapú szolgáltatások, a mobileszközök és a külső partnerek hozzáférése azonban fokozatosan eltüntette a hálózat egyértelmű határait.
Egy alkalmazott ma akár otthonról, saját internethálózaton keresztül is elérheti a vállalati levelezést, dokumentumokat és üzleti alkalmazásokat. Emiatt önmagában már nem jelent megfelelő védelmet az, hogy egy felhasználó sikeresen belépett a céges hálózatba.
Erre a problémára kínál megoldást a Zero Trust, vagyis a „soha ne bízz, mindig ellenőrizz” megközelítés.
Mit jelent a Zero Trust?
A Zero Trust nem egyetlen szoftver vagy biztonsági termék. Inkább olyan informatikai szemlélet, amely szerint minden felhasználót, eszközt és hozzáférési kérést külön ellenőrizni kell.
A rendszer nem feltételezi automatikusan, hogy valaki megbízható csak azért, mert ismeri a megfelelő jelszót, vagy a vállalati hálózaton belülről próbál hozzáférni egy alkalmazáshoz.
Az ellenőrzés több tényező alapján történhet:
- a felhasználó személyazonossága;
- a használt eszköz állapota;
- a bejelentkezés helye;
- a hozzáférés időpontja;
- a felhasználói viselkedés;
- az elérni kívánt adat érzékenysége;
- a korábbi biztonsági események.
A legkisebb jogosultság elve
A Zero Trust egyik alapja, hogy minden felhasználó csak azokhoz az adatokhoz és alkalmazásokhoz férjen hozzá, amelyekre valóban szüksége van a munkájához.
Egy marketinges munkatársnak például nincs feltétlenül szüksége a teljes pénzügyi adatbázis elérésére, egy külső rendszergazdának pedig nem kell állandó hozzáférést biztosítani minden szerverhez.
A jogosultságok korlátozása azért fontos, mert egy ellopott vagy feltört felhasználói fiókkal a támadó is csak korlátozott területen tud mozogni. Így egyetlen sikeres bejelentkezés nem jelenti automatikusan a teljes vállalati rendszer elvesztését.
Többlépcsős azonosítás nélkül nincs valódi védelem
A jelszavak továbbra is fontosak, de önmagukban nem nyújtanak megfelelő biztonságot. Adathalász támadásokkal, kártékony programokkal vagy korábbi adatszivárgásokból a támadók megszerezhetik a belépési adatokat.
A többtényezős hitelesítésnél a jelszó mellett egy második azonosítási módra is szükség van. Ez lehet:
- hitelesítő alkalmazás által létrehozott kód;
- fizikai biztonsági kulcs;
- biometrikus azonosítás;
- telefonon jóváhagyott bejelentkezés;
- egyszer használatos biztonsági kód.
A vállalati rendszernek azt is ellenőriznie kell, hogy a hozzáférést kérő számítógép frissített, titkosított és megfelelően védett-e.
A hálózat felosztása mérsékli a károkat
A Zero Trust architektúrában a vállalati hálózat kisebb, egymástól elkülönített részekre osztható. Ezt mikro-szegmentációnak nevezik. Ha egy támadó bejut az egyik területre, nem tud automatikusan átlépni a többi rendszerbe.
A védelem fontos elemei:
- rendszeresen felülvizsgált jogosultságok;
- naprakész eszköznyilvántartás;
- folyamatos eseménynaplózás;
- rendellenes viselkedés felismerése;
- gyors hozzáférés-visszavonás;
- titkosított adatkapcsolatok.
A Zero Trust bevezetése nem egyszeri informatikai projekt, hanem folyamatos fejlesztési folyamat. Már a többtényezős azonosítás bevezetése, a felesleges jogosultságok megszüntetése és az eszközök rendszeres ellenőrzése is jelentősen javíthatja egy vállalkozás biztonságát.
Forrás: ITmozaik – informatikai hírek, útmutatók és technológiai trendek