Никому не доверяй или проиграешь: важность принципа нулевого доверия для безопасности данных

dylan

Команда Секты
Модератор
Регистрация
27/7/17
Сообщения
892
Лайки
1.398
Баллы
1.390
Нулевое доверие является базовым принципом, учитывающим все потенциальные векторы атак.

image


Существует множество различных способов компрометации данных. Ваши данные подвержены как внешним, так и внутренним угрозам. Внешние угрозы проявляются в виде вредоносных программ или программ-вымогателей. В то время как внутренние угрозы исходят от злоумышленников, работающих под доверенными учетными записями. Инсайдеры запросто могут стать угрозой, случайно перейдя по фишинговой ссылке или поверив мошенникам, использующим социальную инженерию. Отсутствующее обновление базы данных или незначительная ошибка в конфигурации дадут возможность злоумышленнику создать лазейку для проникновения в бизнес. Нулевое доверие является базовым принципом, учитывающим все потенциальные векторы атак.

Динамическая безопасность данных
Выражение «никому не верьте, все проверяйте», полностью характеризует суть принципа нулевого доверия. Нулевое доверие заключается в постоянной оценке каждого соединения (а также его состояния безопасности и потребностей) при доступе к ресурсам внутри вашего предприятия. Такие соединения могут быть пользователями, например, сотрудниками, партнерами, клиентами или подрядчиками. Но соединения также могут означать устройства, приложения или даже сети.

Нулевое доверие обеспечивает динамическую защиту каждого соединения, регулируя права доступа и другие привилегии в зависимости от статуса риска.

С помощью инструментов идентификации , безопасности данных , анализа угроз и т.п. непрерывно предоставляющих контекст о каждом пользователе, устройстве и подключении, можно создать профиль, определяющий, кто или что потенциально представляет опасность.

Однако, зачастую нам требуется информация не о тех, кто подвергается риску, сколько о тех, кто риску неподвержен.

Например, в случае удаленной работы миллионы сотрудников получают доступ к корпоративным данным из домашних сетей с неизвестных устройств. Работник мог не представлять угрозы в офисе. Однако, ситуация может кардинально измениться, когда сотрудник начнет работать из дома. Типичным решением в подобной ситуации кажется блокировка доступа к корпоративной сети и приложениям для данного пользователя.

Поддерживайте бесперебойность работы
Еще одним аспектом нулевого доверия является поддержание бесперебойной работы предприятия при обеспечении его безопасности. Поэтому вам все же придется предоставить доступ опасному работнику. А для обеспечения безопасности ваша система должна проверить права доступа данного сотрудника как можно точнее. Можно настроить привилегии в соответствии с уровнями риска, меняющимися в зависимости от контекста. Подобный контекст получается в результате проверки безопасности данных, использования базы данных и приложений, местоположения и других сведений и логов пользователя.

Принцип нулевого доверия выходит за рамки черного и белого: «блокировать» или «разрешать». Пользователи с незначительным риском будут по-прежнему иметь доступ к минимальному набору инструментов, необходимому для выполнения рабочих задач. По мере того, как пользователи становятся менее рискованными, им будет предоставлена большая свобода в доступе к данным. В случае возрастания опасности, вы можете предпринять прямые действия, чтобы ограничить доступ для таких пользователей.

Приоритет безопасности данных с нулевым доверием
Нулевое доверие - основополагающий принцип безопасности данных. Обнаружение и классификация данных, мониторинг активности данных, аналитика безопасности данных и интеграция с инструментами идентификации, анализа угроз и реагирования обеспечивают полное нулевое доверие.

При обнаружении конфиденциальных данных, необходимо разработать политики безопасности и управления данными в соответствии с целями безопасности, соответствия и конфиденциальности.

Источники конфиденциальных данных требуется отслеживать и защищать в первую очередь. Подобные действия помогут аналитическому механизму получать практические сведения и оценивать уровень риска. На основе результатов анализа программа составит план действий или поделится выводами с заинтересованными сторонами в сфере безопасности и бизнеса. Таким образом люди смогут изменить политики безопасности и организовать на постоянной основе широкоформатную защиту от угроз данным.

Конечно, очень важно постоянно проводить мониторинг сети, конечных точек или доступа пользователей. Однако, именно платформа безопасности данных позволит обнаружить странное поведение, непосредственно связанное с конфиденциальными данными.

Например, кликнув на подозрительную ссылку, пользователь может загрузить на свой смартфон вредоносное ПО, что, безусловно, опасно.

Совместная работа принципа нулевого доверия и других платформ
Принцип нулевого доверия прекрасно работает в сочетании с другими платформами. Мониторинг активности данных и аналитика безопасности регистрируют и анализируют действия данного пользователя во многих источниках. При наличии у пользователя доступа к привилегированным учетным данным, платформа безопасности должна интегрироваться с инструментами управления привилегированным доступом.

Требуется узнать, использовал ли пользователь учетные данные для совершения каких-либо подозрительных действий. Средства безопасности данных, согласно принципу нулевого доверия, направят практическую информацию о рисках на SIEM или SOAR платформу, чтобы предупредить SOC-команду о потенциальной угрозе внутренним системам.

Без инструментов защиты данных невозможно полноценно поддерживать структуру нулевого доверия. ИБ-специалистам необходимо знать, что именно пользователи делают с данными. Иначе будет очень сложно определить, кто из сотрудников представляет наибольший риск утечки данных. А такая проблема критически важна для любой организации.

Источник: Security Lab
 
Последнее редактирование:

8нинаходов

Посвященный
Регистрация
12/8/18
Сообщения
1.291
Лайки
1.753
Баллы
1.350
так много букв, только вряд ли эти советы кому-то нужны.
как не принимают, так семейный подряд с черной бухгалтерией на листочках, да и снимая закладку пофиг такие знания.
тем, же кто ценит безопасность - вряд ли нужны такие советы, а своими знаниями опытные типы неохотно делятся.
 

Sashka-_-

Адепт
Регистрация
18/6/19
Сообщения
514
Лайки
441
Баллы
636
Ты о чём? Are.you.serious
 

bombinio

Адепт
Регистрация
26/8/19
Сообщения
686
Лайки
805
Баллы
774
Да-да-да. Это все так, но. Все это давно встроено в стандартные системы безопасности.
 

dylan

Команда Секты
Модератор
Регистрация
27/7/17
Сообщения
892
Лайки
1.398
Баллы
1.390
так много букв, только вряд ли эти советы кому-то нужны.
как не принимают, так семейный подряд с черной бухгалтерией на листочках, да и снимая закладку пофиг такие знания.
тем, же кто ценит безопасность - вряд ли нужны такие советы, а своими знаниями опытные типы неохотно делятся.
Ну если это много букв, то простите, здесь мои полномочия - всё... )
 

hoodie

Сэнсэй
Регистрация
10/12/18
Сообщения
4.792
Лайки
13.097
Баллы
3.020
Депозит
0 $
Нулевое доверие является базовым принципом, учитывающим все потенциальные векторы атак.

image


Существует множество различных способов компрометации данных. Ваши данные подвержены как внешним, так и внутренним угрозам. Внешние угрозы проявляются в виде вредоносных программ или программ-вымогателей. В то время как внутренние угрозы исходят от злоумышленников, работающих под доверенными учетными записями. Инсайдеры запросто могут стать угрозой, случайно перейдя по фишинговой ссылке или поверив мошенникам, использующим социальную инженерию. Отсутствующее обновление базы данных или незначительная ошибка в конфигурации дадут возможность злоумышленнику создать лазейку для проникновения в бизнес. Нулевое доверие является базовым принципом, учитывающим все потенциальные векторы атак.

Динамическая безопасность данных
Выражение «никому не верьте, все проверяйте», полностью характеризует суть принципа нулевого доверия. Нулевое доверие заключается в постоянной оценке каждого соединения (а также его состояния безопасности и потребностей) при доступе к ресурсам внутри вашего предприятия. Такие соединения могут быть пользователями, например, сотрудниками, партнерами, клиентами или подрядчиками. Но соединения также могут означать устройства, приложения или даже сети.

Нулевое доверие обеспечивает динамическую защиту каждого соединения, регулируя права доступа и другие привилегии в зависимости от статуса риска.

С помощью инструментов идентификации , безопасности данных , анализа угроз и т.п. непрерывно предоставляющих контекст о каждом пользователе, устройстве и подключении, можно создать профиль, определяющий, кто или что потенциально представляет опасность.

Однако, зачастую нам требуется информация не о тех, кто подвергается риску, сколько о тех, кто риску неподвержен.

Например, в случае удаленной работы миллионы сотрудников получают доступ к корпоративным данным из домашних сетей с неизвестных устройств. Работник мог не представлять угрозы в офисе. Однако, ситуация может кардинально измениться, когда сотрудник начнет работать из дома. Типичным решением в подобной ситуации кажется блокировка доступа к корпоративной сети и приложениям для данного пользователя.

Поддерживайте бесперебойность работы
Еще одним аспектом нулевого доверия является поддержание бесперебойной работы предприятия при обеспечении его безопасности. Поэтому вам все же придется предоставить доступ опасному работнику. А для обеспечения безопасности ваша система должна проверить права доступа данного сотрудника как можно точнее. Можно настроить привилегии в соответствии с уровнями риска, меняющимися в зависимости от контекста. Подобный контекст получается в результате проверки безопасности данных, использования базы данных и приложений, местоположения и других сведений и логов пользователя.

Принцип нулевого доверия выходит за рамки черного и белого: «блокировать» или «разрешать». Пользователи с незначительным риском будут по-прежнему иметь доступ к минимальному набору инструментов, необходимому для выполнения рабочих задач. По мере того, как пользователи становятся менее рискованными, им будет предоставлена большая свобода в доступе к данным. В случае возрастания опасности, вы можете предпринять прямые действия, чтобы ограничить доступ для таких пользователей.

Приоритет безопасности данных с нулевым доверием
Нулевое доверие - основополагающий принцип безопасности данных. Обнаружение и классификация данных, мониторинг активности данных, аналитика безопасности данных и интеграция с инструментами идентификации, анализа угроз и реагирования обеспечивают полное нулевое доверие.

При обнаружении конфиденциальных данных, необходимо разработать политики безопасности и управления данными в соответствии с целями безопасности, соответствия и конфиденциальности.

Источники конфиденциальных данных требуется отслеживать и защищать в первую очередь. Подобные действия помогут аналитическому механизму получать практические сведения и оценивать уровень риска. На основе результатов анализа программа составит план действий или поделится выводами с заинтересованными сторонами в сфере безопасности и бизнеса. Таким образом люди смогут изменить политики безопасности и организовать на постоянной основе широкоформатную защиту от угроз данным.

Конечно, очень важно постоянно проводить мониторинг сети, конечных точек или доступа пользователей. Однако, именно платформа безопасности данных позволит обнаружить странное поведение, непосредственно связанное с конфиденциальными данными.

Например, кликнув на подозрительную ссылку, пользователь может загрузить на свой смартфон вредоносное ПО, что, безусловно, опасно.

Совместная работа принципа нулевого доверия и других платформ
Принцип нулевого доверия прекрасно работает в сочетании с другими платформами. Мониторинг активности данных и аналитика безопасности регистрируют и анализируют действия данного пользователя во многих источниках. При наличии у пользователя доступа к привилегированным учетным данным, платформа безопасности должна интегрироваться с инструментами управления привилегированным доступом.

Требуется узнать, использовал ли пользователь учетные данные для совершения каких-либо подозрительных действий. Средства безопасности данных, согласно принципу нулевого доверия, направят практическую информацию о рисках на SIEM или SOAR платформу, чтобы предупредить SOC-команду о потенциальной угрозе внутренним системам.

Без инструментов защиты данных невозможно полноценно поддерживать структуру нулевого доверия. ИБ-специалистам необходимо знать, что именно пользователи делают с данными. Иначе будет очень сложно определить, кто из сотрудников представляет наибольший риск утечки данных. А такая проблема критически важна для любой организации.

Источник: Security Lab
Спасибо за чтиво. Годно!
 
Сверху