Ένοχος μέχρι αποδείξεως του εναντίου

Η πανδημία των τελευταίων μηνών, δημιούργησε μια νέα πραγματικότητα για τους Oργανισμούς, υποχρεώνοντάς τους εν μία νυκτί να υιοθετήσουν το μοντέλο της τηλεργασίας

Του Δημήτρη Τσακτσήρα
Principal Cyber Security Architect, Αlgosystems
www.algosystems.gr

Κάποιοι εξ’ αυτών, ίσως λόγω του πεδίου ενασχόλησης ήταν περισσότερο έτοιμοι για τη μετάβαση αυτή, κάποιοι λιγότερο, με αποτέλεσμα να προσαρμοστούν με βίαιο τρόπο. Η πρόκληση που είχαν & έχουν να αντιμετωπίσουν είναι το να προσφέρουν στους εργαζομένους όλα τα εχέγγυα του να εργάζονται πλήρως απομακρυσμένα, χωρίς εκπτώσεις σε ό,τι έχει να κάνει με την Ασφάλεια.

Μία σύγχρονη προσέγγιση στο φλέγον αυτό ζήτημα εξελίσσει το μοντέλο Zero Trust.

Ο όρος Zero Trust πρωτοεμφανίστηκε το 2010 από τον John Kindervag και στηρίζεται στην αρχή ότι καμία οντότητα δε θεωρείται έμπιστη μόνο και μόνο επειδή βρίσκεται εντός της περιμέτρου του Οργανισμού, αλλά αντιθέτως, θα πρέπει να επαληθεύεται οποιοσδήποτε / οτιδήποτε προσπαθεί να συνδεθεί με τα συστήματα / εφαρμογές, πριν πάρει τελικά πρόσβαση.

Χαρακτηριστικό case είναι οι υπηρεσίες Cloud, όπου by design περίμετρος…δεν υπάρχει! Η΄καλύτερα οφείλει να υπάρχει, προστατεύοντας την εκάστοτε κρίσιμη πληροφορία και όχι το κτίριο! Στο παραδοσιακό περιβάλλον οι χρήστες, οι υπηρεσίες και τα δεδομένα βρίσκονται εντός των φυσικών τειχών του Οργανισμού. Επομένως, τα μέτρα ασφαλείας επικεντρώνονται στην περίμετρο αυτού. Καταργώντας τα φυσικά τείχη του Οργανισμού και έχοντας τους χρήστες, τις υπηρεσίες και τα δεδομένα ΟΠΟΥΔΗΠΟΤΕ, απαιτείται κάτι αποτελεσματικότερο. Μια αρχιτεκτονική που (να) βασίζεται στο «σπάσιμο» της περιμέτρου σε επιμέρους, γύρω από τα κρίσιμα δεδομένα και τις υπηρεσίες.

Συνεπώς, βασικό προαπαιτούμενο είναι το να αναγνωρίσει ο κάθε Oργανισμός ποια είναι πραγματικά τα δεδομένα που έχει νόημα να προστατευτούν. Κάνοντας αναδρομή σε παρόμοιες ασκήσεις περί DLP στο παρελθόν, είναι εύλογο πως μιλάμε για μια πραγματική πρόκληση. Η Forrester προσεγγίζει το ζήτημα κάνοντας την παραδοχή ότι κρίσιμα είναι τα δεδομένα που κάποιος θα ήθελε να κλέψει vs όλα τα υπόλοιπα. Ένας συλλογισμός που παραμένει αρκετά πολύπλοκος σε ένα σύγχρονο παραγωγικό περιβάλλον, μιας και απαιτεί την πλήρη καταγραφή των data assets του οργανισμού και της αξιολόγησης αυτών.

Άπαξ και γίνει το παραπάνω βήμα, υπάρχουν τρεις (3) αρχές που πρέπει να ακολουθούνται:

1. Πρόσβαση των δεδομένων μόνο με επιβεβαίωση της ταυτότητας του χρήστη και φυσικά με ασφαλή τρόπο. Ο χρήστης για να αποκτήσει πρόσβαση σε δεδομένα ή υπηρεσίες θα πρέπει να επαναυθεντικοποιείται, καθώς και να επαληθεύονται τα δικαιώματα πρόσβασής του. Ουσιαστικά, κάθε προσπάθεια προσπέλασης των δεδομένων αντιμετωπίζεται ως απειλή μέχρι αποδείξεως του εναντίου.
2. Εφαρμογή του μοντέλου Ελαχίστων Δυνατών Δικαιωμάτων (Least Privilege) και Χρήσης Ελέγχου Πρόσβασης (Access Control). Ο χρήστης έχει πρόσβαση μόνο στα μέσα που απαιτούνται για την εργασία του, σε τίποτα παραπάνω. Με αυτόν τον τρόπο περιορίζεται η πρόσβαση ενός κακόβουλου, που έχει καταφέρει να κλέψει την ταυτότητα ενός πραγματικού χρήστη, σε συγκεκριμένο όγκο και φύση δεδομένων.
3. Έλεγχος και καταγραφή όλων των ενεργειών προσπέλασης αρχείων. Καταγράφοντας τις ενέργειες και αναλύοντάς τες με τα κατάλληλα εργαλεία, είμαστε σε θέση να αποφανθούμε για το αν μια ενέργεια είναι κακόβουλη ή όχι.

Τα παραπάνω είναι προφανώς αναγκαίο να επαναξιολογούνται & να αναπροσαρμόζονται διαρκώς, δεδομένου και των ταχύτατων αλλαγών που συμβαίνουν σε ένα σύγχρονο οργανισμό.

Αν τα μέχρι τώρα σας φέρνουν στο μυαλό την (πιο) παραδοσιακή λογική του Identity and Access Management (IAM) framework, δεν είστε μακριά από την πραγματικότητα…

Το IAM είναι ένα από τα μέσα που πρέπει να χρησιμοποιήσει ο Oργανισμός για να επιτύχει το Zero Trust μοντέλο, όμως δε νοείται να μείνει μόνο σε αυτό. Το IAM καλύπτει μόνο μία από τις τρεις βασικές αρχές, τη #1 – επιβεβαίωση της ταυτότητας. Για τις υπόλοιπες δύο, χρειαζόμαστε εργαλεία για ισχυρή / συνεχή αυθεντικοποίηση – βλέπε Single Sign On (SSO), με γνώμονα το να μην πλήξουμε την εργασιακή εμπειρία του χρήστη, και παράλληλα αδιάλειπτο έλεγχο των ροών πληροφορίας, κάτι που κερδίζεται κάνοντας onboard τον Οργανισμό σε ένα Security Operations Center (SOC). Κρατήστε λοιπόν ότι το μοντέλο Zero Trust προϋποθέτει τη χρήση του framework ΙΑΜ, χωρίς η χρήση αυτού να εξασφαλίζει πλήρως την υιοθέτηση του μοντέλου. Δεν υπάρχει, δηλαδή, σχέση 1-1.

Η νέα πρόταση δεν έρχεται μόνο να προσθέσει ακόμα έναν πονοκέφαλο στο IT, αλλά να προσδώσει και σημαντικά οφέλη:

1. Μείωση της πιθανότητας εμφάνισης περιστατικών ασφαλείας.
2. Συνεχή εκτίμηση κινδύνου (Risk Assessment).
3. Αυξημένη ετοιμότητα συμμόρφωσης (Compliance Readiness) με τους κανονισμούς.
4. Διευκόλυνση της μετάβασης στο digital transformation.
5. Μείωση του χρόνου επίλυσης πληροφοριακών ζητημάτων, λόγω του visibility που παρέχει το μοντέλο.

Η νέα πραγματικότητα που διαφαίνεται να ήρθε για να μείνει, η μετάβαση υπηρεσιών και δεδομένων στο Cloud, καθώς και η εγγενής ανάγκη για ευελιξία, καθιστούν το Zero Trust πολλά περισσότερα από ένα ακόμη Tech Buzzword, την επόμενη Kορυφή που πρέπει να κατακτήσει ο κάθε Oργανισμός.

Όλοι λοιπόν θα πρέπει κατά έναν τρόπο, να αποδεικνύουν την «αθωότητά» τους σε συστηματική βάση… Κορυφή μεν, αλλά δεν είναι και Έβερεστ!