Zero Trust postoji više od jedne decenije. Ali predsjednički mandat 2021. godine stvorit će novu hitnost među američkim saveznim agencijama i dobavljačima da ga provedu. Osjetivši novi način prodaje proizvoda, dobavljači sigurnosnih usluga nedvojbeno navijaju na taj pristup. Međutim, koliko god to moglo biti važno u ublažavanju kibernetičkog rizika, takođe je vrijedno zapamtiti da Zero Trust nije lijek za sve.
Gartner je nedavno upozorio da će u naredne tri godine više od polovine svih kibernetičkih napada biti fokusirano na tehnike koje Zero Trust kontrole ne mogu ublažiti.
Tradicionalna sigurnost ne funkcioniše
Zero trust je prvobitno osmišljeno kao odgovor na rastuću zabrinutost zbog nedostataka u klasičnom sigurnosnom modelu zasnovanom na perimetru. Ovaj pristup ‘zamka i rova’, što znači da niko izvan mreže ne može pristupiti njenim resursima, ali svi unutra mogu, bio je u redu kada su mreže kompanija i njihovi perimetri bili fiksirani i jasno definisani. Ali više nije prikladan za svrhu u Cloud svijetu i svijetu mobilnih uređaja, gdje se korisnici mogu prijavljivati kako bi pristupili podacima putem lokalnih i Cloud sredstava s bilo kojeg mjesta na planeti.
Kako je kibernetički kriminal evoluirao i dijeljenje znanja o dark web-u ubrzalo mogućnost pokretanja sofistikovanih napada, ulozi ne mogu biti veći. Prosječno “kršenje” danas košta skoro 4,4 miliona dolara, što je čak i više u nekim zemljama kao što je SAD (9,4 miliona dolara) i sektorima kao što je zdravstvo (10 miliona dolara).
Zero Trust kao spas?
Zero Trust odgovara na ove evoluirajuće trendove tako što nalaže da organizacije slijede mantru “nikad ne vjeruj, uvijek provjeri”. Odnosno, korisnici i uređaji bi trebali biti kontinuisano autentifikovani na osnovu toga kojem resursu im je potreban pristup i da im se odobri pristup samo prema principima “najmanje privilegije”. Same kontrole pristupa su pojednostavljene, ali poboljšane višefaktorskom autentifikacijom (MFA).
Umanjivanje značaja MFA
E sad, to može izgledati kao prilično vodonepropusni skup principa. Ali to nije srebrni metak za ublažavanje kibernetičkih napada. U stvari, Gartner je u svom izvještaju rekao da bi napadači mogli pokušati zaobići Zero Trust kontrole tako što će “skenirati i iskorištavati API-je koji se nalaze u javnosti ili ciljati zaposlene putem društvenog inženjeringa, maltretiranja ili iskorištavanja nedostataka zbog toga što zaposleni stvaraju vlastiti ‘bypass’ kako bi izbjegli stroge Zero Trust politike.”
Uzmite MFA kao jednu Zero Trust mogućnost. U stvari, postoji nekoliko načina da se zaobiđu kontrole pristupa koje već dobijaju na snazi među hakerima. Mogli bi koristiti zamjenu SIM kartice kako bi dobili kontrolu nad korisničkim uređajima i generisali/prikupili jednokratne lozinke (OTP). Mogli bi koristiti Man-in-the-middle napade da ukradu kolačiće sesije i otmu čitave korisničke sesije, dajući im pristup kredencijalima za autentifikaciju. Ili bi mogli koristiti društveni inženjering, možda da dobiju lične podatke o žrtvi, koji bi se mogli koristiti za provjeru putem telefona. Društveni inženjering također igra veliku ulogu u napadima “MFA zamora”, gdje se mobilni telefoni meta bombardiraju MFA push notifikacijama dok ih konačno ne prihvate, dajući pristup hakeru. To je bio metod koji se koristio kada se uspješno “provalio” Uber prošle godine.
Postoji još više načina da se umanji značaj MFA, i stoga Zero Trust model igra ključnu ulogu. OTP botovi su još jedan, pomažu u automatizaciji presretanja lozinki drugog faktora.
Suština je da je Zero Trust važan napredak u kibernetičkoj bezbjednosti koji će pomoći mnogim organizacijama da ublaže kibernetički rizik. Ipak, takođe je od vitalnog značaja prepoznati granice Zero Trust modela i postaviti dodatne bezbjednosne kontrole i procese gde je to moguće kako bi se osiguralo da one ne postanu opasna bezbjednosna mrtva tačka.
Izvor: Infosecurity Magazine
