Журнал "Information Security/ Информационная безопасность" #3, 2021

Разработанная в 2010 г. бывшим ана- литиком Forrester Джоном Киндервагом модель безопасности с нулевым дове- рием считается одной из основных отрас- левых концепций. Главное ее преиму- щество – отсутствие необходимости строить детальную модель угроз, что стало актуальным из-за пандемии коро- навируса и перевода сотрудников на удаленную работу. Если подвоха можно ждать откуда угодно, значит, доверять нельзя никому, а если доверяешь, то постоянно перепроверяй. С чего все начиналось Хотя новая концепция безопасности была сформулирована более 10 лет назад и благосклонно принята аудито- рией, реальное внедрение Zero Trust началось далеко не сразу. Бизнес крайне неохотно тратит деньги на новые "игруш- ки", если те не дают измеримый в твер- дой валюте эффект. Даже государст- венные зарубежные организации не торопились выделять бюджеты, пока Эдвард Сноуден в 2013 г. не "положил на обе лопатки" систему обеспечения безопасности АНБ США. Конечно, значи- тельный объем попавших к журналистам секретных документов требовался Сно- удену по работе, но к большей их части он не должен был иметь доступа. После столь показательного, да еще и публичного, инцидента началось уже осознанное развитие Zero Trust и появи- лись конкретные рекомендации, а также лучшие отраслевые практики. На них, к слову, основан и наш подход к проблеме. Сейчас с необходимостью построения корпоративных систем обеспечения безопасности в соответ- ствии с требованиями концепции нуле- вого доверия никто не спорит и даже прописывают положения политик ИБ и ИТ с целью обеспечения их выполнения техническими средствами. Но это на Западе. В российских реалиях дело обстоит несколько иначе. "Наши сети притащили мертвеца" Когда в России говорят про Zero Trust, обычно имеют в виду корпоративные сети. Это связано с высокой активностью на рынке производителей оборудования, продвигающих концепцию нулевого доверия в интересном им направлении. Сети защищать, безусловно, необходи- мо, но однобокий подход затуманивает специалистам по безопасности взгляд на концепцию в целом. Так сложилось, что они не знают другой безопасности, кроме сетевой, чаще всего в виде меж- сетевого экранирования и шифрования, VPN-соединений, большей частью – по ГОСТу; сейчас будет чрезвычайно слож- но найти организации среднего бизнеса, у которых нет описанных решений. Реже – "расширения" функциональности межсетевых экранов или отдельные решения для обнаружения/предотвра- щения проникновений (IDS/IPS – Intrusion Detection/Prevention System) и фильтра- ции трафика на прикладном уровне (L7 – Application Filtering), еще реже исполь- зуется защита от атак на отказ в обслу- живании ((D)DoSP – (Distributed) Denial of Service Protection) и защита веб-при- ложений (WAF – Web Application Fire- wall). Еще можно вспомнить широко рас- пространенные антивирусные решения (здесь вообще хоть пиратский антивирус или Microsoft Defender, он есть на каждом компьютере с Windows даже в малых организациях), сканеры безопасности или системы управления уязвимостями, и иногда руки доходят до применения средств противодействия утечкам дан- ных (DLP – Data Loss/Leak Prevention). При этом чаще всего внедрение послед- них не доводится до конца, ограничива- ясь поиском в пересекающих периметр файлах и текстовых сообщениях регла- ментированных данных лишь по ключе- вым словам, с большим числом ложных срабатываний. Кроме того, часто эти данные только обнаруживаются в потоке. Зачастую никто не блокирует происхо- дящую утечку, поскольку не задумыва- лись о критериях риска при выявлении или же о технической реализации этой возможности даже на этапе проекта, отсекая себе пути к демаршу и развитию функциональности настройкой правил, а не переработкой архитектуры уже внедренного решения. Если же зло- умышленник обходит систему, данные уйдут за периметр незамеченными. Встречаются и инсталляции систем информирования о событиях информа- ционной безопасности (SIEM – Security Information and Event Management). Эти системы чаще являются банальными сборщиками журналов в пыльном архи- ве, а не фактически оповещают об инци- дентах, хотя подходы отдельных про- изводителей и радуют реально прино- симой ИБ-пользой при корреляции дан- ных из нескольких источников, правда настроены они часто на этапе пилота и впоследствии не обновляются и не улуч- шаются заказчиком. Этим подход к практической безопас- ности зачастую и ограничивается. То есть, например, то же централизо- ванное шифрование самих данных или томов дисков/контейнеров на серверах совершенно не распространено, хоть изредка и встречается, не говоря уже о понимании того, кто к каким данным имеет доступ, легитимно ли этот доступ предоставлен и не начата ли подготовка данных к "выносу". Безусловно, используя перечислен- ные технологии, можно реализовать защищенный периметр и даже частично увидеть след атаки в собранных журна- лах. Но систему с нулевым доверием невозможно построить без глубокого погружения в первичные активы – в живущие внутри сети информацион- ные системы и хранящиеся в них дан- ные, о которых постсоветская инфор- мационная безопасность часто не дума- ет. Как оборонять нажитое непосильным трудом от внешних и внутренних зло- умышленников, имея только защиту периметра, антивирус и систему опове- щения о части утечек данных, с неким архивом событий в довесок? Сложно дать ответ на этот вопрос. Меняется ли ситуация? Вендоры стали больше говорить про Zero Trust, заказчики, разумеется, начи- нают задавать вопросы. Поскольку исто- рически на российском рынке самые сильные позиции у поставщиков сетевых решений, то их голоса громче остальных. Какие-то комплексные проекты по нуле- вому доверию в стране, безусловно, реализуются, но по-прежнему только на 64 • ТЕХНОЛОГИИ Модель нулевого доверия: хайп или реальный инструмент? егодня Zero Trust – “модная" тема: о ней пишут все издания, посвященные информационным технологиям. Действительно ли Zero Trust столь популярна у российских корпоративных заказчиков, как утверждают выступающие на конференциях по кибербезопасности эксперты? Попробуем разобраться. С Александр Ветколь, ведущий системный инженер Varonis Systems