Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



12.05.2022

Odszyfrowanie historii

Z inicjatywy prezesa IPN, dr. Karola Nawrockiego, powstało Biuro Nowych Technologii. Jego...
01.04.2022

Program partnerski

NGAGEFirma NFON, ogólnoeuropejski dostawca komunikacji głosowej w chmurze, ogłosił...
01.04.2022

SI w TFI PZU

Na platformie do inwestowania inPZU działa już nowa metoda identyfikacji tożsamości...
01.04.2022

Kooperacja w chmurze

To oparta na stworzonej przez NetApp technologii ONTAP i w pełni zarządzana przez...
01.04.2022

Nowe laptopy od Dynabook

Dynabook wprowadza do swojej oferty dwa laptopy z procesorami Intel Core 12. generacji,...
01.04.2022

Ryzen do stacji roboczych

AMD przedstawił nową gamę procesorów Ryzen Threadripper PRO 5000 serii WX.
31.03.2022

Serwery dla MŚP

Firma Lenovo wprowadziła nowe rozwiązania w zakresie infrastruktury IT Future Ready,...
31.03.2022

Innowacyjny kontroler SSD

Microchip zaprezentował nowe kontrolery SSD, które umożliwią obsługę napędów o pojemności...
31.03.2022

Wydajny jak Brother

Brother dodał do swojej oferty trzy nowe, atramentowe urządzenia wielofunkcyjne, które...

Zero zaufania

Data publikacji: 03-02-2022 Autor: Michał Jaworski

Mało kto dziś pamięta, że armia francuska rozpoczęła I wojnę światową w czerwonych spodniach. W czasie bitwy pod Marną we wrześniu 1914 r. mundury Francuzów były doskonale widoczne nawet przy mgłach i bitewnych dymach. Na propozycję, by jednak nieco utrudnić dzieło niemieckim karabinom maszynowym, padła dumna odpowiedź: „Le Pantalon Rouge, c’est la France!”.

 

Coś bardzo podobnego dzieje się właśnie w zarządzaniu cyberbezpieczeństwem w naszych firmach i urzędach. Mam wrażenie, że wśród bardzo wielu z nich podniesienie poziomu cyber- oznacza dwie rzeczy. Po pierwsze, będzie lepiej, jak dodamy jeszcze więcej tego samego, co dotychczas, oraz po drugie, kupmy najnowszą technologię. Czasami jeszcze z dodatkiem „załatajmy wszystkie dziury z lat poprzednich, o których wiemy – może nikt się nie połapie”. Niestety to tylko dołożenie każdemu żołnierzowi drugiej pary czerwonych spodni połączone z zamianą guzików na suwak tam-gdzie-wiadomo. Nowe zagrożenia, nowe bronie i nowe podstępy nie powodują zmiany starych nawyków i polityk. Cóż, zmiana organizacji – a o niej mówimy – wymaga dużo więcej pracy, dużo więcej nauki i dużo większego zaangażowania. Spójrzmy przez chwilę na architekturę bazującą na zasadzie Zero Zaufania.


Zaczniemy od listy komponentów architektury Zero Trust. Znajdą się na niej tożsamości, urządzenia końcowe, sieć, aplikacje, dane, pozostałe elementy infrastruktury. Każdy z nich powinien być weryfikowany w procesie podejmowania decyzji związanej z dowolnym wydarzeniem w sieci. Drugim składnikiem będzie ograniczenie uprawnień do niezbędnego minimum. Żadna osoba, żadna aplikacja ani żadne urządzenie nie mają uprawnień przydzielonych na stałe. Otrzymują je tylko na określony czas (just-in-time) i tylko w zakresie pozwalającym wykonać określone zadanie (just-enough), a co więcej mogą być z tym związane określone procedury bazujące na ocenie ryzyka. Warto zwrócić uwagę, jak bardzo jest to podobne do zasady „need-to-know”, zgodnie z którą centrala nawet agentowi 007 dostarcza tylko tyle informacji, ile jest niezbędne. Wreszcie ostatnią składową jest założenie, że zawsze jesteśmy obiektem udanego ataku, nawet jeśli tego do tej pory nie zauważyliśmy (zasada Assume Breach), a która przekłada się na liczne procedury, jakie mają zastosowanie w naszych systemach. Do wymienionych wyżej komponentów często dołącza się ciągłą optymalizację i egzekwowanie polityk oraz wszelkie zabezpieczenia elementów naszych systemów, które w całym równaniu pojawiają się dopiero na tym etapie.


Przy wdrożeniu Zero Trust każde wydarzenie jest traktowane jako podejrzane, sprawdzane i odpowiednio weryfikowane jest kto, z jakiego miejsca i czy na właściwie zabezpieczonym urządzeniu usiłuje wykonać jakąś czynność w sieci z danymi czy aplikacjami. Sprawdzane i ewentualnie przydzielane są uprawnienia, włączone są zabezpieczenia i odpowiednie klasyfikacje danych. Polityki, w tym polityki adaptacyjne, są włączane w zależności od potrzeby – dla uwierzytelnienia użytkownika uruchamiającego stacjonarny i zabezpieczony komputer podłączony kablem do sieci w siedzibie firmy możemy przyjąć jednoskładnikowe uwierzytelnienie, o ile tylko chodzi o dostęp do inwentaryzacji magazynu starych kalesonów. Ale próba logowania tej samej osoby z sieci publicznej na lotnisku w Honolulu musi wzbudzić alarm, a przynajmniej konieczność uruchomienia MFA. Śledzone są anomalie podczas każdej czynności, do czego służą nam narzędzia AI. Liczba danych zbierana przy wdrożeniu Zero Trust jest ogromna, a ich analiza nie jest możliwa bez automatyzacji. To kolejny element zmiany, jakiej wymaga cyber- w dzisiejszych czasach, bo ludzi od bezpieczeństwa jest i będzie niewielu.


Chciałem zwrócić uwagę na jedno – Zero Trust jest zmianą organizacyjną, która niesie ze sobą konieczność użycia technologii. A nie na odwrót. Co więcej wcale nie trzeba wszystkich wskazanych wyżej elementów od razu wyciągać na najwyższy poziom zaawansowania. Napotkamy bowiem opór użytkowników i kierownictwa. Nikomu nie będzie się podobało – a członkom zarządu w szczególności – kiedy nowe urządzenie będzie musiało mieć wgrane odpowiednie oprogramowanie i być zabezpieczone, zanim w jakikolwiek sposób skomunikuje się z siecią. Będą Cię nazywali Pegasus albo nawet gorzej… Potrzeba nam czasu i przydzielonych zasobów. Jednak odwlekanie zmiany w stronę Zero Trust będzie skutkowało tym, że zostaniemy w tych czerwonych spodniach, grzebiąc coś w najnowszym modelu bardzo fajnego urządzenia.

 

Michał Jaworski – autor od niepamiętnych czasów związany z polskim oddziałem firmy Microsoft.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"