Mało kto dziś pamięta, że armia francuska rozpoczęła I wojnę światową w czerwonych spodniach. W czasie bitwy pod Marną we wrześniu 1914 r. mundury Francuzów były doskonale widoczne nawet przy mgłach i bitewnych dymach. Na propozycję, by jednak nieco utrudnić dzieło niemieckim karabinom maszynowym, padła dumna odpowiedź: „Le Pantalon Rouge, c’est la France!”.

Coś bardzo podobnego dzieje się właśnie w zarządzaniu cyberbezpieczeństwem w naszych firmach i urzędach. Mam wrażenie, że wśród bardzo wielu z nich podniesienie poziomu cyber- oznacza dwie rzeczy. Po pierwsze, będzie lepiej, jak dodamy jeszcze więcej tego samego, co dotychczas, oraz po drugie, kupmy najnowszą technologię. Czasami jeszcze z dodatkiem „załatajmy wszystkie dziury z lat poprzednich, o których wiemy – może nikt się nie połapie”. Niestety to tylko dołożenie każdemu żołnierzowi drugiej pary czerwonych spodni połączone z zamianą guzików na suwak tam-gdzie-wiadomo. Nowe zagrożenia, nowe bronie i nowe podstępy nie powodują zmiany starych nawyków i polityk. Cóż, zmiana organizacji – a o niej mówimy – wymaga dużo więcej pracy, dużo więcej nauki i dużo większego zaangażowania. Spójrzmy przez chwilę na architekturę bazującą na zasadzie Zero Zaufania.

Zaczniemy od listy komponentów architektury Zero Trust. Znajdą się na niej tożsamości, urządzenia końcowe, sieć, aplikacje, dane, pozostałe elementy infrastruktury. Każdy z nich powinien być weryfikowany w procesie podejmowania decyzji związanej z dowolnym wydarzeniem w sieci. Drugim składnikiem będzie ograniczenie uprawnień do niezbędnego minimum. Żadna osoba, żadna aplikacja ani żadne urządzenie nie mają uprawnień przydzielonych na stałe. Otrzymują je tylko na określony czas (just-in-time) i tylko w zakresie pozwalającym wykonać określone zadanie (just-enough), a co więcej mogą być z tym związane określone procedury bazujące na ocenie ryzyka. Warto zwrócić uwagę, jak bardzo jest to podobne do zasady „need-to-know”, zgodnie z którą centrala nawet agentowi 007 dostarcza tylko tyle informacji, ile jest niezbędne. Wreszcie ostatnią składową jest założenie, że zawsze jesteśmy obiektem udanego ataku, nawet jeśli tego do tej pory nie zauważyliśmy (zasada Assume Breach), a która przekłada się na liczne procedury, jakie mają zastosowanie w naszych systemach. Do wymienionych wyżej komponentów często dołącza się ciągłą optymalizację i egzekwowanie polityk oraz wszelkie zabezpieczenia elementów naszych systemów, które w całym równaniu pojawiają się dopiero na tym etapie.

Przy wdrożeniu Zero Trust każde wydarzenie jest traktowane jako podejrzane, sprawdzane i odpowiednio weryfikowane jest kto, z jakiego miejsca i czy na właściwie zabezpieczonym urządzeniu usiłuje wykonać jakąś czynność w sieci z danymi czy aplikacjami. Sprawdzane i ewentualnie przydzielane są uprawnienia, włączone są zabezpieczenia i odpowiednie klasyfikacje danych. Polityki, w tym polityki adaptacyjne, są włączane w zależności od potrzeby – dla uwierzytelnienia użytkownika uruchamiającego stacjonarny i zabezpieczony komputer podłączony kablem do sieci w siedzibie firmy możemy przyjąć jednoskładnikowe uwierzytelnienie, o ile tylko chodzi o dostęp do inwentaryzacji magazynu starych kalesonów. Ale próba logowania tej samej osoby z sieci publicznej na lotnisku w Honolulu musi wzbudzić alarm, a przynajmniej konieczność uruchomienia MFA. Śledzone są anomalie podczas każdej czynności, do czego służą nam narzędzia AI. Liczba danych zbierana przy wdrożeniu Zero Trust jest ogromna, a ich analiza nie jest możliwa bez automatyzacji. To kolejny element zmiany, jakiej wymaga cyber- w dzisiejszych czasach, bo ludzi od bezpieczeństwa jest i będzie niewielu.

Chciałem zwrócić uwagę na jedno – Zero Trust jest zmianą organizacyjną, która niesie ze sobą konieczność użycia technologii. A nie na odwrót. Co więcej wcale nie trzeba wszystkich wskazanych wyżej elementów od razu wyciągać na najwyższy poziom zaawansowania. Napotkamy bowiem opór użytkowników i kierownictwa. Nikomu nie będzie się podobało – a członkom zarządu w szczególności – kiedy nowe urządzenie będzie musiało mieć wgrane odpowiednie oprogramowanie i być zabezpieczone, zanim w jakikolwiek sposób skomunikuje się z siecią. Będą Cię nazywali Pegasus albo nawet gorzej… Potrzeba nam czasu i przydzielonych zasobów. Jednak odwlekanie zmiany w stronę Zero Trust będzie skutkowało tym, że zostaniemy w tych czerwonych spodniach, grzebiąc coś w najnowszym modelu bardzo fajnego urządzenia.

Michał Jaworski – autor od niepamiętnych czasów związany z polskim oddziałem firmy Microsoft.