Никому не доверяй или проиграешь: важность принципа нулевого доверия для безопасности данных

Существует множество различных способов компрометации данных. Ваши данные подвержены как внешним, так и внутренним угрозам. Внешние угрозы проявляются в виде вредоносных программ или программ-вымогателей. В то время как внутренние угрозы исходят от злоумышленников, работающих под доверенными учетными записями. Инсайдеры запросто могут стать угрозой, случайно перейдя по фишинговой ссылке или поверив мошенникам, использующим социальную инженерию. Отсутствующее обновление базы данных или незначительная ошибка в конфигурации дадут возможность злоумышленнику создать лазейку для проникновения в бизнес. Нулевое доверие является базовым принципом, учитывающим все потенциальные векторы атак.

Динамическая безопасность данных

Выражение «никому не верьте, все проверяйте», полностью характеризует суть принципа нулевого доверия. Нулевое доверие заключается в постоянной оценке каждого соединения (а также его состояния безопасности и потребностей) при доступе к ресурсам внутри вашего предприятия. Такие соединения могут быть пользователями, например, сотрудниками, партнерами, клиентами или подрядчиками. Но соединения также могут означать устройства, приложения или даже сети. Нулевое доверие обеспечивает динамическую защиту каждого соединения, регулируя права доступа и другие привилегии в зависимости от статуса риска.

С помощью инструментов идентификации , безопасности данных , анализа угроз и т.п. непрерывно предоставляющих контекст о каждом пользователе, устройстве и подключении, можно создать профиль, определяющий, кто или что потенциально представляет опасность. Однако, зачастую нам требуется информация не о тех, кто подвергается риску, сколько о тех, кто риску неподвержен.

Например, в случае удаленной работы миллионы сотрудников получают доступ к корпоративным данным из домашних сетей с неизвестных устройств. Работник мог не представлять угрозы в офисе. Однако, ситуация может кардинально измениться, когда сотрудник начнет работать из дома. Типичным решением в подобной ситуации кажется блокировка доступа к корпоративной сети и приложениям для данного пользователя.

Поддерживайте бесперебойность работы

Еще одним аспектом нулевого доверия является поддержание бесперебойной работы предприятия при обеспечении его безопасности. Поэтому вам все же придется предоставить доступ опасному работнику. А для обеспечения безопасности ваша система должна проверить права доступа данного сотрудника как можно точнее. Можно настроить привилегии в соответствии с уровнями риска, меняющимися в зависимости от контекста. Подобный контекст получается в результате проверки безопасности данных, использования базы данных и приложений, местоположения и других сведений и логов пользователя.

Принцип нулевого доверия выходит за рамки черного и белого: «блокировать» или «разрешать». Пользователи с незначительным риском будут по-прежнему иметь доступ к минимальному набору инструментов, необходимому для выполнения рабочих задач. По мере того, как пользователи становятся менее рискованными, им будет предоставлена ​​большая свобода в доступе к данным. В случае возрастания опасности, вы можете предпринять прямые действия, чтобы ограничить доступ для таких пользователей.

Приоритет безопасности данных с нулевым доверием

Нулевое доверие - основополагающий принцип безопасности данных. Обнаружение и классификация данных, мониторинг активности данных, аналитика безопасности данных и интеграция с инструментами идентификации, анализа угроз и реагирования обеспечивают полное нулевое доверие.

При обнаружении конфиденциальных данных, необходимо разработать политики безопасности и управления данными в соответствии с целями безопасности, соответствия и конфиденциальности . Источники конфиденциальных данных требуется отслеживать и защищать в первую очередь. Подобные действия помогут аналитическому механизму получать практические сведения и оценивать уровень риска. На основе результатов анализа программа составит план действий или поделится выводами с заинтересованными сторонами в сфере безопасности и бизнеса. Таким образом люди смогут изменить политики безопасности и организовать на постоянной основе широкоформатную защиту от угроз данным.

Конечно, очень важно постоянно проводить мониторинг сети, конечных точек или доступа пользователей. Однако, именно платформа безопасности данных позволит обнаружить странное поведение, непосредственно связанное с конфиденциальными данными. Например, кликнув на подозрительную ссылку, пользователь может загрузить на свой смартфон вредоносное ПО, что, безусловно, опасно.

Совместная работа принципа нулевого доверия и других платформ

Принцип нулевого доверия прекрасно работает в сочетании с другими платформами. Мониторинг активности данных и аналитика безопасности регистрируют и анализируют действия данного пользователя во многих источниках. При наличии у пользователя доступа к привилегированным учетным данным, платформа безопасности должна интегрироваться с инструментами управления привилегированным доступом . Требуется узнать, использовал ли пользователь учетные данные для совершения каких-либо подозрительных действий. Средства безопасности данных, согласно принципу нулевого доверия, направят практическую информацию о рисках на SIEM или SOAR платформу, чтобы предупредить SOC-команду о потенциальной угрозе внутренним системам.

Без инструментов защиты данных невозможно полноценно поддерживать структуру нулевого доверия. ИБ-специалистам необходимо знать, что именно пользователи делают с данными. Иначе будет очень сложно определить, кто из сотрудников представляет наибольший риск утечки данных. А такая проблема критически важна для любой организации.