Prema istraživanjima, sigurnosni koncept ‘zero trust‘, tj. nulto povjerenje, do 2025. prihvatit će većina svjetskih organizacija kao početnu točku za jačanje otpornosti na kibernetičke i ine prijetnje. Podrazumijeva se da će neprestano trebati provjeravati sigurnosne konfiguracije i sve korisnike sustava, pa i one unutar organizacije, autentificirati i autorizirati sve i svakoga prije nego što se ikomu odobri pristup datotekama ili aplikacijama
Pojam nulto povjerenje (engl. zero trust) posljednjih je godina vrlo popularan koncept za zaštitu korporacijskog interneta i povećanja sigurnosti u kompanijama. Njegovoj je popularnosti pridonio i hibridni rad, koji zbog rada na daljinu zahtijeva sigurnije radno okružje. Međutim, zbog proturječnih definicija nultog povjerenja i učestaloga korištenja tog termina u marketingu nužno je jasno definirati što taj pojam znači.
Nulto povjerenje razlikuje se od postojećeg modela, koji sve mreže u kompaniji smatra sigurnima i pouzdanima, po tome što ne vjeruje nijednom korisniku ili uređaju jer sigurnosne prijetnje za sustav mogu biti i vanjske i unutarnje. Dizajnirano je unutar postojeće strategije kibernetičke sigurnosti usmjerene na podatke kako bi se sve tretiralo kao nepoznato i osiguralo pouzdano ponašanje.
Problemi s radom na daljinu
Iako nulto povjerenje nije savršeno rješenje za izazove kibernetičke sigurnosti u svakoj kompaniji, prema izvješću o stanju ‘Zero Trust Architecture and Solutions‘ istraživačke tvrtke Gartner, do 2023. čak će 60 posto kompanija primjenjivati taj sigurnosni model umjesto virtualnih privatnih mreža jer IT infrastruktura tvrtki postaje sve složenija, a mnogi zaposlenici rade na daljinu. Sve to omogućuje hakerske upade u sustave kompanija i krađu podataka pa je nulto povjerenje osmišljeno kao koncept za zaštitu od kibernetičkih prijetnji.
Zasad se sigurnosni sustavi temelje na prijavama i zaporkama za ulazak u korporacijsku mrežu u kojoj vatrozidi ne dopuštaju upad uljezima, a IT odjeli kontroliraju internet i tako štite kompaniju. Međutim, sve se promijenilo kad su zaposlenici počeli raditi na daljinu, na mobitelima i tabletima, te je postalo nemoguće omogućiti samo računalni pristup korporacijskim informacijama. Osim toga, prijelaz na cloud-infrastrukturu, tj. oblak, donio je još jedan izazov: pojavili su se novi, ali ne uvijek pouzdani, načini razmjene podataka, zbog čega IT stručnjaci često blokiraju sve što im je sumnjivo, a to ometa i onemogućuje rad na daljinu.
Filozofija nepovjerenja
Katkad u provali u sustav posve nesvjesno sudjeluju i zaposlenici nasjedajući na phishing-poruke hakera kojima otkrivaju zaporke s pomoću kojih zločinci upadaju u tvrtkin IT sustav. Rast svijesti o tome da prijetnje mogu doći ne samo izvana nego i iz sustava iznjedrio je koncept nultog povjerenja u kibernetičku sigurnost (engl. zero trust in cyber resilience). Zbog toga kompanije rade na novim obrascima korporacijske sigurnosti polazeći upravo od tog načela. No zero trust nije sustav ili program, nego skup pravila i smjernica o tome kako osigurati korporacijski internet i podatke.
Smisao tog koncepta krije se u pravilu ‘vjeruj, ali provjeri‘. Najprije provjeri, zatim ponovno provjeri – pa opet i opet provjeravaj dok se ne postigne nulto povjerenje. Zato se nulto povjerenje posve razlikuje od povjerenja nastalog u vrijeme stvaranja kibernetičke sigurnosti, sustava u kojemu je vladalo međusobno povjerenje i u kojemu su svi imali zajednički pristup IT sustavu. Filozofija nultog povjerenja temelji se na nepovjerenju prema svima i svemu unutar ili izvan mrežnog sustava kompanije i taj mehanizam ocjenjuje svakoga tko se pokuša spojiti na sustav, bio on lokalni, oblačni, kombinirani ili hibridni.
Dizajnirana sigurnost
Korisnici tog modela funkcioniraju prema nekoliko načela: prvi je stalna kontrola pristupa, jer nulto povjerenje ne priznaje pouzdan izvor i sve se ispituje, a svaki je zahtjev za pristup sustavu autentificiran, autoriziran i šifriran. Drugi je korak preventivna metoda zaštite za zaustavljanje ili ublažavanje upada, pri čemu se kombiniraju provjera autentičnosti više čimbenika, najmanje povlašteni pristup, mikrosegmentacija, zaštita e-pošte, šifriranje…
Osim toga, važno je redovito pratiti prijetnje da bi se skratilo vrijeme proboja od trenutka kad haker provali u prvu razinu sustava na korporacijskoj mreži do toga da prijeđe na drugu razinu. Stalan nadzor tako pomaže odbiti prijetnje dok su najmanje. I, na kraju, važno je dosljedno provoditi sigurnosnu strategiju jer je model nultoga povjerenja dio sveobuhvatne strategije kibernetičke otpornosti koja uključuje praćenje i rješavanje prijetnji. Uza sve to kompanije provjeravaju i ažuriraju stare protokole provjere autentičnosti te popravljaju i osvježavaju sve uređaje, programe i softvere čim pronađu kritične točke ranjivosti.
Koncept nultoga povjerenja podrazumijeva ugrađenu sigurnost dizajna (engl. security by design), tj. uključivanje sigurnosti od početka razvoja da bi proizvod bio što otporniji na hakerske upade, a to znači da se u sigurnu sustavu pouzdane aplikacije stvaraju prema zadanim postavkama, zbog čega je takvu zaštitu teško probiti.
Smanjivanje rizika
Ne postoji standardan pristup ugradnji koncepta nultoga povjerenja jer kompanije imaju različite IT infrastrukture. Svaka mora procijeniti svoje sposobnosti i rizike od sigurnosnih prijetnji kako bi razumjela koje metode i alati mogu zaštititi njezin korporacijski sustav. Smjernice za primjenu nultoga povjerenja idu od procjene trenutačne sigurnosti sustava: treba pregledati sve tvrtkine vjerodajnice, izbrisati nevažne unose i provjeriti prava pristupa te analizirati sigurnosne alate i slabosti infrastrukture.
Zatim treba napraviti zbirku podataka i usporediti tijek primanja i prijenosa informacija te odrediti koji korisnici trebaju pristup tomu, koliko računa usluga treba imati i gdje ih povezati. Trebalo bi također provjeriti protokole provjere autentičnosti i riješiti probleme povezivanja s naslijeđenim sustavima, napraviti popis svih usluga u oblaku, otvoriti pristup niskorizičnim resursima, izbrisati zastarjele račune i redovito mijenjati zaporke.
Također treba preventivno održavati sustav ugradnjom autentifikacije s više čimbenika i davanja korisnicima najmanje moguće razine pristupa tako da, ako hakeri pristupe mreži, neće moći ići izvan utvrđenih povlastica. Mikrosegmentacija korporacijske mreže također je učinkovita jer je podijeljena u zone, a korisnici trebaju pristup svakoj od njih. Nužno je osigurati i stalan nadzor mreže, redovito provjeravati, analizirati i bilježiti promet i podatke te evidentirati neobičnu aktivnost i sumnjiv promet u zapisnicima provjere autentičnosti.
Popis poteškoća
Iako se ti koraci za ugradnju modela nultog povjerenja čine logičnima i razumljivima, kompanije se u praksi suočavaju s raznim poteškoćama. Jedna od njih tehnički je dug – kad tvrtka radi na vlastitim zastarjelim programima, stvara se tehnički dug koji onemogućuje uvođenje mehanizma nultog povjerenja. Drugi su problem naslijeđeni sustavi za koje se ne može odobriti najmanja moguća razina pristupa. Takve je sustave teže nadzirati, mogu se registrirati protokoli zahtjeva i mrežni promet, ali ograničena je mogućnost odgovaranja na njih.
Tu je i P2P tehnologija. Da ne bi smanjili propusnost, programeri Windowsa 10 stvorili su peer-to-peer tehnologiju za dijeljenje ažuriranja između peer-to-peer sustava. To kretanje podataka nije kontrolirano, a to je u suprotnosti s modelom nultoga povjerenja. To znači da, ako kompanija ima P2P ili mesh-mreže, bit će teže ugraditi model nultoga povjerenja. Među izazovima su i dodatni financijski izdaci, odnosno ograničenja, jer oblak, DevOps i IoT ne podržavaju sigurnosni model nultoga povjerenja jer on zahtijeva dodatne tehnologije.
I zaposlenike treba navesti na to da razmišljaju na nov način, što je nužnost u nultom povjerenju. IT stručnjaci vjeruju provjerenim tehnologijama, ali kad rade prema modelu nultoga povjerenja, moraju promijeniti način razmišljanja i ispitati sve članove korporacijske mreže. Da bi se postigla ravnoteža između sigurnosti i pogodnosti, potrebni su fleksibilni pristupi zaštiti poput nultoga povjerenja jer zahvaljujući njemu, primjerice, kompanija može postati otporna na kibernetičke napade. Zato je ulaganje u kibernetičku sigurnost također ulaganje u tekuće poslovanje i kontrolu rizika.
Prioritet 2023.
Iako mnoge kompanije već imaju određene mehanizme i tehnologije za uspješnu ugradnju nultoga povjerenja, trendovi novih tehnologija poput umjetne inteligencije (AI) i biometrije zaslužuju veću pozornost jer mogu poboljšati upravljanje kibernetičkim rizicima i pridonijeti primjeni glavnih načela nultoga povjerenja. Zbog toga je jedan od glavnih prioriteta menadžera informacijske sigurnosti, prema Forresterovu ‘Vodiču za planiranje sigurnosti i rizika u 2023.‘, utvrditi koje sigurnosne tehnologije donose najveću vrijednost i ugraditi ih u korporacijski IT sustav.
– Važno je procijeniti svoju okolinu i ono što već imate prije nego što se požurite kupiti gomilu novih alata – izjavila je Sandy Carielli, glavna analitičarka u Forresteru.
Nulto povjerenje moćan je model koji može pomoći u poboljšanju kibernetičke sigurnosti kompanije, ali da bi se ostvario njegov puni potencijal, mora se promatrati u sklopu postojeće sigurnosne prakse.