Як Держдеп пропонує бізнесу захищатися від кібератак

У березні 2023 року Білий дім оприлюднив нову національну стратегію кібербезпеки США. Адміністрація Байдена вирішила перенести відповідальність за кібербезпеку від споживачів до державних і приватних компаній.

Водночас основою захисту цифрової інфраструктури має стати принцип "нульової довіри" (Zero Trust). Він апріорі вважає всі мережі скомпрометованими й вимагає безперервно перевіряти користувачів, пристрої та дані. Як цей підхід змінить світову ІТ-безпеку, та чи допоможе українському бізнесу захиститися від кібератак?

Нову стратегію кіберзахисту розробили після низки резонансних зламів федеральних установ США та атаки на трубопровідну систему Colonial Pipeline, що доставляє бензин, дизпаливо і авіагас із Техасу до Нью-Йорку.

У травні 2021 року російська хакерська група DarkSide зупинила роботу нафтопроводів, що постачали майже половину палива, яке споживається на східному узбережжі США.

Напередодні кібератаки зловмисники викрали та зашифрували 100 Гб даних з серверів компанії Colonial Pipeline і вимагали викуп за відновлення роботи. Після оплати $4,4 млн у криптовалюті хакери передали оператору дешифратор даних, але він працював дуже повільно.

Зрештою, президент Байден був змушений оголосити у 17 штатах надзвичайний стан. Владі довелось організувати постачання пального автоцистернами, але їх потужності не вистачило. Відновити роботу трубопроводів вдалось лише за тиждень.

Це – не перша масштабна кібератака на США. У 2020 російські хакери вставили шкідливий код в оновлення ПЗ державного постачальника SolarWinds.

Завдяки цьому розвідка рф впродовж кількох місяців мала безпрецедентний доступ до даних Пентагону, Міністерства фінансів, Державного департаменту, Міністерства внутрішньої безпеки та інших американських федеральних відомств.

Під загрозою опинився і бізнес, який використовує хмарні сервіси. Великі компанії є особливо привабливими цілями для кіберзлочинців, що прагнуть викрасти, знищити або отримати викуп за критично важливі та конфіденційні дані, такі як інтелектуальна власність, ідентифікаційна або фінансова інформація.

За оцінками компанії IBM, середня вартість витоку даних обходиться у майже $4 млн. І кількість та масштаб кібератак зростає з кожним днем.

Починаючи з 1990-х років для захисту критичних даних ІТ-індустрія покладалася на традиційні стратегії безпеки периметра. Ця модель передбачала використання брандмауерів та інших мережевих інструментів для перевірки користувачів, які входять і виходять з системи.

Користувачі та пристрої всередині захищеного периметру за умовчанням вважалися благонадійними та отримували доступ скрізь. Однак цифрова трансформація та перехід до гібридної хмарної інфраструктури зробили цю модель захисту застарілою.

Адже в організаціях з’являються тисячі людей, які підключаються з домашніх комп’ютерів поза контролем ІТ-відділу. До того ж користувачі, дані та ресурси розкидані по всьому світу, що створює додаткові кіберзагрози для бізнесу.

На відміну від традиційних підходів, модель "нульової довіри" працює за принципом "ніколи не довіряй, завжди перевіряй". Вона розглядає мережу як вже зламану, а тому не довіряє навіть легітимним користувачам усередині периметру.

Концепція Zero Trust надає доступ до корпоративних ресурсів за принципом "рівно стільки – скільки необхідно".

Перевіряється та авторизується кожне з’єднання, наприклад, коли користувач підключається до ПЗ або баз даних. Після чого встановлюється безпечний доступ через зашифрований тунель.

Базова архітектура Zero Trust складається з двох компонентів: довіреного шлюзу чи проксі-сервера, який за командою надає або відмовляє в доступі до ресурсів. А також контролера доступу, що здійснює автентифікацію й ухвалює рішення на основі внутрішніх і зовнішніх джерел.

Політика доступу до даних може бути наперед прописаною або ж генеруватися динамічно. При цьому адміністратор постійно отримує інформацію про стан усіх пристроїв у мережі, останні оновлення системи, наявність потенційних вразливостей або несхвалених організацією програм.

Модель "нульової довіри" може стати порятунком для українського бізнесу, кількість кібератак на який зросла удвічі за останній рік. Ворожі хакери масово застосовують фішинг, замаскований під офіційні листи. Та навіть підкупають персонал, який заражає внутрішні мережі шкідливими програмами, що відкривають зловмисникам доступ до системи.

Влітку 2022 року один із наших корпоративних клієнтів зазнав серії цілеспрямованих кібератак. Хакери завербували ІТ-адміністратора компанії, який заніс в систему вірус-шифрувальник. Після чого було зламано інфраструктуру та знищено всі дані.

Від багатомільйонних збитків і можливого банкротства компанію врятувало лише те, вона зберігала копію бекапів у хмарі. А тому змогла швидко відновити дані віртуальних машини та серверів.

Для захисту від хакерів, архітектура Zero Trust використовує мікросегментацію, щоб створювати периметри навколо певних типів конфіденційної інформації (даних платіжних карток, резервних копій тощо).

Користувач може бачити лише ті програми та сервіси, доступ до яких їм надано. При цьому постійно моніториться безпечність і благонадійність всіх власних та асоційованих пристроїв для виявлення аномалій і загроз.

Користувачі, які мають вразливості або вважаються скомпрометованими, отримують обмежені права, у порівнянні з тими, які вважаються безпечними. За потреби, обмін даними може блокуватися, доки користувач не буде перевірений набором атрибутів, як-от відбиток пальця або інший ідентифікатор. Відтак, навіть проникнувши в систему, зловмисник "загрузне" в ній і не зможе потрапити вглиб корпоративної мережі.

Архітектуру Zero Trust вже запровадили у свої продукти всі ключові гравці – компанії Palo Alto Networks, MobileIron, Illumio, Appgate, Akamai Technologies, Microsoft, Google, Forcepoint і Cisco.

А головне ІТ-відомство Пентагону DISA уклало контракт на майже $7 млн на розробку ІТ-архітектури "нульової довіри" в інформаційних мережах Міноборони США.

Бізнесу, який хоче побудувати екосистему кібербезпеки на основі стратегії "нульової довіри", слід дотримуватись трьох основних принципів.

1. Припиняйте кожне з’єднання. Такі інструменти, як брандмауери, перевіряють файли під час їх доставки. У разі виявлення шкідливого файлу, сповіщення часто надходять надто пізно. Натомість стратегія "нульової довіри" дозволяє вбудованій архітектурі проксі-сервера в режимі реального часу перевіряти весь трафік, зокрема і зашифрований, перш ніж він досягне місця призначення. А у разі виявлення програм-вимагачів або шкідливого ПЗ – розривати з’єднання.
2. Захист даних на основі контексту. Модель Zero Trust перевіряє запити на доступ і права на основі контексту, який включає ідентифікацію користувача, геолокацію пристрою, тип даних, запитувану програму тощо. Політики "нульової довіри" є адаптивними, відтак привілеї доступу користувачів постійно переглядаються відповідно до змін контексту.
3. Мінімізуйте ризик, зменшивши площу атаки. Завдяки підходу Zero Trust користувачі підключаються безпосередньо до потрібних їм програм і ресурсів, а не до мереж. Прямі з’єднання між користувачем і програмою усувають ризик бокового переміщення та запобігають зараженню скомпрометованими пристроями інших ресурсів. Крім того, користувачі та програми невидимі для Інтернету, тому їх неможливо виявити чи атакувати.

Наразі жоден з підходів до кібербезпеки не здатен захистити бізнес від усіх загроз. Використовуючи фішинг та інші засоби соціальної інженерії, хакери все ще можуть отримати доступ до цінних облікових записів або корпоративних ресурсів.

Однак Zero Trust – одна з найкращих з існуючих моделей захисту від загроз. Архітектура "нульової довіри" не дозволить зловмиснику рухатися далі та відмовить у доступі там, де він не авторизований.

А контекстуальний алгоритм помітить аномальну активність та заблокує скомпрометований обліковий запис. Найбільшою уразливістю цієї моделі залишаються DDoS-атаки на компоненти архітектури Zero Trust.

Проте їх можна захистити, розподіливши компоненти серед інфраструктури або розташувавши в захищеній хмарі.

Модель "нульової довіри" буде особливо корисною компаніям, які мають віддалених працівників і/або використовують хмарні сервіси. Цей підхід мінімізує площу кібератаки та їхні наслідки, зменшує час і витрати на реагування та очищення після злому. А отже, дозволяє бізнесу працювати навіть в умовах тотальної кібервійни, коли повністю довіряти не можна нікому, навіть власному сисадміну. А в поєднанні з іншими інструментами, таким як хмарні бекапи – Zero Trust забезпечить швидке відновлення вашої цифрової інфраструктури, навіть після масштабних кібератак.