Zero Trust не так прост
К такому выводу пришли в исследовании Global State of Zero Trust Report специалисты компании Fortinet (специализируется в области глобальных интегрированных и автоматизированных решений для кибербезопасности). Опрос показал, что, хотя большинство организаций понимают важность внедрения Zero Trust или находятся в процессе реализации инициатив, связанных с этой технологией, более половины из них не могут воплотить это представление в реализуемых ими решениях из-за отсутствия некоторых основных базовых принципов Zero Trust.
Zero Trust обозначает полное отсутствие доверия кому-либо - даже пользователям внутри периметра. Эта модель подразумевает, что каждый пользователь или устройство должны подтверждать данные каждый раз, когда запрашивают доступ к какому-либо ресурсу внутри или за пределами сети.
"В связи с развитием ландшафта киберугроз, переходом на удаленную работу и необходимостью безопасного управления приложениями в облаке модель Zero Trust является первостепенной задачей для организаций. Наше исследование показало, что, хотя большинство организаций в той или иной форме стараются внедрять Zero Trust, они не имеют целостной стратегии и не могут реализовать некоторые основные принципы безопасности этого подхода. Эффективное решение для закрытия всех основных потребностей, связанных с Zero Trust в инфраструктуре, включая конечные точки, облачные и локальные системы, требует использования подхода на основе платформы кибербезопасности с ячеистой структурой. Если решение не включает все эти пункты, оно будет лишено широкой видимости и интегрированности во все процессы", - прокомментировал Джон Мэддисон, первый вице-президент отдела маркетинга продуктов и решений компании Fortinet.
Отчет продемонстрировал увеличение количества и повышение уровня изощренности атак, направленных на частных лиц, организации и критическую инфраструктуру. Компании ищут решения для защиты от этих эволюционирующих угроз, и Zero Trust стоит здесь на первом месте по нескольким причинам. Кроме того, переход к удаленной работе обусловил особое внимание к сетевому доступу с нулевым доверием (ZTNA), поскольку организациям необходимо обезопасить себя и свои активы от последствий небезопасных подключений к домашним сетям с плохой защитой.
Отчет продемонстрировал некоторую путаницу в понимании, что включает в себя полноценная стратегия внедрения Zero Trust. Респонденты указали, что они понимают концепцию Zero Trust (77%) и ZTNA (75%), а более 80% сообщили, что уже имеют или разрабатывают стратегию внедрения Zero Trust и/или ZTNA. Тем не менее чуть больше 50% указали, что не могут реализовать основные возможности Zero Trust. Почти 60% указали, что у них нет возможности аутентифицировать пользователей и устройства на постоянной основе, а 54% испытывают трудности с мониторингом пользователей после аутентификации.
Пробел вызвал озабоченность исследователей, поскольку эти функции являются важнейшими принципами Zero Trust, что ставит под сомнение реальное положение дел с их внедрением в организациях. Дополнительную путаницу вносят термины "доступ с нулевым доверием" и "cетевой доступ с нулевым доверием (ZTNA)", которые иногда используются как взаимозаменяемые.
Приоритетом для Zero Trust является "минимизация последствий нарушений и вторжений", за которым следуют "защита удаленного доступа" и "обеспечение непрерывности бизнеса или другой деятельности". "Улучшение пользовательского опыта" и "достижение гибкости для обеспечения безопасности в любом месте" также являются важными приоритетами.
"Безопасность всей поверхности цифровых атак" была единственным наиболее важным преимуществом, указанным респондентами, за которым следует "лучший пользовательский опыт для удаленной работы (VPN)".
Подавляющее большинство участников опроса считают, что для решений безопасности с нулевым доверием жизненно важно быть интегрированными в существующую инфраструктуру, работать в облачных и локальных средах и быть безопасными на уровне приложений. Однако более 80% респондентов отметили, что внедрение стратегии Zero Trust в расширенной сети сопряжено с трудностями. Для организаций, не имеющих или не разрабатывающих такую стратегию, препятствия включают нехватку квалифицированных ресурсов, а 35% организаций используют другие ИТ-стратегии для решения проблемы Zero Trust.
Исследование основано на опросе руководителей ИТ-подразделений. Опрос проведен в сентябре 2021 г. с участием 472 руководителей в области ИТ и безопасности из 24 стран, представляющих практически все отрасли, включая государственный сектор.
Директор по цифровым решениям компании "ВС Лаб" Александр Хлуденев отметил, что модель Zero Trust трактует более консервативный подход к безопасности. "При имплементации такого подхода бизнес сталкивается с дополнительными издержками по администрированию системы, с возможным снижением продуктивности персонала - по крайней мере на период внедрения, - иногда даже клиентов. Такие издержки, естественно, являются барьерами, и бизнес вынужден идти на подобные проекты при серьезных аргументах, связанных со снижением безопасности на фоне роста применения облачных сервисов, удаленной работы и роста цифровых решений. Но последнее кажется необратимым, поэтому у модели есть все перспективы стать общепринятым подходом", - считает он.
Первый вице-президент "Опоры России" Павел Сигал подтвердил: в обеспечении кибербезопасности нуждается большинство компаний. "Перспективы у концепции Zero Trust хорошие, но многие компании, которые не разрабатывают такую стратегию, сталкиваются с нехваткой квалифицированных ресурсов. На применение данной концепции будут оказывать влияние такие факторы, как увеличение кибератак и желание компаний избежать слива данных в Сеть", - прокомментировал Павел Сигал.
Менеджер по продажам решений информационной безопасности Softline Николай Спирихин отметил, что в соответствии с целями и задачами, которые ставят компании, основным драйвером для рассмотрения и перспективной реализации системы безопасности по модели Zero Trust является рост векторов возможных атак и воздействия злоумышленников. "Это влечет увеличение реализации рисков и необходимость качественного пересмотра архитектуры используемых средств защиты информации. Важно принять во внимание как доступность внутрикорпоративных сервисов, приложений и потенциальных субъектов, осуществляющих подключение, так и возможное воздействие на критичные процессы и обрабатываемую информацию. Это трудоемкая задача, но необходимая для модернизации системы безопасности, для получения надлежащего контроля и видимости протекающих процессов, несмотря на более тесную связь с "внешним миром" и глобальной сетью Интернет. Российские компании более скептически относятся к работе с корпоративной информацией вне периметра организации и "контролируемой зоны", особенно учитывая требования законодательства и регуляторов в области ИБ. Но, в связи с мировыми тенденциями, развитием информационных технологий и эпидемиологической ситуацией, которая послужила вынужденным драйвером для бизнеса, последние годы показали, что обеспечение удаленной работы сотрудников и использование облачных технологий положительно сказываются на эффективности персонала и количественных показателях бизнеса. Рассматривая проблематику имплементации концепции Zero Trust для компаний на территории России, ввиду схожести информационного взаимодействия, кардинального отличия не наблюдается. Данный подход применим, требует детального рассмотрения и на текущий момент движется к активному использованию во многих организациях", - уверен Николай Спирихин.
Исполняющий обязанности директора центра компетенций по информационной безопасности "Т1 Интеграция" Игорь Кириллов считает, что вопрос оценки темпов освоения компаниями концепции Zero Trust в России сложен и неразрывно связан с уровнем зрелости в области информационной безопасности в целом и рядом факторов, которые могут замедлять процесс освоения. "Например, осложняет процесс то, что концепция охватывает очень обширную область систем предприятий, которые необходимо между собой связать. Также требования федеральных законов по использованию сертифицированными регуляторами средств защиты информации и российских алгоритмов криптографии, требования по импортозамещению накладывают свой отпечаток: средства защиты, выполняющие эти требования, часто не могут быть полноценно интегрированы как между собой, так и в рамках концепции. В принципе не все уже реализованные системы интегрируются в концепцию Zero Trust. Если у компании сложная, исторически сложившаяся инфраструктура, то устаревшие элементы - устройства и программное обеспечение - могут ограничить воплощение концепции, а их замена требует капитальных вложений и времени. Дефицит компетентных специалистов в области информационной безопасности также замедляет применение концепции. Специалисты ИТ- и ИБ-подразделений нужны, чтобы разработать стратегию, целенаправленно ее выполнять, обслуживать ИБ-систему для ее корректного функционирования и обеспечения требований. Таким образом, переход на концепцию "нулевого доверия" для многих организаций может оказаться долгим и потребовать определенных усилий", - прокомментировал Игорь Кириллов.