Zero Trust

המדריך המלא

חולשות וחוזקות של מודל  Zero Trust והדרך הנכונה להטמעה

בבתי המשפט בישראל ובארה”ב הנאשם חף פשע עד שהוכחה אשמתו.
במודל ה- Zero Trust בעולם אבטחת המידע, ההיפך הוא הנכון. כל דבר וכל אחד נחשב בגדר חשוד – הוא מתושאל, נחקר ונבדק – עד אשר אנו בטוחים לחלוטין שניתן לאשר לו גישה.

התפתחות ה- Zero Trust

Zero Trust היא תפיסה שפותחה על ידי ג’ון קינדרוואג ב- 2010 במסגרת תפקידו כסגן נשיא ואנליסט ראשי של Forrester Research. כאשר קינדרוואג בחן את הכשלים הקיימים בעצירה של איומים בארגונים, ובמיוחד את התנועה הרוחבית שאיומים מבצעים ברשתות, הוא הבין שמודל האבטחה המסורתי מתבסס על הנחה מיושנת – שכל מה שנמצא בתוך הרשת הארגונית הוא אמין. במקום זאת, מודל Zero Trust פשוט מבצע היפוך של המודלים הישנים, ומכווין את צוותי ה- IT לפעולה על פי העיקרון: “לעולם אל תבטח, תמיד תאמת”, תוך שהוא מגדיר מחדש את גבולות הרשת והנתונים.

במהלך 10 השנים האחרונות, יותר ויותר עסקים נעו אל עבר מודל Zero Trust, כשהם מתרחקים מהתפיסה המסורתית של “חומות הגנה על טירה “, ומאמצים יותר ויותר את המציאות בה קיימים איומים פנימיים דינאמיים.

בהמשך נבחן בוחנים את מודל ה- Zero Trust לעומק, כולל החוזקות והחולשות שלו, כדי לסייע לארגונים להעריך האם צריכים לאמץ את הפילוסופיה עבור המבנה שלהן.

מה זה Zero Trust?

סקר: המטרה המועדפת על האקרים

האם אתה יודע אילו הרשאות גישה יש לחשבונות השירות – Service Accounts – של אפליקציות שונות? 

בסקר אחרון שקיימה Thycotic בכנס BlackHat עלה שחשבונות שירות הם מטרה אהובה על האקרים בגלל היכולת שהם מספקים לנוע לרוחב הארגון.

קרא אודות  תוצאות הסקר ועל חשבונות שירות >>

Zero Trust היא דרך פעולה לאבטחת מידע אשר קובעת כי ארגונים לא צריכים לבטוח באף גורם בתוך או מחוץ לרשת הארגונית שלהם, בכל זמן. היא מסייעת להגדיר את השקיפות ואת בקרי ה- IT הנדרשים כדי לאבטח, לנהל ולנטר כל מכשיר, משתמש, אפליקציה ורשת, השייכים לארגון – כולל מתן אפשור העובדים והקבלנים, כדי לגשת לנתונים ארגוניים.

המטרה של תצורת Zero Trust צריכה להיות ברורה: להגביל גישה לנתונים רגישים, אפליקציות, ומכשירים, על בסיס  need-to-know only. 

לדוגמא, עובדים במחלקה הפיננסית צריכים תוכנה לחשבונאות, וכל היתר צריכים להיות מורחקים ממנה. עובדים מרחוק צריכים להשתמש ב- VPN – בעוד גישה מהאינטרנט הפתוח צריכה להיות חסומה. גם שיתוף של מידע צריך להיות מוגבל ותחת שליטה. זרימה החופשית של מידע, על אף שמדובר באחד מהעקרונות הבסיסיים ביותר של האינטרנט, צריכה להיות מוגבלת. רק כך ניתן להגן על רשתות מפני חדירה, על הלקוחות מפני פגיעה בפרטיות, ועל ארגונים מפני התקפות על התשתית ועל הפעילות.

התמצית של אסטרטגיית ה- Zero Trust היא בסופו של דבר – בחינה של כל תעבורה, יוצאת או נכנסת. אבל ההבדל בינה לבין מודלים אחרים של אבטחה, היא שאפילו תעבורה פנימית – תעבורה שאינה חוצה את קוי ההגנה ההיקפית של הארגון, חייבת להיות מטופלת באותה מידה כאיום פוטנציאלי.

בעוד שעל פניו נראה שמדובר בגישה מחמירה מאוד, צריך לשקול אותה לאור השינויים באופק האיומים שחלו ב- 10 השנים האחרונות: מאות דליפות ופריצות למידע ציבורי; מתקפות כופר שעצרו את הפעילות באלפי נקודות קצה, בתשתיות עירוניות, בתי ספר ושירותי בריאות; ומיליוני רשומות עם מידע אודות משתמשים שדלפו מתוך בסיסי נתונים עסקיים. ככל שעברייני הסייבר מעבירים את המיקוד שלהם למטרות עסקיות, Zero Trust הופך לגישה ההגיונית ביותר כדי להדוף את מספר ההתקפות ההולך וגובר.

הטמעה של Zero Trust

הטמעה של מודל Zero Trust בארגון אינה רק שינוי קל בדרך ההסתכלות על אבטחה. היא דורשת שקיפות מלאה לגבי הגורמים והפעילות במחלקות החברה, כולל התוכנות הפעילות, רמות הגישה, מכשירים, והדרך בה כל אחד מאלה ייראה בעתיד.

לעיתים קרובות, עדיף לבנות רשת Zero Trust מחדש, מהקרקע למעלה, מאשר לארגן רשת קיימת כרשת Zero Trust. זאת, מכיוון שרשתות קיימות צריכות להמשיך ולפעול כדי לתמוך בפעילות העסקית לאורך תקופה המעבר. בשני התרחישים, צוותי אבטחה ו- IT צריכים להחליט על אסטרטגיה אשר תגדיר את התצורה האידאלית של תשתית שתשרת את המודל, וגם להתוות את הדרך, צעד אחר צעד, כדי להגיע לשם.

לדוגמא, כאשר מקימים משאבים ומרכזי נתונים, ייתכן וארגונים יצטרכו להתחיל מאפס, במיוחד אם מערכות מסורתיות שלהם אינן תואמות לסביבת Zero Trust – ולעיתים קרובות הן באמת כאלה. אבל אפילו אם חברות לא צריכות להתחיל מאפס, הן עדיין צריכות לארגן מחדש פעילויות שונות סביב מדיניות אבטחת המידע – כגון הדרך בה מפעילים תוכנה או מצרפים עובדים, או דרך הבחירה של שיטות האחסון השונות.

נקודות החוזקה של
ה- Zero Trust

בניה של תשתית Zero Trust אל תוך התשתית הארגונית יכולה לחזק את היסודות עליהם נבנים ה- IT  והאבטחה. בין אם באמצעות חיזוק יכולות זיהוי המשתמש ומדיניות הגישה, או בעזרת סגמנטציה של נתונים, ובין אם מדובר בהוספת חסמים פשוטים להגבלת גישה על בסיס צורך בלבד – ה- Zero Trust יכול לסייע לארגונים לחזק את עמדת האבטחה שלהם ולצמצם את מישור התקיפה.

להלן 4 יסודות של Zero Trust
שארגונים צריכים לאמץ:

  • זיהוי חזק של משתמשים ומדיניות גישה יציבה

  • סגמנטציה של נתונים ומשאבים

  • אבטחת מידע חזקה באחסון ובתעבורת הנתונים

  • אורקסטרציה של אבטחת מידע

1. זיהוי משתמשים וגישה

שימוש באימות רב גורמים – multi-factor authentication (MFA), צריך לספק לצוותים מידע שיספיק כדי להבטיח את הזהות של מבצע הבקשה. מבנה המדיניות צריך להיות מדויק כדי להבטיח את המשאבים שניתן לגשת אליהם בהתבסס על אותו הזיהוי.

פתרון Yubikey מאפשר להוסיף שכבת אימות פיסית לאימות המשתמש, ובמקביל לייעל את תהליך הגישה למשאבים.
1.הזמן בחנות האונליין של מולטיפוינט 
2. קרא כיצד פייסבוק וגוגל מייעלות את העבודה ומחזקות את האבטחה עם רכישת Yubikey לכל העובדים

ארגונים רבים יוצרים שער גישה לנתונים ואפליקציות באמצעות הפעלת פלטפורמות זיהוי משתמש כשירות (IDaaS) עם Single Sign On. במודל Zero Trust, הגישה הזו מוגנת גם באמצעות אימות חזק לגבי זהות מבקש הגישה, ההקשר שבה מבוצעת הבקשה, והסיכון של מתן הגישה לסביבה עוד בטרם מתן אישור הגישה. במקרים מסוימים, המשמעות היא הגבלה של הפעולות והמשאבים. במקרים אחרים, ייתכן ויש צורך להוסיף שכבת אימות נוספת או הגבלת זמן הגישה.

באמצעות כלי אוטומציה ניתן ליצור בקלות כספת מאובטחת לסיסמאות, לגלות את כל ההרשאות לרוחב הארגון, לנהל את ההרשאות ולהאציל סמכויות של מתן גישה עבור צוות ה- IT וגורמים בעלי עניין. קרא עוד אודות Thycotic

חלק חשוב ביכולת להטמיע Zero Trust היא שמירה על עבודה חלקה ושקופה עבור המשתמשים. פתרון OneLogin מאפשר למשתמשים להזדהות רק פעם אחת כדי לגשת לאפליקציות שלהם בענן או מאחורי הפיירוול – דרך המחשב השולחני, טלפון נייד או טאבלט. אמצעי בסיסי זה לניהול זהות וגישה (IAM) הוא הצעד הראשון לבניית חווית שימוש אמינה עבור כח העבודה, לקוחות ושותפים.

2. סגמנטציה

הפעלה של מדיניות גישה חזקה אינה אפשרית  ללא סגמנטציה מתאימה של נתונים ומשאבים. כאשר מסתפקים במתן גישה למאגר גדול אחד של נתונים, נוצר מצב בו כל אחד שעובר את שער הכניסה יכול לקפוץ פנימה ולאסוף נתונים מכל הבא ליד.

באמצעות סגמנטציה של הרשת הארגונית למחלקות, מודל ה- Zero Trust מגן על נכסים חיוניים מפני משתמשים בלתי מורשים, מצמצם את מישור ההתקפה באמצעות הוצאת מערכות רגישות מחוץ לטווח, ומונע תנועה רוחבית של איומים לרוחב הרשת. סגמנטציה גם יכולה לסייע להגביל את התוצאות של איומים פנימיים.

3. אבטחת מידע

אפילו עם הגבלת הגישה לנתונים והקטנת מישור התקיפה באמצעות סגמנטציה, ארגונים עדיין חשופים לפרצות, דליפות נתונים, ויירוט של נתונים – זאת במקרה והם לא מאבטחים נתונים במנוחה ובתנועה. הצפנה מקצה לקצה, Hashing של נתונים, גיבוי אוטומטי, ואבטחה של Buckets בענן, הם חלק מהדרכים ליצירת Zero Trust במסגרת תוכנית אבטחת המידע.

בעידן החדש של המחשוב, לא תמיד הרשת וכל התשתית נמצאים בשליטת הארגוןף ולא תמיד הן מאובטחים ברמה הרצויה. עם פתרונות CERTES ניתן ליצור הצפנה גם על מידע בתעבורה וגם מידע נייח, כדי ליצור קו הגנה אחורי גם במצב כזה – ממרכזי נתונים ועד סניפים, מרשתות LAN ל – WAN פרטיות

4. אורקסטרציה של אבטחת מידע

בסופו של דבר, חיבור כל היסודות האלה הוא המרכיב החשוב באורקסטרציה של אבטחת מידע. ללא מערכת ניהול אבטחה, ארגונים המשתמשים ב- Zero Trust צריכים למצוא דרך אחרת להבטיח כי כל פתרונות האבטחה פועלים היטב ומכסים את כל אפיקי התקיפה. חפיפה בין אמצעי ההגנה השונים אינה בעיה בפני עצמה, אבל היא בהחלט מייצרת אתגרי ניהול ובזבוז של משאבים.

הבסיס לאורקסטרציה הוא לייצר שקיפות מלאה ומבט כולל על כל הפעילות לרוחב הארגון. פתרונות Varonis ו- ExtraHop מייצרים שקיפות מלאה אל כל הפעילות המתרחשת בארגון, מזהים איומי אבטחה ומסייעים להגיב בהתאם. 

אתגרים של Zero Trust

Zero Trust היא תפיסה מקיפה לאבטחת גישה לרוחב רשתות, אפליקציות וסביבות, כולל משתמשים, מכשירי קצה, API, IoT, מיקרו שירותים, קונטיינרים ועוד. כאשר מנסים להכיל את כל אלה צצים מספר אתגרים:

    • יש יותר משתמשים ויותר סוגים שלהם (במשרד ומרחוק)

    • יש יותר מכשירים ויותר סוגים שלהם (ניידים, IoT, ביוטק)

    • יש יותר אפלקציות ויותר סוגים שלהן (CRM, ERP, שיתוף קבצים)

    • יש יותר דרכים של גישה ואחסון נתונים (ענן, קונטיינרים, ניידים)

משתמשים

בעבר הלא מאוד רחוק, היה שכיח שרוב כח העבודה בילה את רוב שעות העבודה במשרד. כיום, על פי מגזין פורבס, לפחות 50 אחוזים מאוכלוסיית ארה”ב עובדת בצורה מסוימת מרחוק. המשמעות היא גישה לנתונים מ- IP ביתי, נתבים, או רשתות Wi-Fi ציבוריות, ללא שימוש ב- VPN.

תוכנת שרת WS_FTP של חברת Progress. מעבר להצפנת התעבורה היא גם קלה לשימוש עבור העובדים, ופשוטה לניהול עבור צוות ה- IT

אבל משתמשים בארגון אינם רק העובדים. לעיתים הלקוחות הם אלה שצריכים גישה למשאבים ארגוניים, תלוי בתעשייה. חישבו על לקוחות אשר רוצים לבצע הזמנות, לבדוק מלאי, להשתתף בגרסאות דמו, וכמובן לגשת לאתר החברה. ספקים וחברות שירותים חיצוניות, עלולים גם הם לגשת לחלקים מסוימים בתשתית הארגונית כדי לבדוק פעילות, בטיחות והתקדמות.

כל הישויות האלה מייצרות בסיס משתמשים רחב ומספר גדול של נקודות גישה בהן יש לשלוט. יצירת מדיניות ספציפית לכל אחת מהקבוצות והמשתמשים הבודדים יכולה לגזול זמן רב, והתחזוקה של זרם העובדים והלקוחות הקבועים יכולים להוסיף עומסי עבודה משמעותיים עבור מי שינהל את המשימה.

בדוק את פתרון One Login כדי לאפשר לספקים, לקוחות וגורמים חיצוניים, גישה קלה ומאובטחת למשאבים ארגוניים

מכשירים

בעידן זה של מדיניות BYOD ומכשור IoT, בנוסף למגמה של עובדים “מחוברים תמיד”, ארגונים חייבים לאפשר מגוון גדול של מכשירים המשמשים לעבודה, וכמובן של מערכות ההפעלה השונות. לכל אחד מהמכשירים האלה יש מאפיינים משלו, דרישות, ופרוטוקולים, אשר צריכים להיות מנוטרים ומאובטחים תחת מודל ה- Zero Trust. גם כאן, נדרשת עבודה מוקדמת אשר בסופו של דבר תביא לתצואות חיוביות.

בדוק את היכולות של F-Secure ליצירת מערך הגנה חזק עבור מכשירים מכל הסוגים, כולל מכשירים ניידים

אפליקציות

גורם נוסף שמייצר אתגר אותו יש לקחת בחשבון כאשר מאמצים אסטרטגיית Zero Trust, הוא מספר האפליקציות המופעלות לרוחב הארגון כדי ליצור תקשורת ושיתוף פעולה בין צוותים ואנשים. המגוון הגדול ביותר של האפליקציות הן אלו מבוססות הענן, וניתן להשתמש בהן לרוחב פלטפורמות שונות. המגוון הזה צריך להיכנס לשיקול כאשר מחליטים מה להרשות ומה לא.

האם האפליקציות משותפות עם נותני שירות, סוכנויות או ספקים? האם פלטפורמות התקשורת פונות החוצה, ולא רק משמשות את העובדים? האם האפליקציה הכרחית רק עבור מחלקה מסוימת, כגון פיננסים, תכנון או פיתוח? את כל השאלות האלה יש להציג ולענות עליהן לפני שמאמצים מערך של 60 אפליקציות עבור כח העבודה כולו.

מפעיל Office 365? הגרסה החדשה של Netwrix מסייעת לשלוט על הגישה לנתונים באפליקציה – קרא עוד בנושא 

נתונים

סיבה אחת בגינה גרסאות אחרות של מדיניות אבטחה התיישנו, היא שאין יותר מיקום אחד, קבוע, עליו צריך להגן. ארגונים כבר לא יכולים להגן על נקודות קצה או על הרשת הארגונית. יותר ויותר משאבים, נתונים ואפילו אפליקציות מאוחסנים בסביבות ענן, והמשמעות היא שניתן לגשת אליהם מכל מקום.

גם המעבר למחשוב בקצה מוסיף שכבת מורכבות לדברים. צוותי ה- IT נדרשים לעבור מתשתית מרכזית, הנבנית מלמעלה למטה, למודל אמון מבוזר. כפי שראינו בסדרה של Malwarebytes אודות משאבי ענן נזילים (AWS Buckets ו- elastic servers), התצורה של תשתית הנתונים בשירותי ענן חייבת להיות ללא פגם אם ארגונים לא מעוניינים שזו תהפוך לחוליה החלשה באסטרטגיית ה- Zero Trust שלהם.

האם אתה יודע אם הנתונים הרגישים שאתה מאחסן נמצאים בחשיפת יתר? מי יכול לגשת אליהם? איזו פעילות מתרחשת סביבם? פתרונות Netwrix מסייעים לך לתת תשובות לשאלות החיוניות האלה, ומאפשרים לך להבטיח כי בקרי האבטחה המתאימים מוטמעים סביב הנתונים הרגישים ביותר. בנוסף, הפלטפורמה מזהה פעילות חריגה בשלב מוקדם, ומגיבה לפני שהאיום מתפתח לדליפת נתונים

סיכום: לבטוח או לא לבטוח, זו השאלה

יצירת סביבת Zero Trust כוללת אינה משימה פשוטה, אבל היא בהחלט מחזקת את עמדת האבטחה הכוללת של הארגון. צוותי IT המחפשים כיצד לשכנע מנכ”לים מדור קודם לגבי הצורך במהלך מקיף, יצטרכו לבסס את הטיעונים שלהם. לדוגמא, אם כבר מתוכנן מעבר של משאבים לענן, זהו זמן טוב להציע Zero Trust.

שינויים באופק האיומים, כולל פגיעויות חדשות ב- VPN ו- Citrix, בנוסף לתוכנות כופר המסופקת דרך פרוטוקול RDP, יכולות לעודד את הארגון לבחון את האימוץ של פתרון Zero Trust,  אפילו רק לצורך הפעלת ניהול זהויות וגישה. ארגונים אלה צריכים להגדיר תקופת מעבר כדי להיות ערוכים לשינויים משמעותיים.

סביבת Zero Trust טובה, שאינה מאפשרת תעבורה אוטומטית בתוך הרשת, כנראה תפגע ביכולת התנועה הרוחבית של תוקפים לאחר שחדרו לארגון. ההתפשטות של איומים ממוקדים בעסקים, כגון Emotet ו- TrickBot, תפגע, מאחר והם לא יוכלו לבצע מעבר משרת לשרת ברשת המכילה סגמנטציה. מאחר ונקודות הפריצה הן בדרך כלל לא המטרה המרכזית של התוקף, הפעלה של הגנה היקפית פנימית תאפשר הגבלה של הנזק במקרה של תקיפה מוצלחת.

אם מוסיפים לאלה היגיינה חזקה של אבטחת מידע ואורקסטרציה חכמה המספקת כיסוי עבור איומים אלה, מערכות הפעלה ופלטפורמות, עסקים מקבלים סביבת אבטחה חזקה מספיק אל מול איומים מודרניים.

חושב על Zero Trust? אתה מוזמן לקרוא  את הכתבה “המדריך ל- CISO – כך תיכנס לחדר ישיבות הדירקטוריון ותצא מנצח

רוצה להפוך את הארגון ל-CyberStrong?
צור קשר עם נציג Multipoint כבר עכשיו

רוצה לקבל ייעוץ על אסטרטגית אבטחה CYBER STRONG?

צור קשר עם נציג מולטיפוינט

השאר פרטים וניצור קשר בהקדם

השאר פרטים לקבלת גרסת ניסיון