Новая концепция кибербезопасности Zero Trust

Алексей Лукацкий
Бизнес-консультант по безопасности
Новая концепция
кибербезопасности
Zero Trust

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Существует всего
два вида
компаний – те,
кого уже
взломали, и те,
кто еще об этом
не знает!

Почему несмотря
на усилия, число
инцидентов не
становится
меньше?

5 ноября4 ноября
Дискретность проверок
Пользователь А
Вход в систему
Пользователь Б
Приложение X
Доступ к данным Пользователь А
Сетевой доступ 1
Доступ в Интернет
Сетевой доступ 1
Доступ в Интернет
Пользователь А
А что было между?
А что было между?
Уязвимостей
Прав доступа

Trust
Trusted SystemTrusted relationship
Trustworthy
Trust Domain
Web of Trust
Trusted Advisor
Trusted Platform Module Trusted Computing Group
Trusted Execution Technology
Root of trust
Trusted Execution Environment
Trusted Computing
Trusted Boot
Trusted Network Connect
Chain of trust
Trusted Computer System Evaluation Criteria

Мы стали
заложниками
термина
«доверие» в
ИБ L

К чему приводит
злоупотребление
доверием?

VPNFilter Инструменты
Тактики
• Направлена на периметровые устройства
• Перенаправляет и изменяет сетевой трафик
Процессы
• Брать все, искать интересующее
• Заразить и закрепиться
• Фреймворк для построения собственных
ботнетов
• Модульная архитектура для обновления
• Сложная C2 & многоходовая платформа
• Ботнет из периметровых сетевых
устройств и систем хранения
• Инфицировано свыше 500K
уязвимых устройств (не Cisco)
Описание
DNS
мониторинг
NGFW, NGIPS
NTA

Nyetya
Presentation ID
Инструменты
Тактики
• Цепочка поставок и от жертвы к жертве
• Быстрое распространение
• Разрушение систем / сетей
Процессы
• Разработан для максимально быстрого и
эффективного нанесения ущерба
• Похож на вымогателя, но является
деструктивным по сути
• Ransomware с тактикой червя
• Спроектирован для распространения внутри,
не снаружи
• Использование Eternal Blue / Eternal Romance
и Admin Tools (WMI/PSExec)
• Продвинутый актор, ассоциированный с
государством
• Деструктивная атака маскировалась под
Ransomware
• Наиболее дорогой инцидент в истории
Описание

CCleaner Инструменты
Тактики
• Цепочка поставок и от жертвы к жертве
• Медленная внутренняя разведка
• Сложная многоходовая атака
Процессы
• Высокоточная идентификация жертв
через датамайнинг
• Ориентирован на скрытность, рассчитан
на долгую «игру»
• Целевой фишинг
• Комплексная разведка и профилирование
цели
• Кейлогер и вор пользовательских учетных
данных
• Продвинутый актор, ассоциированный с
государством
• Возможность выполнять сложные и
длинные операции, фокусированные на
краже интеллектуальной собственности
Описание

Атака «водопой» (water hole)
Взлом ASUS, Avast,
поставщиков
промышленного ПО и
др.

Доверие антивирусу?
Источник: Group-IB
Нет антивируса
14%
Kaspersky
44%
Microsoft
16%
Symantec
7%
Dr.Web
8%
Другие
11%

Традиционная
модель ИБ,
основанная на
доверии к
периметру
Защищенный периметр

17 каналов проникновения плохих парней в
вашу организацию через доверенный периметр
1. E-mail
2. Web
3. Site-to-Site VPN
4. Remote Access VPN
5. Sharing resources
6. USB
7. Wi-Fi
8. Warez
9. BYOD
10. Embedded
11. Клиент-сервер с
шифрованием
12. DevOps
13. Подрядчики
14. SSL Pinning
15. «Водопой» (Waterhole)
16. DNS
17. Облако

Веками
испытанный метод
взлома
Перестань действовать в лоб,
взломай изнутри

В современных предприятиях данным
разрешено перемещаться между…
Любыми
пользователями
Сотрудники
Контрактники
Партнеры
Любыми
устройствами
Корпоративные
Собственные
IoT
Любыми
приложениями
ЦОД
Мультиоблако
SaaS
В любых
местах
Внутри сети
Через VPN
Вне сети

Политики белых
списков для обычной
активности
Безопасность
требует
непрерывных
обнаружения
и
верификации
Бизнес все чаще оперирует в серой зоне
Идентификатор
пользователя
Статус
устройства
Профиль
устройства
Зависимость
приложений
Файл · IOC
Домен
IP · URL
Отправитель
сообщения
Шаблон
поведения
Политики черных
списков для вредной
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Нулевое доверие?
Что это?

Краткая история концепции Zero Trust
Депериметризация
Международная группа
корпоративных CISO и
производителей (Cisco
хостила первую встречу)
Фокусировка на решении
проблемы
“депериметризации”
Первые рекомендации по
“необходимости в
доверии”
Слияние подходов
Forrester объявляет Zero Trust
Google публикует их ZT
подход, назвав BeyondCorp
Forrester расширяет Zero
Trust eXtended
Gartner называет свою
модель Continuous Adaptive
Risk and Trust Assessment
Генерализация
Индустрия
признает термин
Zero Trust
Architecture как
общее название
2014 2010 2014 2017 Сегодня
Jericho Forum ZT BeyondCorp CARTA & ZTX ZTA
СЕГОДНЯ

Три компонента оригинальной Zero Trust
Устранение доверия к
сети
Предположим, что весь трафик,
независимо от местоположения,
является вредоносным трафиком,
пока не будет подтверждено, что
он авторизован, проверен и
защищен
Сегментация на
уровне сети
Стратегия минимума
привилегий и строгий
контроль доступа только к
тем ресурсам, которые
необходимы для
выполнения своей работы
Сетевой мониторинг
и аналитика
Постоянно проверяйте и
регистрируйте весь
трафик как на внутреннем,
так и на внешнем уровне
на предмет вредоносных
действий
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Internal
External

Zero-trust данные
Защищайте и управляйте
данными, классифицируйте
и разрабатывайте схемы
классификации данных, а
также шифруйте данные
как при хранении, так и
при передаче
Zero-trust пользователи
Аутентификация
пользователей и постоянный
мониторинг и управление их
доступом и привилегиями.
Защитите пользователей, когда
они взаимодействуют с
интернетом
Три новых компонента Zero Trust eXtended
Zero-trust приложения
Обеспечить контроль всего
стека приложений, особенно
соединений между
контейнерами или
гипервизорами в
общедоступном облаке

Сравнение двух подходов
Модель угроз Действие во времени Статичные политики
Традиционный
(Думаем, что
исчерпывающе) знаем
угрозы, защищаемся от них
После авторизации права
доступа действуют
постоянно
Не зависят от прошлого и
текущего контекста, доступ
не изменяется вслед за
контекстом
Модель доверия Действие на транзакцию Динамичные политики
Zero Trust
Знаем где данные,
фокусируемся на
ограничении доступа к ним
Каждый пользователь,
устройство и приложение
должны
аутентифицироваться и
авторизация зависит от
оценки рисков транзакции
Изменяются в зависимости
от контекста пользователя,
устройства, приложения,
учитывая предыдущие
транзакции

Use case для Zero Trust
Доступ 3-их лиц
Недоверенные
сообщества
Доверенные
сообщества
Устройства &
мобильность
Интернет
вещей (IoT)
• Изолированный доступ для поддержки
• Доступ поставщиков к приложениям и данным
• Разделение ключевых бизнес-функций
• Гостевой доступ
• Отделы I&O / SecOps
• Региональные ограничения (например, Китай)
• Локализованные сайты
• Поглощенные активы
• Интегрированные проводные/беспроводные сети
• BYOD
• Доступ по VDI
• Виртуализированная инфраструктура
• Изоляция / сегментация IoT в корпоративной сети
• Изоляция трафика в ЦОДе

Use case для Zero Trust
Облака
Локальная сеть
ЦОДы
VPN
Overlay & routing
• Изоляция Multi-tenant
• Контроль бэкапов и резервирования
• Контроль границ для сервисов
• Контроль зависимостей между приложениями (app2app, app2infra)
• Трафик «Восток – Запад»
• Трафик «Север – Восток»
• Взаимодействие между ЦОДами
• Единый домен маршрутизации на всем протяжении
• Изоляция маршрутов (глобальные vs виртуальные)
• Обеспечение качества сервисов для критичных для бизнес
• Консолидация стека сетевой безопасности

Это все теория?
А есть примеры
реализации?

Современная Cisco
1
10,690
UCS серверов
76,136
Виртуальных машин
28.1MW
Питание в ЦОДах
87PБ
Общее хранилище
72,354
сотрудников
434
офисов
94
стран
6,243
маршрутизаторов
8,415
коммутаторов
133,361
пользователей
192,770
Пользовательских
устройств
100
сервисов
SJC
45%
RTP
14%
AM Other
6%
EU/EM 7%
India
21%
AP Other
7%
Распреде-
ление ИТ-
персонала
7.6 миллиардов
DNS запросов ежедневно
500+
Облачных ASP
47TБ
ежедневно
468
WLCs

Проблемы доступа для наших приложений, сети
и ЦОДов
IoT-доверие
Подтвердить профиль
устройства, используя
сетевые сенсоры
перед предоставление
доступа
Доверие к
приложениям
Определение и
подтверждение эталонного
поведения трафика и
приложений, используя
хостовые и сетевые сенсоры
Доверие «пользователь-
устройство»
Подтвердить идентификацию
пользователя и здоровье
устройства перед
предоставлением доступа к
вашим приложениям и сети
Сетевая команда и команда ИБ
Команда
IT/OT/LoB
Команда IT или Line-of-
Business
Команда ЦОД

4 столпа доверенного предприятия в Cisco
Secure
Administration
Identity Services
Engine (ISE)
Software Defined
Access
Доверенный
доступ
Single Sign On
802.1x
Multi-Factor
Authentication
Доверенная
идентичность
Trusted Endpoint
Trusted Server
Trusted Network
Network Services
Orchestrator
Доверенная
инфраструктура
Internal App
security
baselines
SaaS security
baselines
IaaS security
baselines
Доверенные
сервисы

Три технологии доверенной идентичности
Microsoft Active Directory
• Аутентификация пользователей в Windows, Macintosh и Linux
• Клиентские приложения: Outlook Email и Calendar, SharePoint, …
Аутентификация 802.1x
• Для проводных и беспроводных сетей, VPN
и домашних офисов
• Cisco Identity Services Engine (ISE)
Управление идентификацией
• Для мобильных, облачных и корпоративных приложений
• Многофакторная аутентификация и Single Sign on.
• Пользователи могут войти в систему один раз в начале дня и
оставаться в ней пока активна их сессия

Аутентификация 802.1x с помощью Cisco ISE
Корпоративный доступ
Wired, Wireless, VPN, Home Office
802.1x
802.1x
802.1x
SGT
Свыше миллиона
активных
профилированных
“устройств”
Max ~250K параллельных
“устройств”
26K домашних офисов;
~60K ПК
639 WLC; ~200K ПК
70 ASA; ~90K ПК
2K коммутаторов доступа
~200K ПК
8 DivBiz сегментов; ~8K ПК
98 стран
580 офисов
122K пользователей
Только Интернет
~14K гостей/неделя
Central Web Auth

Cisco ISE является мощным источником
контекста для мониторинга
Условия и права доступа зависят
от «идентификации» (контекста
доступа) устройства:
• OUI: Вендор + другие атрибуты
• Профилирование и/или DNS

Многофакторная аутентификация
32BRKCOC-1012
• Почему MFA?
• Слабые или украденные учетные записи являются
мощным оружием хакеров, используемым в 95% всех
Web-атак. MFA может предотвратить это
• Цифровой логин
• Трансформация традиционного имени + пароль в
что-то более безопасное и бесшовное
• Пароль сам по себе больше не обеспечивает
безопасности
• MFA / Multi-Factor Authentication
• Больше чем одно устройство или технология
• Пример: приложения могут требовать дополнительный
одноразовый код или биометрию для входа

Yubikey поддержка, только дотронься и
ты вошел!
Генератор
мобильных кодов
Мобильное
приложение
Мобильное
сообщение (SMS)
Голосовой вызов
Приложение на
десктопе
Email
Yubi Key
Duo Push
Опции MFA

Доверенные оконечные устройства
Стандарт доверенного устройства
Регистрация устройства
Anti-malware
Версия ОС
Обновление ПО
Шифрование
Обнаружение root/jailbreak (только для мобильных)
Пароль/Скринсейвер
Удаленная очистка данных
Управление устройством (MDM)
Инвентаризация ПО и железа
Cisco Security Suites
CISCO CYODКУПЛЕНО CISCO
65,344
MOBILE
DEVICES
121,593
CISCO
SUPPLIED
DEVICES
6,230
41,655
13,472
74,947
48,802
341

Доверенные сервера
Стандарт доверенного сервера
Регистрация устройства
Управление конфигурацией
Защита ОС
Обновление ОС
Управление уязвимостями ПО и ОС
Защищенное управление
Централизованная аутентификация
Шифрование данных
Защита учетных записей и разделяемых секретов
Anti-malware
Интеграция с SIEM и реагированием на инциденты
Замкнутая программная среда (AWL)
IT UCS
серверов
12,042
Виртуальных
машин
47,526

Доверенные сетевые устройства
36
Аутентификация периметра (802.1x)
Контроль & автоматизация защищенной
конфигурации (SDN)
Сегментация
MFA для удаленного доступа
Шифрование WAN
Role Based Access Controls (ARBAC)
Политики защищенного доступа
(SNMP/SSH ACL)
Шифрование канала аутентификации
(TACACS шифрование)
Аутентификация и шифрование уровня
управления (SNMPv3)
Централизованная регистрация событий
Аутентификация и централизация хранилища
identity (TACACS+, LDAP)
Контролируемый защищенный авторитативный
DNS-сервис (pDNS, ODNS)
Защищенный источник времени (NTP)
Мониторинг административного доступа (AAA
Accounting & Logging)
Аутентификация протоколов маршрутизации
Контроль целостности имиджа сетевой ОС
Дифференцированный доступ (политика
динамических пользователей и устройств,
оценка состояния & защита)
Стандарт доверенного сетевого устройства
8,495
LAN Switches
7,607
Routers
653
Wireless LAN
Controllers
30,022
Cisco Virtual
Office
715
Firepower, ASA

Доверенные внутренние приложения
37
Стандарт доверенного приложения
Регистрация приложений (ServiceNow)
Управление конфигурацией
Централизованная аутентификация (SSO)
Оценка воздействия на приватность (GDPR)
Управление уязвимостями и патчами (Qualys, Rapid7)
Мониторинг и защита данных (DLP, IRM, шифрование)
Оценка исходного кода приложений (SCAVA)
Базовая и глубокая оценка приложений (BAVA/DAVA)
Управление ключами и шифрование
Защита SOAP, REST и API
Интеграция с SIEM и реагированием на инциденты
3982 внутренних
Сложности
• Старые приложения
• Высокая кастомизация
• Поддержка после EOL
• Как управлять рисками
• Автоматизация стандарта

Модель зрелости безопасности
Политика на
базе
места/IP
вставки
безопасности
Политика на
базе
понимания
App/ID
на все
предприятие
Дизайн
потоков от
активов к
данным
по бизнес-целям
Обнаружение
активов &
данных
предприятие+3-и
стороны
Непрерывное
обнаружение
сеть+облако+ПК
Непрерывная
верификация
предприятие+3-и
стороны
1
2
3
4
5
6
Усиление инфраструктуры
Управление рисками
Динамический контекст
Эволюция угроз и доверия
Статическое
предотвращение

Бета-проект: непрерывная верификация

От внутреннего
решения к
проверенной
архитектуре

По настоящему
жёсткую модель
«нулевого
доверия»
реализовать
нелегко
Все сети являются
враждебными
Внешние и внутренние угрозы
действуют постоянно
Аутентификация и
авторизация каждого
устройства, приложения,
пользователя и транзакции
Системы автоматизации
облегчают жизнь
Политики изменяются в
динамике, учитывая как можно
больше источников данных
Протоколируются все

Постепенная реализация
Доверие
пользователь-
устройство
Доверие IoT
— И/ИЛИ —
доверие
Доступ
Сетевой
доступ
Нормализация
политик
Реагирование
на угрозы
1
2
3
4
5
6
Установление SD-
периметра
Автоматические
адаптивные политики
Практичный подход «Zero Trust» к безопасности
Установление
уровня доверия

Проверка identity для любого
пользователя и гигиены для
любого устройства
Удаленный
доступ и доступ
Многофакторная
аутентификация и
(без)агентская оценка
Задача №1
Надежность
Время
Джейлбрейк
Старый
браузер
Неудачная
фишинговая
кампания
Проверка
мобильным
пушем
Патченный
браузер
Профиль
соответствует
Актуальная
ОС
Политика
доступа

Проверка identity для любого
пользователя и гигиены для
любого устройства
Задача №1
MFA – один из простых и
эффективных способов для
существенного снижения рисков ИБ
и рисков нарушения требований

Matches Cisco
Industrial Network
Director profile
Assign access
with a scalable
group tag (SGT)
Сканер (напр.
802.1X)
Сенсор
(напр., DHCP)
От кампуса до
периметра WAN
Кто Headless
Что Siemens Energy Automation
Когда 10:30 AM PST
Откуда Floor-1, San Jose, Bldg 19
Как Wireless, Port 31, UPNP
Итого
Фиды (бес)проводных
сенсоров и IoT
платформ
pxGrid
Политика
доступа
Определить,
классифицировать и
проверить профили для
устройств on-prem
Задача №2
Для IT/OT/LoB команд

Сетевая фабрика
или МСЭ
предприятия
Гостевые Рабочие устройства
Сервера разработкиPCI сервераHR VPCs
IoT устройства
Снижение площади атаки на базе ролевого
доступа; не сетевой топологии (например, VLAN)
Сеть, ЦОД и
облако
Политика
доступа
Сегментация сети через
программно-определяемый
доступ
Задача №3

• И это для пользовательских устройств. А есть еще:
• Оборудование в конференц-комнатах
• IP-телефоны, видеотелефоны
• IoT, медицинские системы, климатические системы
• Банкоматы
Почему изменения в сети?
По умолчанию
запретить доступ
Дать, если
доверяем
Отобрать, если
угрожает
Контекст

Контейнер, VM или
обычные сервера
От ЦОД до
мультиоблака
Политика
доступа
Проверка поведения
приложений для любой
инфраструктуры (on-prem
или облачной)
Задача №4
Для ЦОД команд
Группирование в
кластеры с
помощью ML
Анализ East-West
трафика и оценка
уязвимостей
CVE-1
МикросегментацияБелые спискиЗапрещено
Workloads

Приложения через SaaS
или SD-периметр
Single Sign-On
App Access
User+Device
Частные прилож.
Публичные прил.
Любое
устройство/пользователь,
включая личные и третьих лиц
Политика
доступа
Предоставление простого,
защищенного доступа к
специфичным приложениям
Задача №4

Эффективная политика
управления доступом к
данным
Задача №5
Продуктовый APIs и
сервисы внедрения
Доступ к данным нормализован
независимо от местоположения запроса
Интегрированное
портфолио и
партнерские решения
Политика
доступа

Zero Trust решает три основные задачи
верификация и
Запрос
приложения
Проверка
Identity
Проверка
гигиены
Применение
политик
Защищен-
ный доступ
Сетевой
запрос
Проверка
профиля
Метка East-
West
трафика
Применение
политик
Защищен-
ный доступ
Запрос
ЦОДа
Эталонный
East-West
трафик
Проверка
поведения
приложения
Генерация
белого
списка
Защищен-
ный доступ
Доверенный доступ
устройств и пользователей
Доверенный доступ IoT
Доверенная работа

Zero Trust –
путь
развития
многих
игроков
рынка ИБ
но не российских L

С чего начать?
Доверие
пользователь-
устройство
Доверие IoT
— И/ИЛИ —
доверие
Доступ
Сетевой
доступ
Нормализация
политик
Реагирование
на угрозы
1
2
3
4
5
6
Установление SD-
периметра
Автоматические
адаптивные политики
Практичный подход «Zero Trust» к безопасности
Установление
уровня доверия

Вам
необязательно
делать все и
сразу – начните с
малого
Идентификация
пользователей и устройств
Контроль доступа на основе
состояния устройств
(уязвимости, соответствие
политикам и т.п.)
Сегментация внутренней сети
и ЦОД
Контроль доступа BYOD
Аутентификация и
авторизация каждого
приложения при
взаимодействии app2app и
app2infra
Контроль доступа к данным

Спасибо
за
внимание!
alukatsk@cisco.com

Новая концепция кибербезопасности Zero Trust

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Новая концепция кибербезопасности Zero Trust

Similar to Новая концепция кибербезопасности Zero Trust (20)

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (8)

Новая концепция кибербезопасности Zero Trust