• 22 478 45 80
  • Adres mailowy 4Sync
Responsive image

Certes Networks - Przedstawienie modelu "Zero Trust"

Na czym polega model "Zero Trust" proponowany przez Certes Networks ? Do wyjaśnienia tego zagadnienia posłużę sie prostą analogią. 

Zwykła talia składa się z 52 kart. Dział matematyki jakim jest kombinatoryka mówi nam, że sposobów ułożenia talii 52 kart jest aż osiemset decylionów (60 zer). Na chwile obecną na świecie do internetu podłączone jest ok 40% populacji (3 621 018 200). Zakładając, że każdy może połączyć się z każdym, liczba możliwych sposobów połączeń jest niewyobrażalnie duża. Jak wysokie jest w takim razie prawdopodobieństwo stania się ofiarą ataku hakerskiego ? Jeżeli pod uwagę weźmiemy także urządzenia IoT, których w roku 2022 ma być aż 50 bilionów, szanse zostania zaatakowanym wynoszą 100%.

Rozwiązanie proponowane przez Certes Networks to model "Zero Trust", którego podstawą jest brak zaufania do posiadanych rozwiązań bezpieczeństwa, użytkowników, infrastruktury czy dostawców internetu - nie ufaj niczemu, zabezpieczaj wszystko. Nie zakładajmy, że zostaniem zaatakowani - załóżmy, że zostaliśmy już zaatakowani. 

 

Jak w takim razie możemy się bronić ?

 

1. Brak zaufania do użytkowników - segmentacja sieci poprzez kontrolę dostępu opartą o role.

Niepodzielnie królującym wektorem wszystkich włamań na świecie jest kradzież poświadczeń użytkowników wykorzystując Phishing. Aż 91% ataków zaczyna się od maila phishingowego (http://www.darkreading.com/endpoint/91--of-cyberattacks-start-with-a-phishing-email/d/d-id/1327704), a 30% tych maili jest otwierane (http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/). Powody dla którego metoda jest tak skuteczna są proste: zwykłe ludzkie emocje - strach czy ciekawość oraz relatywna łatwość w jej przeprowadzeniu - wystarczy skopiować treść oryginalnej strony, a następnie grając na emocjach przekonać użytkownika do odwiedzenia podstawionego serwisu, w celu przechwycenia wprowadzanych przez niego poświadczeń (login/hasło). Haker będący w posiadaniu takiej przepustki do sieci przedsiębiorstwa, zwyczajnie się do niej loguje i inicjuje kolejne etapy ataku - umocnienie pozycji, rozprzestrzenienie i kradzież danych.

Skoro nie możemy powstrzymać epidemii ataków phishingowych, a czas spędzony na uświadamianiu użytkowników nie przynosi oczekiwanych rezultatów, jedynym wyjściem jest segmentacja sieci i powstrzymywanie rozprzestrzeniania się ataku. Koncepcja jest prosta. Nawet jeżeli haker dostanie się do sieci podszywając się pod użytkownika, nie będzie mógł przedostać się poza wydzielony obszar, do którego dostęp miał użytkownik którego poświadczenia zostały skradzione. Przykładowo, jeżeli mamy dwie grupy użytkowników, HR i Finanse - i poświadczenia Pani Ani z działu HR zostaną wykradzione, intruz podszywający się pod nią nie uzyska dostępu do danych przetwarzanych w dziale Finanse. Podejście jest jak najbardziej prawidłowe, jednak przedsiębiorstwa mają duży problem z jego wdrożeniem i realizacją - w tradycyjnym modelu OSI segmentacja może odbywać się na różnych warstwach, za pomocą różnych urządzeń i całego szeregu specjalistów za nie odpowiedzialnych. To wszystko komplikuje sprawę do tego stopnia, że metoda okazuje się nie dość, że nieskuteczna, to także kłopotliwa w zarządzaniu oraz wymagająca dużych zasobów od urządzeń sieciowych.

Rozwiązanie proponowane przez Certes Network to platforma Zero Trust App. Wykorzystując dedykowane urządzenia zwane Enforcerami, tworzy "nakładkę" na istniejącą sieć. W obrębie platformy definiowane są role użytkowników (np. w oparciu o istniejący system LDAP) oraz zasoby do których mają dostęp. Ruch pomiędzy użytkownikiem a zasobem (np. aplikacją) jest następnie szyfrowany - jeżeli użytkownik to tak naprawde podszywający się haker, nie zdoła on wydostać się poza zdefiniowany segment - komunikacja pozostałych użytkowników będzie dla niego zaszyfrowana, a inne zasoby w obrębie przedsiębiorstwa niewidoczne. Bezpośrednie korzyści płynące z platformy Zero Trust App to: - oddzielnie modelu zaufania od infrastruktury sieciowej, co zwiększa jej wydajność poprzez zwolnienie zasobów; - centralny nadzór nad kluczami szyfrującymi; - oraz oszczędność czasu ekspertów poprzez zmniejszenie konieczności nadzoru nad segmentacją realizowaną w dotychczasowy sposób.

2. Brak zaufania do infrastruktury oraz ISP - "ukryte" szyfrowanie danych w 4 warstwie modelu OSI.

Może się wydawać, że logicznym podejściem jest ufanie komunikacji przesyłanej w obrebie prywatnej infrastruktury - w centrach danych, pomiędzy filiami przedsiębiorstwa czy w prywatnych sieciach WAN i LAN. Niestety, nic bardziej mylnego... Po pierwsze, jak udowodniłem wcześniej, większość ataków ma miejsce na skutek wykradzionych poświadczeń użytkownika, które dają intruzowi bezpośredni dostęp do "zaufanej" sieci przedsiębiorstwa. Po drugie, koncepcja prywatnych sieci WAN jest wadliwa: najczęściej jest to usługa oferowana przez ISP, współdzielona pomiędzy wieloma organizacjami, w której ruch rozróżniany jest na podstawie etykiet (MPLS). W takim modelu nasz ruch i przenoszone dane są w pełni widoczne dla ISP, a nawet niewielki błąd może spowodować "połączenie" transmisji sieciowych dwóch różnych firm, co powoduje, że dane mogą stać się widoczne również dla innych klientów tego ISP. Jak się okazuje prywatny WAN wcale nie jest taki prywatny...

Jedyny sposób aby zapewnić poufność i integralność naszych danych, to zaszyfrowanie ich zanim trafią do WANu. Nawet jeżeli trafią w niepowołane ręce, bez klucza deszyfrującego będą całkowicie bezużyteczne. Nie jest to oczywiście żadna nowość - organizacje świadome powyższych problemów wykorzystują różne metody szyfrowania danych w ruchu - jednak rozwiązanie Certes jest wyjątkowe.

Propozycja Certes Networks, to oddzielenie pracy związanej z szyfrowaniem ruchu od urządzeń sieciowych, a przeniesienie jej na dedykowaną platformę, w pełni transparentną dla sieci - Zero Trust WAN. Bezpośrednia korzyść płynąca z takiego modelu to oczywiście odciążenie zasobów urządzeń sieciowych. Natomiast unikalną cechą platformy ZTWAN jest możliwość "ukrytego" szyfrowania ruchu w 4 warstwie modelu OSI - tylko payload pakietu jest szyfrowany, a nie cały pakiet. Takie podejście ma dwie główne zalety. Po pierwsze, nie widać że szyfrowanie zostało włączone (ponieważ nagłówki pakietu są widoczne), a to oznacza, że ktokolwiek kto chciałby podejrzeć nasz ruch nie będzie w stanie odróżnić co jest istotne, a co nie - każdy pakiet wygląda na bezużyteczny, zawierający dane w formie której nie da się odczytać. Po drugie, jeżeli organizacja potrzebuje rozwiązać problem z siecią, informacje takie jak adresy IP źródła i celu oraz porty są wciąż widoczne, tym samym umożliwiając remediację przy włączonym szyfrowaniu. Skomplikowane procesy zarządzania szyfrowaniem w warstwach 2 i 3 są eliminowane, a dane są przesyłane w bezpieczny sposób, bez komplikowania bądź narażania infrastruktury na dodatkowe obciążenia.

 

Bezpieczeństwo przetwarzanych danych zależy w dużym stopniu od przyjętego modelu zaufania. Rozwiązania Certes Networks umożliwiają proste zapewnienie poufności oraz integralności Twoich danych. Koncepcja "Zero Trust" Certesa to zaakceptowanie nieodłącznego ryzyka jakie niesie ze sobą korzystanie z Internetu oraz nie opieranie zaufania na użytkownikach, sieci i infrastrukturze.
Zapraszamy do zapoznania się z opisanymi rozwiązaniami na naszej stronie: http://4sync.pl/oferta/certes-networks/ oraz na stronie producenta: https://certesnetworks.com/.