ZERO TRUST LÀ GÌ?: NGUYÊN TẮC CỦA MÔ HÌNH ZERO TRUST

Zero Trust là gì?

Zero Trust là một khung bảo mật yêu cầu tất cả người dùng, dù trong hay ngoài mạng của tổ chức, phải được xác thực, ủy quyền và xác thực liên tục cho cấu hình và tư thế bảo mật trước khi được cấp hoặc giữ quyền truy cập vào các ứng dụng và dữ liệu. Zero Trust giả định rằng không có biên mạng truyền thống; Mạng có thể là cục bộ, trên đám mây hoặc kết hợp hoặc kết hợp với tài nguyên ở bất kỳ đâu cũng như nhân viên ở bất kỳ vị trí nào.

Zero Trust là một khuôn khổ để bảo mật cơ sở hạ tầng và dữ liệu cho quá trình chuyển đổi kỹ thuật số hiện đại ngày nay. Nó giải quyết độc đáo những thách thức hiện đại của doanh nghiệp ngày nay, bao gồm bảo mật nhân viên từ xa, môi trường đám mây lai và các mối đe dọa ransomware. Mặc dù nhiều nhà cung cấp đã cố gắng tạo định nghĩa riêng về Zero Trust, nhưng có một số tiêu chuẩn từ các tổ chức được công nhận có thể giúp bạn điều chỉnh Zero Trust cho phù hợp với tổ chức của mình.

Zero Trust và NIST 800-207

Tiêu chuẩn NIST 800-207đ cho Zero Trust đây là tiêu chuẩn toàn diện, trung lập nhất của nhà cung cấp, không chỉ cho các tổ chức chính phủ, mà còn cho bất kỳ tổ chức nào. Nó cũng bao gồm các yếu tố khác từ các tổ chức như ZTX của Forrester và CARTA của Gartner. Cuối cùng, tiêu chuẩn NIST đảm bảo khả năng tương thích và bảo vệ chống lại các cuộc tấn công hiện đại cho mô hình ưu tiên đám mây, làm việc từ mọi nơi mà hầu hết các doanh nghiệp cần đạt được.

Để đối phó với số lượng vi phạm an ninh cao cấp ngày càng tăng, vào tháng 5/2021, chính quyền Biden đã ban hành lệnh hành pháp bắt buộc các Cơ quan Liên bang Hoa Kỳ tuân thủ NIST 800-207 như một bước bắt buộc để thực hiện Zero Trust. Kết quả là, tiêu chuẩn đã trải qua quá trình xác nhận và đầu vào nặng nề từ một loạt các khách hàng thương mại, nhà cung cấp và các bên liên quan đến cơ quan chính phủ - đó là lý do tại sao nhiều tổ chức tư nhân xem nó là tiêu chuẩn defacto cho các doanh nghiệp tư nhân.

Zero Trust tìm cách giải quyết các nguyên tắc chính sau đây dựa trên các nguyên tắc của NIST:

1. Xác minh liên tục. Luôn xác minh quyền truy cập, mọi lúc, cho tất cả các tài nguyên.
2. Giới hạn "bán kính vụ nổ". Giảm thiểu tác động nếu xảy ra vi phạm bên ngoài hoặc bên trong.
3. Tự động thu thập và phản hồi ngữ cảnh. Kết hợp dữ liệu hành vi và lấy ngữ cảnh từ toàn bộ ngăn xếp CNTT (danh tính, điểm cuối, khối lượng công việc, v.v.) để có phản hồi chính xác nhất.

Cách hoạt động của Zero Trust

Việc thực thi khung này kết hợp các công nghệ tiên tiến như xác thực đa yếu tố dựa trên rủi ro, bảo vệ danh tính, bảo mật điểm cuối thế hệ tiếp theo và công nghệ khối lượng công việc đám mây mạnh mẽ để xác minh danh tính người dùng hoặc hệ thống, xem xét quyền truy cập tại thời điểm đó và duy trì bảo mật hệ thống. Zero Trust cũng yêu cầu xem xét mã hóa dữ liệu, bảo mật email và xác minh vệ sinh tài sản và điểm cuối trước khi chúng kết nối với các ứng dụng.

Zero Trust là một sự khởi đầu đáng kể từ bảo mật mạng truyền thống theo phương pháp "tin tưởng nhưng xác minh". Cách tiếp cận truyền thống tự động tin cậy người dùng và điểm cuối trong phạm vi của tổ chức, khiến tổ chức gặp rủi ro từ các tác nhân nội bộ độc hại và thông tin đăng nhập hợp pháp bị các tác nhân độc hại chiếm đoạt, cho phép các tài khoản trái phép và bị xâm phạm truy cập rộng rãi khi vào bên trong. Mô hình này trở nên lỗi thời với việc di chuyển lên đám mây của các sáng kiến chuyển đổi kinh doanh và tăng tốc môi trường làm việc phân tán do đại dịch bắt đầu vào năm 2020.

Do đó, kiến trúc Zero Trust yêu cầu các tổ chức liên tục theo dõi và xác thực rằng người dùng và thiết bị của họ có các đặc quyền và thuộc tính phù hợp. Nó cũng yêu cầu thực thi chính sách kết hợp rủi ro của người dùng và thiết bị, cùng với việc tuân thủ hoặc các yêu cầu khác cần xem xét trước khi cho phép giao dịch. Nó yêu cầu tổ chức biết tất cả các tài khoản dịch vụ và đặc quyền của họ và có thể thiết lập các kiểm soát về những gì và nơi họ kết nối. Xác thực một lần đơn giản là không đủ, bởi vì các mối đe dọa và thuộc tính người dùng đều có thể thay đổi

Do đó, các tổ chức phải đảm bảo rằng tất cả các yêu cầu truy cập được kiểm tra liên tục trước khi cho phép truy cập vào bất kỳ tài sản doanh nghiệp hoặc đám mây nào của bạn. Đó là lý do tại sao việc thực thi các chính sách Zero Trust dựa trên khả năng hiển thị theo thời gian thực đối với 100 thuộc tính danh tính người dùng và ứng dụng, chẳng hạn như:

• Danh tính người dùng và loại thông tin xác thực (con người, lập trình)
• Đặc quyền thông tin xác thực trên mỗi thiết bị
• Kết nối bình thường cho thông tin đăng nhập và thiết bị (mẫu hành vi)
• Loại và chức năng phần cứng điểm cuối
• Vị trí địa lý
• Phiên bản firmware
• Giao thức xác thực và rủi ro
• Phiên bản hệ điều hành và cấp độ bản vá
• Các ứng dụng được cài đặt trên thiết bị đầu cuối
• Phát hiện sự cố hoặc bảo mật bao gồm hoạt động đáng ngờ và nhận dạng tấn công

Việc sử dụng phân tích phải gắn liền với hàng nghìn tỷ sự kiện, đo từ xa doanh nghiệp rộng rãi và thông tin về mối đe dọa để đảm bảo đào tạo mô hình AI / ML thuật toán tốt hơn để phản hồi chính sách siêu chính xác. Các tổ chức nên đánh giá kỹ lưỡng cơ sở hạ tầng CNTT và các đường dẫn tấn công tiềm ẩn của họ để ngăn chặn các cuộc tấn công và giảm thiểu tác động nếu vi phạm xảy ra. Điều này có thể bao gồm phân đoạn theo loại thiết bị, danh tính hoặc chức năng nhóm. Ví dụ: các giao thức đáng ngờ như RDP hoặc RPC đối với bộ điều khiển miền phải luôn bị thách thức hoặc hạn chế đối với các thông tin đăng nhập cụ thể.

Hơn 80% tất cả các cuộc tấn công liên quan đến việc sử dụng thông tin đăng nhập hoặc lạm dụng trong mạng. Với các cuộc tấn công mới liên tục chống lại thông tin đăng nhập và kho lưu trữ danh tính, các biện pháp bảo vệ bổ sung cho thông tin đăng nhập và dữ liệu mở rộng sang các nhà cung cấp cổng web bảo mật và bảo mật email (CASB). Điều này giúp đảm bảo bảo mật khẩu cao hơn, tính toàn vẹn của tài khoản, tuân thủ các quy tắc của tổ chức và tránh các dịch vụ CNTT ngầm có rủi ro cao.

Các trường hợp sử dụng Zero Trust

Zero Trust, mặc dù được mô tả là một tiêu chuẩn trong nhiều năm, ngày càng được chính thức hóa như một phản ứng để đảm bảo chuyển đổi kỹ thuật số và một loạt các mối đe dọa phức tạp, tàn phá được thấy trong năm qua.

Mặc dù bất kỳ tổ chức nào cũng có thể hưởng lợi từ Zero Trust, nhưng tổ chức của bạn có thể hưởng lợi từ Zero Trust ngay lập tức nếu:

Bạn được yêu cầu bảo vệ mô hình triển khai cơ sở hạ tầng bao gồm:

• Đa đám mây, lai, đa danh tính
• Thiết bị không được quản lý
• Hệ thống kế thừa
• Ứng dụng SaaS

Bạn cần giải quyết các trường hợp sử dụng mối đe dọa chính bao gồm:

• Ransomware – một vấn đề gồm hai phần liên quan đến việc thực thi mã và thỏa hiệp danh tính
• Các cuộc tấn công chuỗi cung ứng - thường liên quan đến các thiết bị không được quản lý và người dùng đặc quyền làm việc từ xa
• Các mối đe dọa nội bộ – đặc biệt khó phân tích phân tích hành vi cho người dùng từ xa

Tổ chức của bạn có những cân nhắc sau:

• Những thách thức về chuyên môn của SOC / nhà phân tích
• Cân nhắc tác động đến trải nghiệm người dùng (đặc biệt là khi sử dụng MFA)
• Các yêu cầu về ngành hoặc tuân thủ (ví dụ: lĩnh vực tài chính hoặc Ủy nhiệm Zero Trust của chính phủ Hoa Kỳ)
• Mối quan tâm trong việc duy trì bảo hiểm mạng (do thị trường bảo hiểm thay đổi nhanh chóng do ransomware)

Mỗi tổ chức đều có những thách thức riêng do hoạt động kinh doanh, sự trưởng thành của chuyển đổi kỹ thuật số và chiến lược bảo mật hiện tại. Zero Trust, nếu được triển khai đúng cách, có thể điều chỉnh để đáp ứng các nhu cầu cụ thể và vẫn đảm bảo ROI cho chiến lược bảo mật của bạn.

Ví dụ tấn công Sunburst tiếp theo

Cuộc tấn công chuỗi cung ứng phần mềm Sunburst năm 2021 cho thấy tầm quan trọng của lý do tại sao các tổ chức không thể mất cảnh giác với ngay cả các tài khoản dịch vụ tiêu chuẩn và các công cụ đáng tin cậy trước đây. Tất cả các mạng đều có cập nhật tự động trong ngăn xếp công nghệ của họ, từ các ứng dụng web đến giám sát và bảo mật mạng. Tự động hóa các bản vá lỗi là bắt buộc để vệ sinh mạng tốt. Tuy nhiên, ngay cả đối với các bản cập nhật bắt buộc và tự động, Zero Trust có nghĩa là ngăn chặn các hành động độc hại tiềm ẩn.

Phân tích kỹ thuật của cuộc tấn công Sunburst minh họa cách bất kỳ công cụ nào, đặc biệt là công cụ thường được sử dụng trong mạng, có thể được tiếp quản từ cơ chế nhà cung cấp / cập nhật - và cách áp dụng các nguyên tắc kiến trúc Zero Trust để giảm thiểu các mối đe dọa này.

Zero Trust và nguyên tắc đặc quyền tối thiểu bắt buộc các chính sách và quyền nghiêm ngặt đối với tất cả các tài khoản, bao gồm cả thông tin đăng nhập có lập trình như tài khoản dịch vụ. Tài khoản dịch vụ nói chung phải có các hành vi đã biết và đặc quyền kết nối hạn chế. Trong trường hợp của Sunburst, một tài khoản dịch vụ được cấp phép quá mức cho phép kẻ tấn công di chuyển ngang. Họ không bao giờ nên trực tiếp cố gắng truy cập vào bộ điều khiển miền hoặc hệ thống xác thực như ADFS và bất kỳ hành vi bất thường nào cũng phải được xác định và báo cáo nhanh chóng khi chúng xảy ra.

Nguyên tắc cốt lõi của Mô hình Zero Trust là gì?

Mô hình Zero Trust (dựa trên NIST 800-207) bao gồm các nguyên tắc cốt lõi sau:

• Xác minh liên tục. Luôn xác minh quyền truy cập, mọi lúc, cho tất cả các tài nguyên.
• Giới hạn "bán kính vụ nổ". Giảm thiểu tác động nếu xảy ra vi phạm bên ngoài hoặc bên trong.
• Tự động thu thập và phản hồi ngữ cảnh. Kết hợp dữ liệu hành vi và lấy ngữ cảnh từ toàn bộ ngăn xếp CNTT (danh tính, điểm cuối, khối lượng công việc, v.v.) để chính xác nhất

1. Xác minh liên tục

Xác minh liên tục có nghĩa là không có vùng tin cậy, thông tin xác thực hoặc thiết bị bất cứ lúc nào. Do đó, thành ngữ phổ biến "Không bao giờ tin tưởng, luôn xác minh". Việc xác minh phải được áp dụng cho một tập hợp tài sản rộng như vậy liên tục có nghĩa là phải có một số yếu tố chính để điều này hoạt động hiệu quả:

• Truy cập có điều kiện dựa trên rủi ro. Điều này đảm bảo quy trình làm việc chỉ bị gián đoạn khi mức độ rủi ro thay đổi, cho phép xác minh liên tục mà không phải hy sinh trải nghiệm người dùng.
• Triển khai mô hình chính sách động nhanh chóng và có thể mở rộng. Vì khối lượng công việc, dữ liệu và người dùng có thể di chuyển thường xuyên, chính sách không chỉ phải tính đến rủi ro mà còn bao gồm các yêu cầu tuân thủ và CNTT đối với chính sách. Zero Trust không làm giảm bớt sự tuân thủ và các yêu cầu cụ thể của tổ chức.

2. Giới hạn bán kính nổ

Nếu vi phạm xảy ra, việc giảm thiểu tác động của vi phạm là rất quan trọng. Zero Trust giới hạn phạm vi thông tin đăng nhập hoặc đường dẫn truy cập cho kẻ tấn công, cho phép hệ thống và con người có thời gian phản hồi và giảm thiểu cuộc tấn công.

Giới hạn bán kính có nghĩa là:

• Sử dụng phân đoạn dựa trên danh tính. Phân khúc dựa trên mạng truyền thống có thể khó duy trì hoạt động vì khối lượng công việc, người dùng, dữ liệu và thông tin đăng nhập thay đổi thường xuyên.
• Nguyên tắc đặc quyền tối thiểu. Bất cứ khi nào thông tin đăng nhập được sử dụng, bao gồm cả tài khoản không phải con người (chẳng hạn như tài khoản dịch vụ), điều quan trọng là các thông tin đăng nhập này được cấp quyền truy cập vào khả năng tối thiểu cần thiết để thực hiện tác vụ. Khi nhiệm vụ thay đổi, phạm vi cũng vậy. Nhiều cuộc tấn công tận dụng các tài khoản dịch vụ đặc quyền, vì chúng thường không được giám sát và thường được cho phép quá mức.

3. Tự động thu thập và phản hồi ngữ cảnh

Để đưa ra quyết định hiệu quả và chính xác nhất, nhiều dữ liệu hơn sẽ giúp miễn là nó có thể được xử lý và hành động trong thời gian thực. NIST cung cấp hướng dẫn về việc sử dụng thông tin từ các nguồn sau:

• Thông tin đăng nhập người dùng - con người và không phải con người (tài khoản dịch vụ, tài khoản không đặc quyền, tài khoản đặc quyền - bao gồm thông tin đăng nhập SSO)
• Khối lượng công việc – bao gồm máy ảo, bộ chứa và khối lượng được triển khai trong triển khai kết hợp
• Điểm cuối – bất kỳ thiết bị nào đang được sử dụng để truy cập dữ liệu
• Mạng lưới
• Dữ liệu
• Các nguồn khác (thường thông qua API):
  • SIEM
  • SSO
  • Nhà cung cấp danh tính (như AD)
  • Thông tin về mối đe dọa

Các giai đoạn triển khai Zero Trust

Mặc dù nhu cầu của mỗi tổ chức là duy nhất, các giai đoạn sau để triển khai mô hình Zero Trust bao gồm:

• Giai đoạn 1: Visualize - hiểu tất cả các tài nguyên, điểm truy cập của chúng và hình dung các rủi ro liên quan
• Giai đoạn 2: Mitigate  – phát hiện và ngăn chặn các mối đe dọa hoặc giảm thiểu tác động của vi phạm trong trường hợp mối đe dọa không thể được ngăn chặn ngay lập tức
• Giai đoạn 3: Optimize  - mở rộng bảo vệ cho mọi khía cạnh của cơ sở hạ tầng CNTT và tất cả các tài nguyên bất kể vị trí đồng thời tối ưu hóa trải nghiệm người dùng cho người dùng cuối, nhóm CNTT và bảo mật

Để biết phân tích chi tiết về từng giai đoạn, bao gồm các mục tiêu và thực tiễn tốt nhất, hãy đọc bài viết của chúng tôi về Cách triển khai Zero Trust trong 3 giai đoạn.

Tại sao nên chọn Zero Trust

Giải pháp Zero Trust với cách tiếp cận không ma sát duy nhất trong ngành đối với Zero Trust thông qua:

• Bảo mật cho các lĩnh vực rủi ro quan trọng nhất của doanh nghiệp để ngăn chặn vi phạm trong thời gian thực đối với mọi khối lượng công việc, danh tính và dữ liệu của điểm cuối và đám mây. Giải pháp Zero Trust của CrowdStrike tuân thủ các tiêu chuẩn NIST 800-207 và tối đa hóa phạm vi Zero Trust trên toàn doanh nghiệp kết hợp của bạn để bảo mật và cho phép mọi người, quy trình và công nghệ thúc đẩy bảo mật doanh nghiệp hiện đại với tính năng bảo vệ tích hợp cho các lĩnh vực có rủi ro cao như danh tính và dữ liệu.
• Phát hiện siêu chính xác và bảo vệ tự động đảm bảo hành trình KHÔNG TIN CẬY KHÔNG MA SÁT cho các tổ chức thuộc mọi quy mô. Triển khai Zero Trust nhanh hơn và theo từng giai đoạn, chỉ với hai thành phần – cảm biến tác nhân nhẹ duy nhất và bảng điều khiển quản trị. Giảm tải cho các nhà phân tích trung tâm hoạt động bảo mật (SOC) với khả năng bảo vệ và khắc phục tự động, đồng thời nâng cao trải nghiệm người dùng với quyền truy cập có điều kiện thích ứng.
• Nền tảng gốc đám mây tiên tiến nhất thế giới hỗ trợ các nhóm bảo mật đạt được hiệu suất và khả năng bảo vệ Zero Trust vượt trội mà không phải trả chi phí quản lý TB dữ liệu, nguồn cấp dữ liệu, nguồn cấp dữ liệu, phần cứng/phần mềm và chi phí nhân sự liên tục, dẫn đến GIẢM ĐỘ PHỨC TẠP VÀ CHI PHÍ BẢO MẬT. Tất cả những lợi ích này đạt được thông qua CrowdStrike Security Cloud tương quan hàng nghìn tỷ sự kiện bảo mật mỗi ngày với các chỉ số tấn công, thông tin về mối đe dọa hàng đầu trong ngành và phép đo từ xa doanh nghiệp từ các điểm cuối, khối lượng công việc, danh tính, DevOps, tài sản CNTT và cấu hình của khách hàng.

Enootech hy vọng rằng những thông tin này sẽ giúp ích cho bạn. Nếu bạn có bất kỳ ý kiến hoặc góp ý nào, hãy chia sẻ với chúng tôi, chúng tôi rất cần những ý kiến của bạn.