Концепция Нулевого Доверия

30.06.2020

«Доверять нельзя никому» - впервые эту концепцию озвучили в 2009 году. Активно про нее начали вспоминать осенью 2019. По-настоящему актуальной она стала именно сейчас.

1. Идентификация всего, что происходит

- Каждый пользователь должен быть однозначно идентифицирован. Отметок «известный» и «неизвестный» уже недостаточно.

- Применение MFA, т.к. пара логин-пароль уже никого не спасает.

- Каждое устройство должно быть авторизовано на периметре.

2. Сегментация

Мы превентивно должны отсегментировать все основные элементы нашей сети, пользователей и приложений:

- На уровне сети.

Например, у сети разработчиков не должно быть доступа в сеть бухгалтерии и менеджмента. Тем самым мы обеспечиваем невозможность проникновения самих пользователей либо зловредов, которые попали в сеть, в соседние сети на уровне архитектуры этой сети.

- На уровне пользовательских политик доступа.

Если разработчику не нужно пользоваться 1С, то мы блокируем доступ на уровне пользовательских политик.

- На уровне приложений.

3. Мониторинг и аналитика всего, что происходит

Ретроспективный анализ того, что происходило в нашей сети. Полное журналирование всех событий. В случае каких-то инцидентов и «разбора полетов» у нас должны быть полные данные о том, что и в какой последовательности происходило.

Активный мониторинг – что происходит прямо сейчас. Цель – минимизировать время от возникновения инцидента до его обнаружения и предотвращения.

4. Проактивная защита

После того, как произошел инцидент необходимо собрать информацию и проанализировать, как развивалась атака, и какие сценарии возможны в будущем.

На всех указанных этапах мы рекомендуем использовать решения UserGate. Как это делать максимально эффективно для вашей IT-инфраструктуре, уточняйте, пожалуйста у менеджеров ARinteg.