Zero Trust – модель «нулевого доверия»
Zero Trust («нулевое доверие») — модель безопасности, которая была создана экс-аналитиком Forrester Джоном Киндервагом в 2010 году. На текущий момент выступает в качестве одной из наиболее распространенных концепций в глобальном кибербезе. Многочисленные утечки информации, происходящие в разных странах мира и в различных по размеру организациях, только лишний раз подтверждают необходимость предприятиям уделять огромное внимание информационной безопасности. И модель Zero Trust для многих может стать правильным выбором.
Под реализацией концепции Zero Trust понимается принцип “недоверия по умолчанию” ко всем участникам, даже если они находятся внутри защищенного периметра. Осуществление этого подхода включает микросегментацию, обеспечивающую детальное управление доступом и снижение возможной поверхности атаки за счет деления сети на множество сегментов. Вместо традиционной концепции “поверхности атаки”, модель Zero Trust предлагает ориентир на “поверхность защиты”, тем самым меняя привычные представления о безопасности. Следуя принципу минимальных привилегий, модель предоставляет участникам сети только те права, которые необходимы для выполнения их ролей. Многофакторная аутентификация становится обязательным элементом, усиливающим надежность идентификации пользователей и устройств. Все эти меры способствуют созданию системы, в которой осуществляется полный контроль над всеми действиями в сети, обеспечивая требуемый уровень безопасности и соответствие регуляторным нормам.
Редакция CISOCLUB опросила российских экспертов на тему модели Zero Trust. Мы поговорили о том, как применять моделирование угроз с учетом принципов Zero Trust, кто в компании должен отвечать за эту модель, и стоит ли привлекать подрядчиков к построению Zero Trust внутри организации, какие инструменты должны использоваться для контроля за соблюдением модели, а также задали ряд других вопросов. Мы пообщались со следующими специалистами:
• Сергей Пыжик, первый заместитель генерального директора Infosecurity a Softline Company;
• Станислав Навсегда, руководитель отдела сетевой безопасности и аудита компании Axoft;
• Роман Подкопаев, генеральный директор Makves;
• Дмитрий Пудов, генеральный директор NGR Softlab;
• Дмитрий Ковалев, руководитель департамента информационной безопасности «Сиссофт»;
• Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC;
• Кай Михайлов, руководитель направления информационной безопасности, iTPROTECT.
Читать
