Zero trust стал доминирующим нарративом в сфере безопасности, но в средах IoT и OT он решает не ту проблему. Принципы zero trust не учитывают унаследованное доверие и централизованные пути управления, что приводит к сбоям. — csoonline.com
Zero trust решает не ту проблему в OT
Zero trust (нулевое доверие) стало доминирующим нарративом в сфере безопасности за последнее десятилетие, и это справедливо. Его основные принципы — никогда не доверять, всегда проверять; предполагать компрометацию; обеспечивать минимальные привилегии — изменили подход организаций к идентификации, доступу и боковому перемещению. В корпоративных ИТ-средах эти принципы принесли измеримые результаты. Идентичность стала надежнее. Доступ стал более целенаправленным. Неявное доверие было снижено.
Однако при применении zero trust к средам IoT и OT результаты неоднозначны. Контроли внедрены. Архитектурные схемы выглядят обнадеживающе. Затем происходят инциденты. Они часто случаются через системы, которые изначально вообще не считались частью модели доверия.
Zero trust разработан для управления решениями о доступе. В средах IoT и OT большинство сбоев с высоким уровнем воздействия распространяются через унаследованное доверие и общие пути управления, которые выходят за рамки zero trust.
Это не сбой реализации. Это несоответствие модели.
Zero trust предполагает, что доверие является явным, ориентированным на идентификацию и непрерывно применимым. Системы IoT и OT (а также ИИ) по своей сути нарушают все три предположения. В результате zero trust часто управляет не теми поверхностями, оставляя наиболее значимые пути без моделирования.
Слепое пятно IoT и OT
Среды IoT и OT постоянно демонстрируют три характеристики, которые создают устойчивые слепые зоны безопасности.
Во-первых, видимость по дизайну неполная. Устройства часто развертываются командами по эксплуатации объектов, инженерными группами или сторонними интеграторами, а не службами безопасности. Инвентаризация активов отстает от реальности. Телеметрия скудная, проприетарная или прерывистая. Многие устройства обмениваются данными только в определенных рабочих состояниях, оставляя длительные периоды молчания, которые инструменты безопасности интерпретируют как норму.
CISA неоднократно предупреждала, что неуправляемые устройства, ограниченная видимость и устаревшие операционные протоколы остаются одними из наиболее распространенных слабостей в средах IoT и OT, особенно там, где системы никогда не предназначались для непрерывного мониторинга или централизованного управления.
Во-вторых, сети функционально плоские, даже если кажутся сегментированными. Протоколы широковещательного обнаружения, общие шлюзы и централизованные контроллеры подрывают предположения об изоляции. Устройства, которые никогда не взаимодействуют напрямую, все равно могут влиять друг на друга через общую инфраструктуру. Сегментация существует на бумаге, но связь сохраняется в работе.
В-третьих, доверие является неявным и долговечным. Устройства доверяют контроллерам, потому что всегда доверяли. Контроллеры доверяют платформам управления, потому что они «авторизованы». Облачные сервисы доверяют идентификаторам устройств, встроенным в прошивку. Эти отношения доверия редко документируются и редко пересматриваются после того, как системы начинают работать. Zero trust предполагает, что доверие может быть оспорено непрерывно. Системы OT предполагают, что доверие сохраняется, пока что-то не сломается.
Почему топология не работает как модель безопасности
Команды безопасности обучены рассуждать о топологии: подсетях, брандмауэрах, зонах и путях доступа. Этот подход достаточно хорошо работает в корпоративных ИТ, где системы спроектированы с учетом маршрутизируемой связности и явной аутентификации.
Он не работает в средах IoT и OT, потому что компрометация распространяется не в первую очередь через маршрутизируемые пути.
В статье «Единая модель связности: новый взгляд на понимание киберрисков» я представил ULM (Unified Linkage Model) как способ анализа рисков безопасности на основе функциональных взаимосвязей, смежности, наследования и доверия, а не только сетевой топологии. Это различие критически важно в средах OT, где диаграммы связности редко отражают операционную зависимость.
Две системы могут быть полностью изолированы на сетевом уровне и при этом быть функционально неразделимыми. Общие контроллеры, трансляторы протоколов и платформы управления создают зависимости, которые топология не улавливает. Когда одно состояние системы меняется — будь то из-за компрометации, неправильной конфигурации или обновления — другое меняется вместе с ним.
ULM фокусируется на последствиях и связи. Именно этого фокуса не хватает zero trust в контексте OT.
Куда на самом деле движутся атаки
Большинство взломов IoT и OT разворачиваются не как сбои идентификации или обходы сегментации. Они распространяются через общие контроллеры, унаследованные прошивки, механизмы обновлений и платформы управления — места, где доверие уже существует.
Федеральные рекомендации NIST давно подчеркивают, что прошивки, службы обновлений и общая инфраструктура представляют собой устойчивые источники унаследованного риска, которые не устраняются средствами контроля, ориентированными на периметр. Эти компоненты находятся ниже элементов управления доступом и сохраняются при переконфигурациях, смене владельцев и даже переходе на другого поставщика.
После компрометации они автоматически распространяют доверие. Боковое перемещение не требуется. Не нужно красть учетные данные у нижестоящих систем. Злоумышленник движется по направлению архитектуры.
Вот почему инциденты так часто возникают в системах автоматизации зданий, интерфейсах технического обслуживания или сервисах, управляемых поставщиками. Эти компоненты редко отслеживаются как критически важные для безопасности активы, но они действуют как связующая ткань между средами, которые защитники считают изолированными.
От zero trust к сопоставлению доверия
Zero trust управляет доступом. Он не моделирует последствия.
Поэтому защитникам необходимо дополнить zero trust способом понять, как на самом деле распространяется доверие в системах IoT и OT. Сама единая модель связности (ULM) возникла из ранних работ по распространению рисков, обусловленному связями, в корпоративных и промышленных средах, прежде чем была применена более непосредственно к принятию решений в области безопасности в сложных системах.
ULM различает три формы связей, имеющих операционное значение:
- Смежность, создаваемая общими контроллерами, шлюзами, брокерами и трансляторами протоколов
- Наследование, создаваемое прошивками, SDK, службами обновлений и платформами поставщиков
- Распространение доверия, создаваемое делегированным управлением, неявной авторизацией и долгоживущими учетными данными
Эти связи определяют, как каскадируют сбои. Связи показывают, почему устройства, воспринимаемые как низкорисковые, регулярно служат восходящими активаторами непропорционального влияния на миссию. Они также объясняют, почему средства контроля, ориентированные на идентификацию, часто не могут прервать атаки, как только доверие уже установлено.
Zero trust отвечает на вопрос: «Кому разрешено общаться с кем?»
ULM отвечает на вопрос: «Что изменится, если этот компонент выйдет из строя?»
Оба вопроса важны. Они не взаимозаменяемы.
Почему принуждение централизуется в OT
Системы OT отдают приоритет детерминированности, доступности и безопасности. Контуры управления не могут приостанавливаться для оценки политик. Задержка имеет значение. Устройства не могут терпеть частую повторную аутентификацию или избыточную телеметрию. В результате принуждение вытесняется наружу — на шлюзы, платформы управления и облачные сервисы.
Эти точки принуждения становятся узкими местами. Однажды получив доверие, они редко перепроверяются. При компрометации они одновременно обходят все нижестоящие предположения zero trust.
Zero trust предполагает, что принуждение повсеместно. Системы OT централизуют его.
Что руководителям служб безопасности следует делать иначе
Это не призыв отказаться от zero trust. Это призыв правильно определить его область применения.
Zero trust остается эффективным там, где идентификаторы сильны, а принуждение непрерывно. В средах IoT и OT руководители также должны учитывать унаследованное доверие и централизованные пути управления, которые zero trust не моделирует.
Это означает явное сопоставление функциональных зависимостей. Это означает выявление компонентов, которые распространяют доверие между доменами. Это означает непропорциональную защиту плоскостей управления, механизмов обновления и шлюзов протоколов — не потому, что они являются привлекательными целями, а потому, что они являются структурными усилителями.
Это также означает переосмысление рисков поставщиков. Поставщики должны оцениваться не только по тому, что они поставляют, но и по тому, сколько доверия они наследуют и распространяют по системам после интеграции.
Реальный риск — это то, что вы не моделируете
Zero trust занимается решениями о доступе. Он не объясняет, как распространяется компрометация после того, как доверие уже установлено. В средах OT это различие является решающим.
Анализ на основе связей заполняет этот пробел. Делая смежность, наследование и доверие явными, он раскрывает невидимую сеть под системами IoT и OT. Для руководителей служб безопасности, ответственных за операционную устойчивость, эта видимость является рычагом.
Сбои в безопасности IoT и OT сохраняются не потому, что защитникам не хватает инструментов, а потому, что они полагаются на модели, которые больше не отражают реальность.
Эта статья опубликована в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Henry Sienkiewicz