Новости систем безопасности

Сети с «нулевым доверием» и последствия для видеонаблюдения

Сети с "нулевым доверием" и последствия для видеонаблюдения

Сети становятся все более уязвимыми. Сочетание более изощренных и многочисленных кибератак, а также экспоненциального роста числа устройств Интернета вещей, каждое из которых создает другую конечную точку сети, открытую для атаки — означает, что организации ведут бесконечную борьбу за обеспечение безопасности сетей.

Прежде организации полагались на то, чтобы корпоративный брандмауэр был надежным. Хотя такой подход направлен на обеспечение безопасности доступа к сети, если кому-либо удастся взломать брандмауэр, он сможет свободно перемещаться по сети. Оказавшись внутри сети, потеря данных, которая может нанести непоправимый ущерб, представляет собой реальный риск, в то время как злоумышленники могут оставаться активными в течение нескольких недель или месяцев, прежде чем их выявят. Кроме того, концепция изоляции сети в брандмауэре устарела. Опять же, весомое количество устройств и систем безопасности, подключенных к сети, означает, что защита периметра сети с помощью одного решения невозможна. Кроме того, использование облачных сервисов за пределами сети и преимущества создания более «проницаемого» периметра сети, где системы заказчиков и поставщиков легко соединяются для обеспечения продуктивности цепочки поставок, изменили характер безопасности.

Ничему и никому не доверять в сети

В результате появилась концепция «нулевого доверия», а вместе с этим и архитектуры с нулевым доверием. Как следует из названия, положение по умолчанию в сети с нулевым доверием состоит в том, что ни одному объекту, находящемуся внутри сети (будь то человек или машина), — нельзя доверять, где бы они ни находились, и как бы ни подключались.

Скорее, философия сетей с нулевым доверием — «никогда не доверяй, всегда проверяй». Это требует, чтобы идентичность каждого объекта, осуществляющего доступ или находящегося в сети, проверялась массой способов, в зависимости от поведения и чувствительности конкретных данных в сети, к которой осуществляется доступ. По сути, субъектам предоставляется минимальный объем доступа, необходимый для выполнения задачи.

При нулевом доверии используются такие методы, как микросегментация сети — применение всевозможных уровней безопасности к конкретным частям сети, где находятся более важные данные. Также сюда входит детальная защита периметра сети на основе пользователей и устройств, физического местоположения и других идентифицирующих данных, чтобы определить уровень доверия для доступа к сети.

Предоставление отдельным лицам доступа только к частям сети, и данные, необходимые для выполнения их роли, приносят очевидные преимущества в плане безопасности. Но аномалии в поведении, связанные с этими идентичностями, обеспечивают дополнительный уровень защиты. Так, сетевой администратор может иметь обширный доступ к сети для обслуживания, например, финансовых серверов. Но те же учетные данные, которые используются для загрузки конкретных файлов или данных посреди ночи и отправки их за пределы сети, будут красным сигналом безопасности. Это может указывать на то, что учетные данные были украдены недобросовестным сотрудником или кем-то, кто хочет получить прибыль от корпоративного шпионажа.

В сети с нулевым доверием могут использоваться либо дополнительные аутентификации, либо, как минимум, аномальная активность может быть помечена в режиме текущего времени и доведена до сведения операционного центра безопасности для расследования.

Определение и применение правил

В основе сетей с нулевым доверием лежат двигатели политики: программное обеспечение, которое в целом позволяет организации создавать, отслеживать и обеспечивать соблюдение правил доступа к сетевым ресурсам и данным организации. Механизм политики будет использовать комбинацию сетевого анализа и запрограммированных правил для предоставления разрешения на основе ролей, с учетом ряда факторов. Проще говоря, механизм политики сравнивает каждый запрос на доступ к сети и его контекст с политикой и сообщает исполнителю, будет ли запрос разрешен или нет.

В сети с нулевым доверием механизм политики определяет и обеспечивает соблюдение правил безопасности данных и доступа к моделям хостинга, местоположениям, пользователям и устройствам, требуя от организаций тщательного определения правил и политик в рамках ключевых элементов управления безопасностью — таких, как межсетевые экраны следующего поколения (NGFW), шлюзы электронной почты и безопасности облака, а также программное обеспечение для предотвращения потери данных (DLP). Вместе эти элементы управления объединяются для обеспечения микросегментации сети, выходящей за пределы моделей и местоположений хостинга. Хотя сегодня может возникнуть необходимость в настройке политик в консоли управления каждого решения, все более интегрированные консоли способны автоматически определять и обновлять политики для всех продуктов. Управление идентификацией и доступом (IAM), многофакторная аутентификация, push-уведомления, права доступа к файлам, шифрование — все это играет роль в разработке архитектуры сетей с нулевым доверием.

Последствия сетей с нулевым доверием для видеонаблюдения

К объектам, что подключаются к сети, относятся люди, но сегодня в большей степени многочисленные сетевые подключения происходят с устройств — это включает IP камеры видеонаблюдения и охранные датчики, подключенные к сети. Поскольку организации переходят к архитектуре сетей с нулевым доверием, важно, чтобы эти сетевые устройства придерживались принципов, необходимых для проверки. Было бы иронично, если бы устройство, предназначенное для обеспечения физической безопасности организации (например, камера видеонаблюдения), привело к уязвимости кибербезопасности.

Опять же, традиционных форм защиты устройств больше не достаточно. Точно так же, как злоумышленники могут украсть учетные данные контроля доступа сотрудника, они могут скомпрометировать сертификат безопасности устройств. В сети с нулевым доверием требуются новые подходы для устройств, чтобы доказать свою надежность сети.

Проверка подлинности аппаратных устройств

Одна технология, которая может обеспечить неизменный корень доверия для сетевого аппаратного устройства — это использование технологии блокчейна. В то время как для некоторых блокчейн тесно связан с криптовалютами (и из-за этого может пострадать его репутация), сам по себе блокчейн представляет собой открытую распределенную книгу, которая способна продуктивно записывать транзакции между двумя сторонами, проверенным и постоянным образом. Существуют как публичные, так и частные реализации блокчейнов, и предприятия могут применять частные блокчейны для использования аппаратных корней доверия и, таким образом, устанавливать неизменные ключи доступа и доверия внутри устройств.

Из-за конструкции блокчейна ни одна транзакция данных в цепочке не может быть изменена без согласия узлов консенсуса предыдущих транзакций, которые криптографически связаны. Следовательно, если ключи доверия для идентифицируемых частей аппаратного устройства встроены в цепочку блоков, это создает неизменные учетные данные для самого устройства.

Сегодня может показаться, что подход с нулевым доверием является печальным свидетельством того времени, когда обеспеченные ресурсами киберпреступники постоянно пытаются использовать уязвимости сетей. На самом деле это логический подход к построению безопасных сетей, так как число подключенных к ним объектов увеличивается с каждым днем, в частности комплектов видеонаблюдения и всевозможных аксессуаров для охранных систем. По этой причине некоторые организации начинают применять подход с нулевым доверием к сетевым архитектурам.

Интересные статьи по данной теме:

ISS стала серебряным призёром конкурса Смарт.Эволюция
Руководство по домашним системам безопасности для новичков
HID Global выпускает новый биометрический считыватель для полицейских и военных объектов
Компания HID Global получила награду за инновационные технологии по борьбе с коронавирусом
Лучшие методы по обеспечению кибербезопасности IP камер видеонаблюдения
Преимущества скрининга температуры с помощью тепловизионных камер
Что делает гибридное облачное видеонаблюдение привлекательным для пользователей?
Четыре проблемы безопасности видеонаблюдения в образовательных учреждениях
Пять способов, которыми контроль доступа может изменить бизнес-операции
Руководство по решениям для контроля доступа с функцией измерения температуры
Комбинация гибридного облака и VMS получила награду за инновации
Dahua расширяет серию сетевых камер Full Color
Как технологии распознавания лиц и автомобильных номеров дополняют системы видеонаблюдения?
Технология Z-Wave: решение для умного дома
Где разместить камеры видеонаблюдения для максимальной защиты дома?