Търсене
Close this search box.

NSA споделя насоки за нулево доверие с цел ограничаване на противниците в мрежата

Националната агенция за сигурност споделя нови насоки, които помагат на организациите да ограничат движението на противника във вътрешната мрежа, като възприемат принципите на рамката за нулево доверие.

Архитектурата за сигурност с нулево доверие изисква строг контрол за достъп до ресурсите в мрежата, независимо дали са във или извън физическия периметър, за да се сведе до минимум въздействието на пробива.

В сравнение с традиционния модел на ИТ сигурност, който предполага, че всичко и всички в мрежата са доверени, дизайнът с нулево доверие приема, че заплахата вече съществува и не позволява свободна намеса в мрежата.

Напредването в зрелостта на нулевото доверие се извършва постепенно чрез разглеждане на различни компоненти или стълбове, които участниците в заплахата могат да използват при атака.

The seven pillars of the zero-trust architecture
Седемте стълба на архитектурата с нулево доверие
Източник: Национална агенция за сигурност

Днес NSA публикува насоки (pdf, English) за нулево доверие за компонента „мрежа и среда“, който включва всички хардуерни и софтуерни активи, неперсонифицирани субекти и протоколи за взаимовръзка.

Моделът на нулево доверие осигурява задълбочена мрежова сигурност чрез картографиране на потоците от данни, макро- и микросегментация и софтуерно дефинирани мрежи.

За всеки от тях организацията трябва да достигне определено ниво на зрялост, което ѝ позволява да продължи да изгражда според принципите на нулевото доверие.

„Стълбът „Мрежа и среда“ изолира критичните ресурси от неоторизиран достъп чрез определяне на достъпа до мрежата, контрол на мрежовите потоци и потоците от данни, сегментиране на приложенията и работните натоварвания и използване на криптиране от край до край.“ – заключава Агенцията за национална сигурност

Картографирането на потоците от данни започва с определяне на това къде и как се съхраняват и обработват данните. Напредналата зрялост в този случай се постига, когато организацията има пълен опис и видимост на потока и може да смекчи всички настоящи, нови или аномални маршрути.

Чрез макросегментация организациите могат да ограничат страничното движение в мрежата, като създадат мрежови зони за потребителите във всеки отдел.

Например някой в счетоводството не се нуждае от достъп до мрежовия сегмент, посветен на човешките ресурси, освен ако това не е изрично необходимо, така че атакуващият би имал ограничена повърхност за атака, към която да се насочи.

При микросегментацията управлението на мрежата се разделя на по-малки компоненти и се прилагат строги политики за достъп, за да се ограничат страничните потоци от данни.

NSA обяснява, че „микросегментацията включва изолиране на потребителите, приложенията или работните процеси в отделни мрежови сегменти, за да се намали допълнително повърхността за атака и да се ограничи въздействието в случай на пробив“.

По-подробен контрол върху микросегментацията се постига чрез софтуерно дефинирани мрежови компоненти (SDN), които могат да осигурят персонализирано наблюдение на сигурността и предупреждаване.

SDN позволява контролиране на маршрутизирането на пакети от централизиран контролен център, осигурява по-добра видимост в мрежата и позволява прилагане на политики за всички мрежови сегменти.

За всеки от четирите компонента в стълба „Мрежа и среда“ на архитектурата с нулево доверие NSA описва четири нива на зрялост – от подготвителния етап до напредналата фаза, в която се прилагат обширни системи за контрол и управление, позволяващи оптимална видимост, мониторинг и осигуряване на растежа на мрежата.

Проектирането и изграждането на среда с нулево доверие е сложна задача, която изисква систематично преминаване през етапите на зрялост.

Извършена правилно, резултатът е корпоративна архитектура, която може да се противопостави, да идентифицира и да реагира на заплахите, опитващи се да се възползват от слабостите.

През февруари 2021 г. NSA публикува първото ръководство за рамката на нулевото доверие (Embracing a Zero Trust Security Model), в което се описват моделът и предимствата на принципите, които стоят зад него.

През април 2023 г. агенцията публикува ръководство за достигане на зрелостта на потребителския компонент в рамката за нулево доверие – Advancing Zero Trust Maturity Throughout the User Pillar.

 

Източник: e-security.bg

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
Бъдете социални
Още по темата
07/04/2024

92 000 NAS устройства на D-...

Изследовател на заплахи е разкрил нов...
27/03/2024

CISA предупреждава за недо...

В понеделник Американската агенция за киберсигурност...
27/03/2024

TheMoon проби хиляди рутери...

Забелязан е нов вариант на зловредния...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!