В блоге компании Selectel на “Хабре” вышел материал о способах защиты США от внешних кибератак. Модель, которую выбрала Америка, описывается одной фразой так: “Никогда не доверяйте, всегда проверяйте”.
Концепция Zero Trust появилась в 2010 году. Её предложил Джон Киндерваг, сотрудник компании Forrester Research. Отмечается, что при этом подходе к компаниям или пользователям изначально нет. Каждому, кто хочет получить доступ к каким-либо данным, необходимо проверять. Подобная политика действует в таких организациях, как Coca-Cola, Microsoft, Google и др.
Сейчас, когда стал популярным удалённый формат работы, взломать систему стало проще. Поэтому, по словам представителей США, и необходимо внедрить Zero Trust.
7 сентября власти США опубликовали проект федеральной стратегии по переходу правительства страны к системам кибербезопасности Zero Trust. Ведомства теперь должны составить план по внедрению этого подхода, обозначив цели и результаты. В качестве примеров подобных действий перечисляются “шифрование трафика”, “надёжная защита данных”, “работа в безопасной облачной среде” и пр.
При этом США осознают, что подобный переход может занять много времени. Поэтому они запустили специальный сайт https://zerotrust.cyber.gov., с помощью которого будут собираться предложения, пожелания, инициативы по внедрению системы.
В конце сентября 2024 года власти планируют получить ряд результатов. Связаны они с идентификацией, устройствами, сетями, приложениями и данными. Так, для того чтобы получить доступ к рабочим приложениям, работники должны будут пройти авторизацию (система авторизации будет единой). При этом будет работать система многофакторной аутентификации. Также у США будет список всего используемого в ведомствах оборудования. Ведомства будут шифровать данные: все DNS-запросы, весь HTTP-трафик, электронную почту; будет происходить сегментация сетей вокруг приложений. Приложения также будут проверяться на наличие уязвимостей. Все данные учреждения собираются категоризировать, а конфиденциальная информация будет храниться в облаке.
Существует также модель зрелости Zero Trust Maturity Model. Соответствие ей компаний считается не обязательным, но желательным пунктом. В ней также прописаны пять целей и способы работы в каждом из направлений.
В целом об эффективности внедрения концепции Zero Trust можно будет судить уже скоро – в 2024 году, заключает автор.
Источник: Ferra