Πως μπορεί να επιτευχθεί η μηδενική εμπιστοσύνη και από την πλευρά των εφαρμογών;

Του Δημήτρη Τσακτσήρα

Cybersecurity Solutions Manager

Space Hellas – www.space.gr

 

 

 

 

Η αρχιτεκτονική μηδενικής εμπιστοσύνης έχει μετακινήσει την άμυνα των οργανισμών από τη στατική περίμετρο στους χρήστες, στις εφαρμογές και στους πόρους. Ο καθένας αντιλαμβάνεται διαφορετικά τη μηδενική εμπιστοσύνη, και συνήθως τη μεταφράζει σε λύση όπως endpoint security, firewall, προστασία της ταυτότητας των χρηστών ή τμηματοποίηση του δικτύου. Αυτό οφείλεται κυρίως στο περιβάλλον που καλείται να προστατέψει αλλά και τις απαιτήσεις που διαφέρουν από οργανισμό σε οργανισμό. Όμως η μηδενική εμπιστοσύνη δεν είναι προϊόν, αλλά νοοτροπία, πορεία προς μια καλύτερη και ισχυρότερη ασφάλεια. Οι βασικές αρχές είναι κανένα στοιχείο δε θεωρείται έμπιστο, συνεχώς επαναξιολογείται η εμπιστοσύνη και επιβάλλονται τα ελάχιστα δυνατά προνόμια.

Τι ισχύει για τις εφαρμογές;

Το προηγούμενο διάστημα η συζήτηση επικεντρώθηκε στον χρήστη, το τερματικό και τα εργαλεία που βοηθούν στην εφαρμογή των παραπάνω αρχών. Παράλληλα, δόθηκε βάρος στην επέκταση των δυνατοτήτων των Network Access Control λύσεων πέρα από τη χρήση του 802.1x με posturing των συσκευών και πρόσβαση μόνο στους απαραίτητους πόρους που χρειάζεται ο χρήστης για να είναι παραγωγικός μέσω της τμηματοποίησης του δικτύου (micro-segmenation). Σύμφωνα με τον NIST1 η αρχιτεκτονική μηδενικής εμπιστοσύνης μπορεί να εφαρμοστεί και από την πλευρά των εφαρμογών. Με τις λύσεις ασφαλείς που έχουν εγκαταστήσει οι οργανισμοί, οι χρήστες πρέπει να αποδείξουν ότι είναι έμπιστοι για να πάρουν πρόσβαση στις υπηρεσίες και τα δεδομένα. Όμως, τι ισχύει για τις εφαρμογές. Είναι «καθαρές» από κακόβουλα λογισμικά; Είναι το προπύργιο μιας επίθεσης που βρίσκεται σε εξέλιξη; Αποτελούν κίνδυνο για τους χρήστες και την υπόλοιπη υποδομή; Εφαρμόζονται πολιτικές για την ελάχιστη δυνατή πρόσβαση; Γίνεται αναγνώριση και διαχείριση των ευπαθειών με αποδοτικό τρόπο; Αυτές είναι μερικές από τις ερωτήσεις που πρέπει να απαντηθούν και ανάλογα με την απάντηση να αποφασιστεί αν μια εφαρμογή μπορεί να θεωρηθεί έμπιστη.

Είναι σχεδόν ανέφικτο το να απαντηθούν τα παραπάνω ερωτήματα λαμβάνοντας υπόψιν την αυξανόμενη χρήση των containers και τον ταχύτατο ρυθμό δημιουργίας και «καταστροφής» των containers. Αυτό επιβεβαιώνεται και από την έρευνα της Enterprise Strategy Group (ESG)3 όπου σχεδόν οι μισές εφαρμογές τρέχουν σε containers ή serverless. Το 90% των οργανισμών ανησυχούν για misconfiguration στα workloads, στην ασφάλεια του δικτύου και τους privileged λογαριασμούς, ενώ το 47% των οργανισμών έχει θέσει ως προτεραιότητα τη συμμόρφωση των εφαρμογών (workloads) με τις πολιτικές ασφαλείας και το κανονιστικό πλαίσιο.

Στην έρευνα της Cybersecurity Insiders2 για το 2022 η ανησυχία των ανθρώπων της κυβερνοασφάλειας για τις εφαρμογές επικεντρώνεται στις εξής τρεις κατηγορίες προστασία των δεδομένων (44%), γρήγορη ανταπόκριση στον αυξανόμενο αριθμό ευπαθειών (42%) και στον έγκαιρο εντοπισμό απειλών και παραβιάσεων (38%). Το 44% των οργανισμών επιβεβαίωσαν ότι έχουν δεχθεί επιτυχημένη επίθεση παραβίασης των εφαρμογών. Το 31% των επιθέσεων αφορούσαν malwares, ενώ ακολουθούν DDoS επιθέσεις (23%) και εσφαλμένη παραμετροποίηση των εφαρμογών (21%).

Λύσεις για τη μείωση του κινδύνου

Με βάση τα προαναφερθέντα πρέπει να χρησιμοποιηθούν λύσεις, ώστε να επιτευχθεί η μηδενική εμπιστοσύνη και από την πλευρά των εφαρμογών. Η περίμετρος είναι η εφαρμογή, άρα χρειάζεται η χρήση ενός «νέου τείχους προστασίας» που περιβάλλει κάθε φορτίο εργασίας (workload) επιτρέποντας να προστατευτούν αυτά που έχουν μεγαλύτερη σημασία, οι εφαρμογές και τα δεδομένα, είτε αυτά βρίσκονται σε on-premises υποδομή, είτε στο νέφος.

Τέτοιου τύπου λύσεις συμβάλουν στη μείωση του κινδύνου, στην ενίσχυση της ασφάλειας και τη διατήρηση της συμμόρφωσης με:

  • Αυτόματη δημιουργία πολιτικών τμηματοποίησης μέσω ολοκληρωμένης ανάλυσης των επικοινωνιών και των εξαρτήσεων των εφαρμογών.
  • Δυναμικός ορισμός πολιτικών που βασίζονται σε χαρακτηριστικά με ένα ιεραρχικό μοντέλο πολιτικής για τον έλεγχο της πρόσβασης.
  • Συνεπής επιβολή πολιτικής μέσω κατανεμημένου ελέγχου των εγγενών host-based τοίχων προστασίας και της υποδομής, συμπεριλαμβανομένων των Application Delivery Controllers (ADC).
  • Παρακολούθηση συμμόρφωσης σχεδόν σε πραγματικό χρόνο όλων των επικοινωνιών για εντοπισμό και ειδοποίηση για παραβίαση πολιτικής ή ενδεχόμενη απειλή.
  • Βασική γραμμή συμπεριφοράς των εφαρμογών και προληπτικός εντοπισμός μη ομαλής συμπεριφοράς.
  • Εντοπισμός ευπαθειών με δυναμικό μετριασμό και τοποθέτηση σε καραντίνα βάσει των απειλών.

Τα πλεονεκτήματα είναι ότι θα μειωθεί σημαντικά η επιφάνεια επιθέσεων, θα ελαχιστοποιηθεί η «πλευρική κίνηση» σε περίπτωση επιθέσεων και θα εντοπίζονται γρήγορα μη ομαλές συμπεριφορές, όπως για παράδειγμα privileged escalation, εντός του data center.

Εκτός από την ενίσχυση της ασφάλειας η λύση προστασίας των εφαρμογών προσφέρει χρήσιμες πληροφορίες και προετοιμάζει τον οργανισμό για τη μετάβαση από το παραδοσιακό Data Center δίκτυο σε Software-Defined Data Center (SDDC4). Το SDDC επιτρέπει την ευελιξία (agility) του Datacenter και κυρίως αποτυπώνει τις business ανάγκες και τις μετατρέπει σε πολιτικές δικτύου που είναι απαραίτητες για τη δυναμική παροχή υπηρεσιών δικτύου, ασφάλειας και υποδομής. Είναι πολλά τα δομικά στοιχεία που απαιτούνται για τη μετάβαση σε SDDC αρχιτεκτονική, αλλά μια από τις πρώτες ερωτήσεις είναι ποιο application πρέπει να επικοινωνεί με τι και αυτό μπορεί να απαντηθεί εύκολα μέσω της λύσης ασφάλειας των εφαρμογών.

Φυσικά, η ασφάλεια δεν εξαντλείται στις λύσεις που προαναφέρθηκαν, για παράδειγμα στη περίπτωση των Web Application είναι αναγκαία η χρήση Web Application Firewall (WAF), ενώ για οποιοδήποτε τύπο εφαρμογής πρέπει να πραγματοποιείται ανά τακτά διαστήματα black/grey/white box penetration tests. Η Space Hellas μπορεί να προσφέρει τις προαναφερθείσες υπηρεσίες, διαθέτει την τεχνογνωσία και την εμπειρία να υλοποιήσει τις λύσεις που αναλύθηκαν παραπάνω, αλλά και κάθε είδους λύση που αφορά στην ασφάλεια των οργανισμών.

Συνοψίζοντας, εφόσον έχει εγκαθιδρυθεί η πολιτική μηδενικής ασφάλειας στους χρήστες το επόμενο βήμα είναι η επέκταση της και στις εφαρμογές.

1 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

2 https://salesconnect.cisco.com/sc/s/simple-media?vtui__mediaId=a1m8c00000nicMBAAY

3 https://salesconnect.cisco.com/sc/s/simplemedia?vtui__mediaId=a1m8c00000niWJ0AAM

4 https://en.wikipedia.org/wiki/Softwaredefined_data_center