Internet rzeczy (IoT) niesie ze sobą wiele problemów związanych z bezpieczeństwem. Powodów tego jest wiele. Z natury urządzenia te są niezaufane. Zazwyczaj nie można na nich zainstalować agenta bezpieczeństwa. Zwykle są one projektowane z niewielkim naciskiem na utrzymanie bezpieczeństwa, a ich obecność w sieci może być trudna do wykrycia, ponieważ często nie są widoczne jako urządzenia IT.
Autor: Greg Young
Z nieco podobnym problemem mieliśmy do czynienia w przypadku BYOD (Bring Your Own Device). Wiele urządzeń BYOD wygląda i zachowuje się jak korporacyjne urządzenia IT, natomiast IoT to trudniejszy orzech do zgryzienia, jeśli chodzi o bezpieczeństwo. Nasze konwencjonalne modele bezpieczeństwa nie nadążają za IoT i BYOD. Starsze architektury mogą skalować się tylko do pewnego stopnia, a powstałe w ten sposób luki są wykorzystywane przez nowe rodzaje ataków. Wraz ze wzrostem znaczenia informatyki oraz bezpieczeństwa definiowanego przez oprogramowanie, model zerowego zaufania (Zero Trust) jest postrzegany jako najważniejsze rozwiązanie problemów bezpieczeństwa, z którymi się zmagamy.
Na pierwszy rzut oka połączenie ZT z IoT może wydawać się niekompatybilne, jednak te z natury niezaufane, prawdopodobnie niezabezpieczone urządzenia IoT są idealnym przykładem na to, dlaczego architektury Zero Trust są ważne dla bezpieczeństwa przedsiębiorstw.
Jak więc mogą one stać się częścią architektury Zero Trust?
Czym jest koncepcja zerowego zaufania (Zero Trust)?
Zero Trust to podejście, a nie liczba na przyrządzie pomiarowym, stan binarny, czy coś, co można kupić za złotówkę. Zakłada ono, że każde urządzenie i każdy użytkownik stanowią potencjalne zagrożenie. Tak jak firma nigdy nie będzie „w 100% bezpieczna”, tak samo nigdy nie osiągnie się stanu „zerowego zaufania”. Nie oznacza to, że bezpieczeństwo i Zero Trust można zignorować, ale że są to cele, do których stale się dąży, tak samo jak do „jakości” czy „zdrowia”. Im bardziej się do nich zbliżysz (i Twoja firma), tym większe będzie Twoje bezpieczeństwo i zaufanie pokładane w architekturze. To nie jest sztuczka karciana ani słowny unik, aby „po prostu zaakceptować ryzyko”. Specyfika pracy w cyberbezpieczeństwie wymaga ciągłego dążenia do zapewnienia bezpieczeństwa w obliczu nieustannych zmian, zarówno poprzez ciągłe zapewnianie bezpieczeństwa, jak i świadomości pojawiania się różnych zmian.
Nowe urządzenia, ludzie, aplikacje i rzeczy będą pojawiać się w przedsiębiorstwie być może co sekundę, więc słowa „ciągły”, „ryzyko” i „postawa” są bardzo znaczące dla architektury Zero Trust.
Zastosowanie zasady zerowego zaufania w IoT
Do tej pory wiele mówiło się na temat mikrosegmentacji w zabezpieczeniach IoT. Jest to termin nieco mylący, jednak warunkiem wstępnym jest, by wiedzieć, co segmentować. Ponadto przed pojawieniem się modelu Zero Trust stawiano na tworzenie stref dla urządzeń IoT, w których można by funkcjonować, co nie jest zgodne z koncepcją Zero Trust.
Podstawą Zero Trust jest wiedza o obecności i zachowaniu jak największej liczby tożsamości, użytkowników, urządzeń, aplikacji i innych elementów. Bez tej widoczności stan zaufania, a więc i ryzyka, jest nieznany. Tak więc znalezienie elementów i wiedza o tym, jak bardzo można im ufać, ma fundamentalne znaczenie.
W przypadku zasadniczo nieznanych i niezaufanych urządzeń zarówno znalezienie, jak i ocena postawy ryzyka IoT w Twojej domenie jest niezwykle cenne i krytyczne dla włączenia ich do architektury Zero Trust. Większe korzyści można osiągnąć, znając historię komunikacji tych urządzeń, zachowania rzeczy i użytkowników, z którymi rozmawiały, a także mogąc zastosować osłony przed poprawkami i zablokować je, gdy zachowują się w sposób nieodpowiedni lub zbyt ryzykowny.
U podstaw tego wyzwania leży fakt, że wszystko to musi być wykonywane w sposób ciągły. To nie jest tylko jednorazowe działanie, gdy urządzenie wchodzi do sieci.
Ciągły wgląd w ryzyko dla IoT oznacza mniej nietrafionego zaufania i więcej automatyzacji
Oprócz wiedzy o architekturze Zero Trust, która może wspierać działania centrum operacji bezpieczeństwa (SOC), informacje o ryzyku związanym z nieznanymi urządzeniami, zarówno IoT, jak i bardziej tradycyjnymi BYOD, mogą być automatycznie stosowane w podzbiorach otoczki Zero Trust, takich jak SASE (Secure Access Service Edge) i ZTNA (Zero Trust Network Access). Połączenia z IoT oraz połączenia z IoT do sieci, aplikacji lub SaaS (które same mogą zawierać komponent IoT) mogą być bardziej zaufane (lub zablokowane), gdy wiedza na temat zachowania wszystkich zaangażowanych stron jest stale oceniana.
IoT jest tak niezaufaną strefą, że jest jednym z najlepszych kandydatów do zabezpieczenia przy użyciu architektury Zero Trust, ponieważ właśnie ograniczenie ryzyka występującego przez bezpodstawne zaufanie jest istotą podejścia Zero Trust.