NGUYÊN TẮC CỦA MÔ HÌNH BẢO MẬT ZERO TRUST

Zero Trust là gì?

Zero Trust là mô hình bảo mật yêu cầu tất cả người dùng, dù thuộc hay không thuộc một tổ chức, phải được xác thực, ủy quyền và liên tục đánh giá về cấu hình và tư thế bảo mật trước khi được cấp hoặc giữ quyền truy cập vào các ứng dụng và dữ liệu. Zero Trust giả định rằng không có biên mạng truyền thống. Mạng có thể là cục bộ, trên đám mây, hoặc kết hợp với các tài nguyên ở bất kỳ đâu cũng như nhân viên ở bất kỳ vị trí nào.

Zero Trust là một mô hình đảm bảo cơ sở hạ tầng và dữ liệu cho quá trình chuyển đổi kỹ thuật số ngày nay. Nó giải quyết những thách thức trong kinh doanh hiện đại một cách độc đáo, bao gồm đảm bảo bảo mật cho nhân viên làm việc từ xa, môi trường đám mây lai và các mối đe dọa ransomware. Mặc dù nhiều hãng công nghệ đã cố gắng tạo ra các định nghĩa riêng của họ về Zero Trust, nhưng có một số tiêu chuẩn từ các tổ chức uy tín có thể giúp bạn điều chỉnh mô hình Zero Trust cho phù hợp với tổ chức của bạn.

Zero Trust và NIST 800-207

NIST 800-207 là tiêu chuẩn toàn diện và trung lập nhất, không chỉ dành cho các cơ quan chính phủ, mà áp dụng cho bất kỳ tổ chức cá nhân, hoặc doanh nghiệp nào. Tiêu chuẩn này cũng tập hợp các tiêu chí từ Forrester’s ZTX và Gartner’s CARTA. Vì thế, NIST đảm bảo khả năng tương thích và bảo vệ chống lại các cuộc tấn công lên các nền tảng điện toán đám mây, hay mô hình làm việc từ xa mà các doanh nghiệp đang áp dụng hiện nay.

Để đối phó với số lượng ngày càng tăng của các vi phạm bảo mật cao cấp, vào tháng 5/2021, chính quyền Biden đã ban hành lệnh hành pháp yêu cầu các Cơ quan Liên bang Hoa Kỳ tuân thủ NIST 800-207 như một bước bắt buộc để triển khai Zero Trust. Do đó, tiêu chuẩn này đã trải qua quá trình kiểm chứng gắt gao và nhận đóng góp từ nhiều khách hàng thương mại, nhà cung cấp và các bên liên quan của cơ quan chính phủ – đó là lý do tại sao nhiều tổ chức tư nhân cũng coi nó là tiêu chuẩn defacto cho các doanh nghiệp tư nhân.

Zero Trust tuân thủ các nguyên tắc chính sau đây dựa trên các hướng dẫn của NIST:

1. Xác minh liên tục: Luôn xác minh quyền truy cập mọi lúc cho tất cả các tài nguyên.
2. Giới hạn “bán kính vụ nổ”: Giảm thiểu tác động nếu xảy ra vi phạm bên ngoài hoặc bên trong tổ chức.
3. Tự động hóa việc thu thập và phản hồi theo ngữ cảnh: Kết hợp dữ liệu hành vi và lấy ngữ cảnh từ toàn bộ hệ thống IT (định danh, điểm cuối, khối lượng công việc, v.v…) để có phản hồi chính xác nhất.

Zero Trust Hoạt Động Như Thế Nào?

Việc thực thi mô hình này này đòi hỏi kết hợp các công nghệ tiên tiến như xác thực đa yếu tố dựa trên rủi ro, bảo vệ định danh, bảo mật điểm cuối thế hệ tiếp mới và công nghệ workload trên đám mây mạnh mẽ để xác minh danh tính người dùng hoặc hệ thống, xem xét quyền truy cập tại thời điểm đó và bảo trì bảo mật hệ thống. Zero Trust cũng yêu cầu xem xét mã hóa dữ liệu, bảo mật email và xác minh tính vệ sinh của tài sản và thiết bị đầu cuối trước khi chúng kết nối với ứng dụng.

Zero Trust là mô hình khác biệt đáng kể so với bảo mật mạng truyền thống theo phương pháp “trust but verify – tin tưởng nhưng cần xác thực”.

Cách tiếp cận truyền thống tự động tin cậy người dùng và điểm cuối trong phạm vi của tổ chức, khiến tổ chức gặp rủi ro từ các tác nhân nội bộ độc hại, khiến thông tin xác thực hợp pháp bị các tác nhân độc hại chiếm đoạt, cho phép các tài khoản trái phép hoặc bị xâm phạm có quyền truy cập rộng rãi ngay khi đã thâm nhập vào mạng lưới của tổ chức. Mô hình này đã trở nên lỗi thời khi mà doanh nghiệp đang chuyển dịch lên hạ tầng đám mây, và sự tăng nhanh của môi trường làm việc phân tán do đại dịch Covid bắt đầu vào năm 2020.

Kiến ​​trúc Zero Trust yêu cầu các tổ chức liên tục theo dõi và xác nhận rằng người dùng và thiết bị của họ có các đặc quyền và thuộc tính phù hợp.

Kiến trúc này cũng yêu cầu thực thi các chính sách hợp nhất rủi ro của người dùng và thiết bị, cân nhắc các quy định hoặc yêu cầu bảo mật khác trước khi cho phép giao dịch. Ngoài ra, tổ chức bắt buộc phải biết tất cả các tài khoản dịch vụ và đặc quyền của họ, đồng thời có thể thiết lập các kiểm soát về những gì và những nơi họ kết nối. Xác thực một lần là không thể đủ, vì các mối đe dọa và thuộc tính người dùng đều có thể thay đổi.

Do đó, các tổ chức phải đảm bảo rằng tất cả các yêu cầu truy cập được liên tục kiểm tra trước khi cho phép truy cập vào doanh nghiệp hoặc bất kỳ tài sản đám mây hoặc nào của doanh nghiệp. Đó là lý do tại sao việc thực thi chính sách Zero Trust dựa trên khả năng hiển thị trong thời gian thực đối với 100 thuộc tính nhận dạng ứng dụng và người dùng, chẳng hạn như:

• Danh tính người dùng và hình thức xác thực (con người, có lập trình)
• Đặc quyền thông tin đăng nhập trên mỗi thiết bị
• Kết nối bình thường cho thông tin xác thực và thiết bị (các mẫu hành vi)
• Loại hình và chức năng của thiết bị đầu cuối
• Vị trí địa lý
• Các phiên bản firmware
• Giao thức xác thực và rủi ro
• Các phiên bản hệ điều hành và mức vá lỗi
• Các ứng dụng được cài đặt trên điểm cuối
• Bảo mật hoặc phát hiện sự cố bao gồm hoạt động đáng ngờ và nhận dạng cuộc tấn công

Việc sử dụng phân tích phải gắn liền với hàng nghìn tỷ sự kiện, tự động chuẩn đoán cho doanh nghiệp, cùng với trí thông minh về mối đe dọa (threat intelligence) nhằm đảm bảo đào tạo mô hình AI/ML theo thuật toán tốt hơn để có phản hồi siêu chính xác dựa trên các chính sách an ninh của doanh nghiệp. Các tổ chức nên đánh giá kỹ lưỡng cơ sở hạ tầng CNTT và các con đường tấn công tiềm ẩn để ngăn chặn các cuộc tấn công và giảm thiểu tác động nếu xảy ra vi phạm. Điều này có thể bao gồm phân đoạn theo loại thiết bị, danh tính hoặc chức năng nhóm. Ví dụ: các giao thức đáng ngờ như RDP hoặc RPC đối với bộ điều khiển miền phải luôn được thử thách hoặc hạn chế với một số thông tin xác thực cụ thể.

Hơn 80% tất cả các cuộc tấn công liên quan đến việc sử dụng hoặc sử dụng sai mục đích thông tin xác thực.

Với các cuộc tấn công mới liên tục vào kho lưu trữ thông tin đăng nhập và danh tính, các biện pháp bảo vệ bổ sung cho thông tin đăng nhập và dữ liệu mở rộng đến các nhà cung cấp bảo mật email và cổng web an toàn (CASB). Điều này giúp đảm bảo an ninh mật khẩu tốt hơn, tính toàn vẹn của tài khoản, tuân thủ các quy tắc tổ chức và tránh các dịch vụ CNTT tiềm ẩn nguy cơ cao.

Use Case về Zero Trust

Zero Trust được mô tả là một tiêu chuẩn trong nhiều năm, và ngày càng được chính thức hóa trở thành phản hồi để đảm bảo chuyển đổi kỹ thuật số và một loạt các mối đe dọa phức tạp, tàn phá được thấy trong hai năm vừa qua.

Mặc dù bất kỳ tổ chức nào cũng có thể hưởng lợi từ Zero Trust, nhưng tổ chức của bạn có thể hưởng lợi từ Zero Trust ngay lập tức nếu:

Bạn cần bảo vệ mô hình triển khai cơ sở hạ tầng bao gồm:

• Đa đám mây, hybrid, đa danh tính
• Thiết bị không được quản lý
• Hệ thống kế thừa
• Ứng dụng Saas

Bạn cần giải quyết các mối đe dọa chính cho hệ thống như:

• Ransomware – vấn đề liên quan đến việc thực thi mã code và xâm phạm danh tính
• Các cuộc tấn công vào chuỗi cung ứng – thường liên quan đến các thiết bị không được quản lý và người dùng có đặc quyền làm việc từ xa
• Các mối đe dọa nội bộ – đặc biệt khó khăn để phân tích hành vi của người dùng từ xa

Tổ chức của bạn có những cân nhắc sau:

• Những thách thức về chuyên gia phân tích/ SOC
• Cân nhắc về những tác động đến trải nghiệm người dùng (đặc biệt là khi sử dụng MFA)
• Các yêu cầu về ngành hoặc chính sách của công ty (ví dụ: yêu cầu bảo mật của ngành tài chính hoặc chính sách bảo mật của Ủy ban Zero Trust của chính phủ Hoa Kỳ)
• Mối quan tâm trong việc duy trì bảo hiểm mạng (do thị trường bảo hiểm thay đổi nhanh chóng vì ransomware)

Mọi tổ chức đều có những thách thức riêng do hoạt động kinh doanh, thành thục trong chuyển đổi kỹ thuật số và chiến lược bảo mật. Nếu Zero Trust được triển khai đúng cách, có thể điều chỉnh để đáp ứng các nhu cầu cụ thể và vẫn đảm bảo ROI trên chiến lược bảo mật của doanh nghiệp.

Cuộc tấn công Sunburst

Cuộc tấn công Sunburst vào chuỗi cung ứng phần mềm năm 2021 cho thấy tầm quan trọng của việc các tổ chức không thể mất cảnh giác với ngay cả những tài khoản dịch vụ đạt tiêu chuẩn và các công cụ đáng tin cậy trước đó. Tất cả các hệ thống mạng đều có cập nhật tự động trong nền tảng công nghệ của họ, từ ứng dụng web đến giám sát và bảo mật mạng. Tự động hóa các bản vá lỗi là điều bắt buộc để đảm bảo mạng an toàn. Tuy nhiên, ngay cả đối với các bản cập nhật bắt buộc và tự động, Zero Trust sẽ ngăn chặn các hành động nguy hiểm tiềm ẩn.

Phân tích kỹ thuật của cuộc tấn công Sunburst minh họa cách mà bất kỳ công cụ nào, đặc biệt là công cụ thường được sử dụng trong mạng, có thể bị chiếm lấy từ cơ chế cập nhật hoặc nhà cung cấp – và các nguyên tắc mà Zero Trust áp dụng để giảm thiểu những mối đe dọa này.

Zero Trust và nguyên tắc chỉ cấp tối thiểu đặc quyền, quy định các chính sách và quyền truy cập nghiêm ngặt cho tất cả các tài khoản, bao gồm cả thông tin xác thực có lập trình như tài khoản dịch vụ. Các tài khoản dịch vụ nói chung cần có các hành vi quen thuộc và các đặc quyền kết nối hạn chế. Trong trường hợp của Sunburst, một tài khoản dịch vụ được cấp phép quá mức đã cho phép những kẻ tấn công mở rộng địa bàn khai thác. Họ không nên được phép trực tiếp truy cập vào bộ điều khiển miền hoặc hệ thống xác thực như ADFS, và bất kỳ hành vi bất thường nào phải được xác định nhanh chóng và báo cáo ngay khi chúng xảy ra.

Nguyên tắc cốt lõi của mô hình Zero Trust là gì?

Mô hình Zero Trust (dựa trên NIST 800-207) bao gồm các nguyên tắc cốt lõi sau:

• Xác minh liên tục: Luôn xác minh quyền truy cập mọi lúc và cho tất cả các tài nguyên.
• Giới hạn “bán kính vụ nổ”: Giảm thiểu tác động nếu xảy ra vi phạm bên ngoài hoặc bên trong tổ chức.
• Tự động hóa việc thu thập và phản hồi theo ngữ cảnh: Kết hợp dữ liệu hành vi và lấy ngữ cảnh từ toàn bộ hệ thống IT (định danh, điểm cuối, khối lượng công việc, v.v…) để có phản hồi chính xác nhất.

1. Xác minh liên tục

Xác minh liên tục có nghĩa là không có vùng an toàn, hay thông tin xác thực hoặc thiết bị đáng tin cậy ở bất cứ lúc nào. Đây chính là câu nói phổ biến “Không bao giờ tin tưởng, luôn xác minh.” (Never Trust, Always Verify). Việc xác minh liên tục phải được áp dụng cho một loạt tài sản và thiết bị, điều đó có nghĩa là một số yếu tố quan trọng cần được thiết đặt để cơ chế này hoạt động hiệu quả:

• Truy cập có điều kiện dựa trên rủi ro: Điều này đảm bảo quy trình làm việc chỉ bị gián đoạn khi mức độ rủi ro thay đổi, cho phép xác minh liên tục mà không làm mất trải nghiệm người dùng.
• Triển khai mô hình chính sách linh động và có thể mở rộng nhanh chóng: Vì khối lượng công việc, dữ liệu và người dùng có thể thay đổi thường xuyên, chính sách không chỉ tính đến rủi ro mà còn phải bao gồm việc đảm bảo tuân thủ nghiêm ngặt theo chính sách sách đặt ra. Zero Trust không đồng nghĩa với việc tổ chức giảm thiểu những yêu cầu hoặc chính sách bảo mật hiện hữu.

2. Giới hạn bán kính vụ nổ

Nếu vi phạm xảy ra, việc giảm thiểu tác động của vi phạm là rất quan trọng. Zero Trust giới hạn phạm vi thông tin xác thực hoặc đường dẫn truy cập mà kẻ tấn công tiếp cận được, tạo thời gian cho hệ thống và người IT phản hồi và giảm thiểu cuộc tấn công.

Giới hạn bán kính có nghĩa là:

• Sử dụng định danh dựa trên phân mảnh: Mạng truyền thống dựa trên phân mảnh có thể khó khăn trong việc duy trì hoạt động vì khối lượng công việc, người dùng, dữ liệu và thông tin đăng nhập thường xuyên thay đổi.
• Nguyên tắc chỉ cấp tối thiểu đặc quyền: Bất cứ khi nào thông tin đăng nhập được sử dụng, kể cả cho các tài khoản không phải của con người (chẳng hạn như tài khoản dịch vụ), các thông tin đăng nhập này chỉ được cấp khả năng truy cập tối thiểu cần thiết để thực hiện tác vụ. Khi nhiệm vụ thay đổi, phạm vi truy cập cũng thay đổi theo. Nhiều cuộc tấn công đã nhằm vào các tài khoản dịch vụ đặc quyền, vì chúng thường không được giám sát và thường được cấp phép quá mức.

3. Tự động hóa việc thu thập và phản hồi theo ngữ cảnh

Để đưa ra quyết định hiệu quả và chính xác nhất, càng nhiều dữ liệu thì càng hữu ích, miễn là dữ liệu đó có thể được xử lý và có các hành động phản ứng trong thời gian thực. NIST cung cấp hướng dẫn sử dụng thông tin từ các nguồn sau:

• Thông tin đăng nhập của người dùng – con người và không phải con người (tài khoản dịch vụ, tài khoản không đặc quyền, tài khoản đặc quyền – bao gồm thông tin đăng nhập SSO)
• Khối lượng công việc – bao gồm VM, vùng chứa và những thiết bị được triển khai trong các triển khai hybrid
• Điểm cuối – bất kỳ thiết bị nào đang được sử dụng để truy cập dữ liệu
• Mạng
• Dữ liệu
• Các nguồn khác (thường thông qua API):

o SIEM

o SSO

o Nhà cung cấp định danh (như AD)

o Threat Intelligence

Các giai đoạn thực hiện Zero Trust

Mặc dù nhu cầu của mỗi tổ chức là khác nhau, CrowdStrike cung cấp các giai đoạn sau để triển khai mô hình Zero Trust hoàn thiện:

• Giai đoạn 1: Hình dung – hiểu tất cả các nguồn lực, các điểm truy cập của tổ chức và hình dung các rủi ro liên quan

• Giai đoạn 2: Giảm thiểu tấn công – phát hiện và ngăn chặn các mối đe dọa hoặc giảm thiểu tác động của hành vi vi phạm trong trường hợp không thể ngăn chặn ngay mối đe dọa

• Giai đoạn 3: Tối ưu hóa – mở rộng bảo vệ cho mọi khía cạnh của cơ sở hạ tầng CNTT và tất cả các tài nguyên ở bất kỳ đâu trong khi tối ưu hóa trải nghiệm cho người dùng cuối, hoặc các đội IT bảo mật.

Tại sao chọn CrowdStrike cho Zero Trust?

Giải pháp Zero Trust của CrowdStrike có cách tiếp cận dễ dàng nhất trong ngành thông qua:

• Bảo mật cho các khu vực quan trọng của doanh nghiệp dễ gặp rủi ro nhất để ngăn chặn vi phạm trong thời gian thực đối với bất kỳ điểm cuối và cloud workload, danh tính và dữ liệu. Giải pháp Zero Trust của CrowdStrike tuân thủ các tiêu chuẩn NIST 800-207 và tối đa hóa phạm vi phủ sóng Zero Trust trên toàn bộ hệ thống hybrid của doanh nghiệp, bảo vệ tích hợp cho các khu vực có nguy cơ cao như danh tính và dữ liệu.
• Tính năng phát hiện siêu chính xác và bảo vệ tự động đảm bảo quá trình FRICTIONLESS ZERO TRUST cho các tổ chức ở mọi quy mô. Triển khai Zero Trust nhanh hơn và theo từng giai đoạn, chỉ với hai thành phần – cảm biến tác nhân nhẹ duy nhất và bảng điều khiển quản trị. Giảm tải gánh nặng cho các nhà phân tích của trung tâm hoạt động bảo mật (SOC) với tính năng bảo vệ và khắc phục tự động, đồng thời nâng cao trải nghiệm người dùng với quyền truy cập có điều kiện thích ứng.
• Nền tảng đám mây tiên tiến nhất thế giới cho phép các nhóm bảo mật đạt được hiệu suất và bảo vệ Zero Trust vượt trội mà không cần quản lý TB dữ liệu, nguồn đe dọa, phần cứng / phần mềm và chi phí nhân sự, từ đó, GIẢM THIỂU CHI PHÍ VÀ ĐỘ PHỨC TẠP CỦA BẢO MẬT. Tất cả những lợi ích này đạt được thông qua Đám mây bảo mật CrowdStrike, tương quan hàng nghìn tỷ sự kiện bảo mật mỗi ngày với các chỉ số tấn công, threat intelligence hàng đầu trong ngành, và tự động chuẩn đoán doanh nghiệp từ các điểm cuối, khối lượng công việc, danh tính, DevOps, tài sản CNTT và cấu hình.

Đơn vị phân phối CrowdStrike tại Việt Nam

Exclusive Networks Việt Nam là nhà phân phối chính thức của CrowdStrike tại Việt Nam. Với đội ngũ chuyên gia chuyên nghiệp, am hiểu sản phẩm và giải pháp, chúng tôi hỗ trợ các công ty nội địa, từ start-up đến vừa và nhỏ đến doanh nghiệp đa quốc gia đều được bảo đảm bảo mật đầu cuối trên nền tảng Falcon của CrowdStrike, giúp doanh nghiệp chủ động phát hiện các mối đe đọa trong hệ thống mạng và các thiết bị kết nối để ngăn chặn các cuộc tấn công.

Về Exclusive Networks:

Exclusive Networks là nhà phân phối giải pháp an ninh mạng và điện toán đám mây toàn cầu với phương châm “tạo ra giá trị đích thực”, đem đến những giải pháp công nghệ phù hợp trong kỷ nguyên kỹ thuật số. Với portfolio phân phối những giải pháp công nghệ tốt nhất, cùng đội ngũ chuyên gia nhiều kinh nghiệm, dịch vụ chuyên nghiệp, có văn phòng tại 43 quốc gia, cung cấp dịch vụ cho khách hàng trên 170 quốc gia, Exclusive Networks áp dụng mô hình độc nhất “quy mô chuẩn quốc tế, kinh doanh chuẩn quốc gia” để tạo ra nhiều giá trị và hỗ trợ đối tác tiếp cận đến khách hàng trên toàn thế giới, trong khi vẫn đảm bảo tính phù hợp với mô hình kinh doanh của từng quốc gia, khu vực. Tìm hiểu thêm về Exclusive Networks tại www.exclusive-networks.com/vn