Во многих зарубежных компаниях уже давно используется политика Zero Trust, доказавшая свою высокую эффективность в области ИТ-безопасности. Она предполагает строго установленный список программных инструментов, пользоваться которыми могут те или иные сотрудники компании в силу выполнения своих должностных обязанностей. Остальное запрещено.
В Россию эта практика пришла сравнительно недавно и еще не так распространена во многом потому, что ее внедрение – действительно довольно трудоемкий процесс, требующий первоначального глубокого аудита бизнес-процессов. Это «задача со звездочкой», требующая опыта и огромной экспертизы.
Внедрение Zero Trust
В ходе аудита сначала расписываются функции подразделений. Далее выделяются отдельные группы пользователей, выполняющих сходные типы операций. В свою очередь, в этих группах выделяют отдельные трудовые процессы. И только потом все переносится в плоскость приложений и их взаимодействия с внешними сетями. В конце аудита для каждого подразделения и функции должен получиться четкий перечень процессов и разрешенных действий.
Вторым этапом является внедрение перечня допущенных решений. Этот процесс также является длительным и требует должной квалификации специалистов, ведь любой неоправданный запрет – это помеха для бизнес-процесса и потеря времени для пользователей. Значит, нужна подготовительная работа и постепенное применение правил сначала для тестовых групп и только потом – для всей компании.
Да, выглядит сложно. И вряд ли это под силу штатному ИТ-отделу. Однако такой подход быстро окупается, снижая количество уязвимостей в сетевой безопасности компании и позволяя быстро обнаруживать потенциальные риски. К примеру, по регламенту для удаленного администрирования ИТ-отдел должен пользоваться некой строго определенной утилитой. Файрвол показывает активность в сети другой утилиты – тревожный звонок. При обычном порядке эту активность никто не заметит и не вычислит, хотя она может оказаться опасной.
Что в итоге?
Аудит и внедрение перечня допущенных решений – самые трудоемкие операции в политике Zero Trust. Все последующее происходит по простым и отлаженным схемам: на новых сотрудников создаются учетные записи в Active Directory, а файрвол автоматически экстраполирует правила для рабочего места. Минимум временных затрат, минимум рисков.
Таким образом, вкладывая на старте определенное количество времени и усилий, можно очень сильно обезопасить и разгрузить себя в дальнейшем. Кроме того, вовсе не обязательно все делать самому. Чтобы не загружать свой ИТ-отдел новой и сложной задачей, которая может оказаться выше его компетенций, проще и, пожалуй, правильней запросить помощь одного из крупных системных интеграторов, специализирующихся в том числе и на подобных проектах. Тогда первые два этапа внедрения Zero Trust удастся пройти безболезненно и сравнительно быстро без потерь для бизнеса и возможных простоев.
Компания Softline будет рада помочь вам с этим!
