Що таке Зеро-Траст?
April 12, 2023
Нульова довіра – це політика програми безпеки, яка регулює рейтинг довіри до певних програм. Як ви можете здогадатися з назви, нульова довіра передбачає, що жодна програма не є довіреною взагалі. Такий захід є суворим, але надзвичайно ефективним, коли йдеться про запобігання ін’єкції зловмисного ПЗ. У цьому режимі безпекова програма вважає будь-яку запущену в системі програму потенційно небезпечною та перевіряє виконані команди/отримані доступи до бібліотек DLL і папок.
Перевіряючи активність усіх програм, інструмент безпеки (це може бути рішення EDR або звичайний антивірус) може легко фільтрувати сумнівні речі. Опісля, спеціаліст із безпеки, який керує системою захисту, отримує звіт із усіма цими випадками та вибирає, які заходи він хоче застосувати.
В чому необхідність політики нульової довіри?
Раніше, на зорі поширення антишкідного програмного забезпечення, всі програми цього типу розділяли сторонні додатки на надійні та ненадійні. Третю категорію — системні програми — пізніше також віднесли до надійних. Тож додатки зі списку надійних могли робити все, що завгодно – антивірусні програми ігнорували їхню діяльність. Ті, які вважалися неблагонадійними, ретельно перевірялися. Ця класифікація була чудовою, якщо не згадати, що було досить легко досягти «надійності». Таким чином, небезпечними вважалися лише деякі сумнівні або зламані програми, власноруч створені Java-аплети та скрипти.
Така модель здається досить хорошою, оскільки вона все ще має ручне керування, можливість редагування та інші речі, які забезпечують гнучкість. Це продовжується до тих пір, поки ми не згадаємо про вразливості. Останні можуть з’являтися в усіх видах програм — і ті, які вважаються безпечними, не є винятком. Уразливості можуть дозволити хакерам виконувати довільний код, підвищувати привілеї, змінювати параметри системи та робити всі інші неприємні дії. Така ситуація повністю зводить нанівець ефективність системи з розподіленою довірою.
Спочатку проблема просто ігнорувалась, оскільки експлойтинг вразливостей не був настільки поширеним. На широкому ринку не було спеціальних рішень безпеки - їх можна було замовити лише за вищою ціною. І компанії це не хвилювало - ефективності антивірусних програм на той час вистачало. Коли кіберзлочинці змінили шляхи поширення з класичного обману чи соціального інжинірингу на експлойти, класичні рішення стали набагато менш ефективними. Можна навіть сказати - зовсім неефективними.
Принципи політики нульової довіри
Вище ми вже описували роботу антивіруса з політикою Zero Trust. Це досить примітивний опис, оскільки він має набагато більший список дій. Нульова довіра поширюється не лише на запущені програми, а й на файли, які зберігаються на диску, але не використовуються в даний момент. Щоб контролювати це, необхідно одночасно застосовувати і "класичні" рішення, і нові підходи.
Процеси обов’язково перевіряються кількома механізмами виявлення. У ранніх варіантах вони перевірялися під час виконання, дозволяючи програмі працювати в системі. Такий підхід має свої переваги, але наражає систему на ризик. Більш сучасні антивіруси з політикою нульової довіри запускають кожну програму в "пісочниці", віртуальному оточенні, перш ніж дозволити їй запуститися в реальній системі. У випадку з веб-сайтом або віддаленим сервером, він може бути запущений одночасно в пісочниці та в браузері - щоб мінімізувати затримку між запитом та відповіддю. Те ж саме виконується і до вхідних підключень - навіть якщо вони не виконують жодних дій, програма стежить за цим і реєструє кожен його крок, коли воно стає активним.
Насправді, ці перевірки не є новинкою для антишкідливого ПЗ. Усі програми, які мають розширений механізм перевірки, виконують описані операції. Але з політикою нульової довіри заходи безпеки застосовуються до всіх програм і файлів. Усі ці перевірки мають супроводжуватися найкращими системами виявлення, щоб забезпечити максимальну ефективність. Евристичні механізми та механізми виявлення на базі нейронних мереж повинні мати високу продуктивність із помірним споживанням ресурсів. Бази даних виявлення необхідно підтримувати відповідним чином — із щогодинним оновленням і постійним моніторингом можливих нових загроз.
Оскільки нульова довіра є майже синонімом систем EDR або XDR, найефективніше застосування цієї політики можна знайти здебільшого у цих просунутих безпекових застосунках. Вони зазвичай пропонують поділ захищеної мережі на сегменти, щоб полегшити контроль за системою в цілому. У цьому випадку нульова довіра дозволяє налаштувати деякі додаткові перевірки для програм, які вважаються більш небезпечними, або змінити список застосованих перевірок.
Зеро-траст у антивірусному ПЗ
Більшість програм із прикладом політики нульової довіри відносяться до вищезгаданих систем EDR або XDR. Ці програми представляють новий погляд на корпоративну кібербезпеку. У той час як попередні рішення захищали кожен ПК окремо один від одного, комплексні спеціалізовані рішення забезпечують щит, який охоплює всю мережу одночасно. Оскільки кіберзлочинці досить часто використовують розширені загрози, сканування на наявність ймовірно скомпрометованих програм вимагає відсутності будь-якої терпимості до будь-яких програм.
Масові антивірусні рішення для однокористувацьких систем рідко застосовують політику нульової довіри. Єдиний засіб, який присутній на всіх комп’ютерах із Windows 10/11, це Windows Defender – сумнозвісний інструмент безпеки від Microsoft . Він показує пристойні результати щодо потокового захисту, але має так багато багів і проблем із безпекою, що його використання викликає сумніви. І хоча він використовує повноцінну нульову довіру, згадані вище механізми безпеки обмежені. Наприклад, пісочниця в режимі мережевого захисту працює лише з браузером Edge; розширені механізми моніторингу скриптів доступні лише для скриптів PowerShell.
Чому постачальники антивірусного ПЗ відкладають застосування політики зеро-траст?
«Нульова довіра» може виглядати як чарівна пігулка для комп’ютерної безпеки. Нова ідеологія того, як антишкідливе програмне забезпечення реагує на програми в системі, може різко підвищити його ефективність навіть без значних удосконалень механізму виявлення. Однак кілька підводних каменів роблять його менш перспективним або навіть марним.
- Нульова довіра впливає на продуктивність комп’ютера. Ідентична програма споживатиме значно більший обсяг оперативної пам’яті та особливо потужності ЦП для виконання всіх перевірок і запуску пісочниці. Уявіть, що ви ввімкнули фоновий захист у вашому антивірусі, але він виконує операції, які потребують утричі більшої обчислювальної потужності. Звичайно, це не викличе значних проблем на потужних ПК, але продукти для захисту від шкідливих програм орієнтовані на масовий ринок - інакше вони не окупляться. Корпоративні рішення із політикою нульової довіри страждають набагато менше, оскільки більшість обчислень виконується на виділеному для цієї задачі сервері або на за допомогою хмарних обчислень.
- Користувачів рідко атакують із застосуванням розширених загроз. У той час як компанії постійно стикаються з ризиком бути атакованими розширеними персистентними загрозами, така тактика майже не використовується проти поодиноких користувачів. Кількість місць, де нульова довіра може бути корисною для користувача, мізерна порівняно з негативними ефектами, про які ми згадували в попередньому пункті. Для відбиття атаки «класичним» шкідливим програмним забезпеченням достатньо звичайного антивіруса з розподіленою довірою.
- Складне використання. Нульова довіра — це не лише контроль за тим, що працює у вашій системі. Щоб досягти максимальної ефективності, інструмент безпеки має бути налаштований спеціально для того оточення, у якому він працюватиме – інакше це безглузде перевантаження системи. І, як ви можете здогадатися, ручне налаштування не є прийнятним для масового ринку. Витрачання годин на читання посібників та налаштування підходить для системних адміністраторів, які встановлюють захист у корпорації, але є поганим варіантом для утиліти, що має добре працювати "з коробки".
Нульова довіра – це дуже перспективна політика для антишкідливого ПЗ будь-якого типу. Однак цей принцип навряд чи зможе бути використаний на масовому ринку через перераховані вище проблеми. Схоже, це буде додатковий або навіть обов'язковий елемент рішень корпоративної безпеки - там він демонструє максимальну ефективність. Але ми навряд чи можемо уявити його майбутнє як частину користувацього рішення для захисту від зловмисного програмного забезпечення - принаймні для масового вжитку.