Доступ с нулевым доверием — это строгая модель безопасности, которая все чаще становится эталоном для предприятий и правительств. Он отходит от традиционной системы безопасности, основанной на периметре, и постоянно запрашивает и проверяет личность и авторизацию пользователей и устройств перед предоставлением доступа — даже генеральному директору, который проработал там двадцать лет. Затем пользователям предоставляются только минимальные разрешения, необходимые для выполнения их задач, что ограничивает потенциальный вред, который они могут причинить, и в то же время гарантирует, что они смогут продолжать выполнять свои задачи.
Одной из областей, где Zero Trust может быть эффективным, является анализ файлов журналов. Это связано с тем, что, хотя файлы журналов невероятно ценны для информационной безопасности и обнаружения угроз, они также могут представлять собой уязвимость системы. Поэтому они должны быть постоянно защищены и доступны тем, кто в них нуждается.
В этой статье рассматриваются проблемы реализации аналитики файлов журналов с нулевым доверием и то, как новые технологии могут решить эти проблемы.
Содержание
Файлы журналов: они раскрывают все
Файлы журналов — это цифровые записи, которые раскрывают информацию о деятельности системы. Они являются важным источником информации, поскольку благодаря их анализу компании могут получить ценную информацию о производительности сети, выявить уязвимости и обнаружить подозрительную активность.
Однако их ценность также является и угрозой. Как будто они раскрывают все, те, кто имеет к ним доступ, тоже все знают. Например, злоумышленник может использовать файлы журналов для отслеживания активности пользователей, идентификации привилегированных учетных записей и кражи конфиденциальной информации. Как только они воспользуются этой информацией для доступа к системе, они смогут использовать файлы журналов для манипулирования, кражи или хранения важной информации с целью выкупа.
Поэтому крайне важно управлять доступом к файлам журналов на протяжении всего рабочего процесса, чтобы обеспечить абсолютный минимальный доступ для аналитиков и специалистов по кибербезопасности и защитить их от раскрытия.
Шаг первый: безопасный сбор и хранение
Для защиты целостности и безопасности файлов журналов критически важно собирать и хранить эти файлы журналов в режиме реального времени в защищенной от несанкционированного доступа и изолированной среде. Один из способов управления сбором данных этого большого файла журнала — через OpenTelemetry. Его стандартизированный подход и способность интегрироваться с различными бэкэндами, включая Postgres, делают его предпочтительным вариантом.
Технология блокчейн теперь предлагает идеальное решение для их хранения. Его неизменяемость гарантирует невозможность изменения протоколов, сохранение их целостности и обеспечение совместимого и прозрачного ведения записей. Кроме того, децентрализованный характер блокчейна снижает риск атаки без единого координационного центра.
Шаг второй: контроль доступа с наименьшими привилегиями
Безопасное управление журналами требует баланса безопасности и производительности, чтобы гарантировать, что журналы никогда не будут раскрыты и их можно будет проанализировать. Это представляет собой проблему для традиционных средств контроля доступа, таких как классификация данных, маскирование и доступ на основе запросов, поскольку, хотя они и ограничивают воздействие, они также могут влиять на обнаружение угроз и эффективность аналитики. Они также не являются полностью безопасными, поскольку доступ к расшифрованным журналам по-прежнему предоставляется широко.
Один из способов добиться контроля доступа с наименьшими привилегиями без ущерба для производительности — это гомоморфное шифрование, криптографическое решение, которое позволяет данным оставаться зашифрованными на протяжении всего их жизненного цикла. Потому что при гомоморфном шифровании те, кому нужен доступ к журналам анализа угроз, могут анализировать их в зашифрованном состоянии, не имея возможности их прочитать.
Этот зашифрованный контроль доступа также может быть распространен за пределы аналитиков на всех, кто участвует в управлении журналами. Например, администраторы могут управлять разрешениями и доступом к журналам, а также просматривать запросы на доступ, даже не имея возможности читать сами журналы, поскольку они остаются зашифрованными. Это относится ко всему спектру систем нулевого доверия, использующих гомоморфное шифрование, где администраторы и все суперпользователи не имеют возможности читать данные, которыми они управляют, но при этом управляют ими.
Шаг третий: Анализ угроз и реагирование
Крайне важно ограничить объем данных, передаваемых за пределы защищенной системы, чтобы предотвратить потенциальную компрометацию и создание уязвимых точек доступа. Возможным решением этой проблемы является использование для анализа собственного искусственного интеллекта вместо сторонних инструментов.
Например, частный искусственный интеллект модели малого языка (SLM), работающий в базе данных, может предоставлять специализированную информацию и машинное обучение зашифрованным данным, при этом эти данные никогда не передаются за пределы системы. Кроме того, поскольку это SLM, результаты могут быть более точными и свободными от галлюцинаций ИИ, поскольку модель обучается не на огромных пулах данных, которые могут быть неточными или искаженными, а только на зашифрованных данных файла журнала и работает со всеми соответствующие данные ресурсы.
Поскольку журналы всегда остаются зашифрованными, а доступ предоставляется только для анализа зашифрованных журналов с минимальными привилегиями, гарантируется строгая безопасность с нулевым доверием.
Заключительные мысли
Эта статья показала, что нулевое доверие жизнеспособно и оптимально для безопасности и конфиденциальности, когда речь идет о сложной теме анализа файлов журналов и управления ими. Наконец, журналы никогда не должны разглашаться и никогда не редактироваться. Какой лучший способ сделать это, чем неизменяемая система с доступом с нулевым доверием?
Даже если вы не применяете подход нулевого доверия к управлению журналами и информацией, все равно важно всегда защищать этот важный пул данных — даже во время использования.
Мы рассмотрели и оценили лучшее программное обеспечение для управления идентификацией.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы демонстрируем лучшие и самые яркие умы в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно принадлежат TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
