Podkast 22T21 CARTA – Continuous Adaptive Risk and Trust Assessment Gartner

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat – CARTA czyli Continuous Adaptive Risk and Trust Assessment. Co to jest? To jest pojęcie, które wynika z całego frameworku Gartnera dotyczącego bezpieczeństwa i dostępu do zasobów firmowych. Chodzi o to, żeby zapewnić ograniczony dostęp do naszych zasobów i to zarówno zasobów, które mamy w Data Center jak i zasobów chmurowych do niezbędnego minimum. Dodatkowo ograniczyć ten dostęp pod warunkiem, że nasza polityka bezpieczeństwa jest spełniana. Sprowadza się to również do implementacji w narzędziach różnego typu scoringu. Chodzi o to, że mamy swoją politykę. Polityka z założenia jest oczywiście statyczna. Natomiast parametry, które są sprawdzane w tej statystyce już będą dynamiczne. Czyli np sprawdzamy, czy stacja końcowa ma antywirusa, czy nie ma zdarzeń dotyczących zmian lokalizacji, np nie łączy się np przez VPNa z różnych geolokalizacji. Czy mamy możliwość określenia jaki jest poziom antywirusa, czy mamy możliwość określenia jaka jest rola danego użytkownika, czy mamy znany endpoint, czyli to urządzenie końcowe, czy wiemy jaki jest jego nr seryjny, czy mamy certyfikat… Te elementy mogą nam mówić co to jest za urządzenie, jaki jest użytkownik i jaki poziom dostępu powinien mieć.

Co więcej, najczęściej idziemy w model dostępu per aplikacja a nie per tunel VPN. Jesteśmy w stanie na poziomie terminowania dostępu zdalnego już powiedzieć jaki poziom dostępu ma mieć dany użytkownik. Przypomnę, że w klasycznym modelu, gdzie mamy w data center, naszą aplikację czy serwery, to najczęściej mówimy o tym, że politykę realizujemy na Firewallu. Mamy jakiś VPN jakiś spięty i na Firewallu mamy politykę. Może to być oczywiście jedno urządzenie, mogą to być osobne urządzenia. Mówiłem o tym w poprzednich odcinkach, że mogą to być klastry, mogą to być pojedyncze urządzenia, w zależności od wielkości instalacji, od zasobności portfela. Jeśli mamy więcej możliwości to oczywiście dzielimy te warstwy.

Wracając do tego pojęcia CARTA – idea jest taka, żeby cały czas prowadzić pewien rodzaj scoringu i mierzyć co się dzieje, czy coś jest anomalią, czy coś jest zagrożeniem. Powinien być zespół lub osoba wyznaczana do ciągłego monitorowania takich incydentów, czy scoringu. Dzięki temu podwyższamy poziom bezpieczeństwa. Dodatkowo, jeśli nastąpi nawet jakaś kompromitacja – mówimy tutaj przede wszystkim o zagrożeniach dnia zerowego, czyli takich, które jeszcze nie są upublicznione. Podatności, które są u nas, istnieją, ale jeszcze nie wiemy i nie mamy patcha na nie. To też jest poziom zabezpieczenia, który ogranicza potencjalne straty. Dany użytkownik może się dostać tylko do danego poziomu zasobów.

Jeżeli popatrzymy sobie na przykład, który ostatnio podawałem z Oktą, to jest to m.in. przypadek, gdzie inżynier serwisowy miał skompromitowaną swoją stację końcową i zakres tego ataku, czyli tzw. Attack Surface jest ograniczony tylko do zasobów, tylko do obszarów, w którym działa tylko ten dany użytkownik, który był skutecznie zaatakowany i jego stacja została wykorzystana. O to właśnie w tym wszystkim chodzi, aby mieć jasność, kto się podłącza, do czego się podłącza, kiedy – czyli pełną widoczność. Jednocześnie ograniczyć mu dostęp do niezbędnych zasobów i – wracając do CARTA – monitorować na bieżąco cały stan bezpieczeństwa wszystkich urządzeń, zwłaszcza końcowych, bo najczęściej mówimy o użytkownikach końcowych i ich urządzeniach. Są one w kontekście infrastruktury bardzo istotnym elementem do monitorowania. Na dziś to tyle, dziękuję Ci za uwagę i do usłyszenia już za tydzień.