Prečo si banky osvojujú moderný prístup ku kybernetickej bezpečnosti – model nulovej dôvery
Mnohé banky sa pri ochrane pred škodlivými útokmi v súčasnosti aj naďalej spoliehajú na prístup zabezpečenia „nárazníkovej oblasti“, ktorý sa dá prirovnať k hradu obohnanému priekopou. Rovnako ako stredoveké hrady chránené kamennými hradbami, priekopami a bránami, banky, ktoré používajú zabezpečenie nárazníkovej oblasti, musia investovať veľké prostriedky do nárazníkových sietí ako brány firewall, servery proxy, honeypoty a ďalšie nástroje na ochranu pred prienikmi. Zabezpečenie nárazníkovej oblasti chráni vstupné a výstupné body siete tým, že overuje údajové pakety a identitu používateľov, ktorí vstupujú do siete organizácie alebo ju opúšťajú, a potom predpokladá, že aktivita vo vnútri oblasti so sprísneným zabezpečením je relatívne bezpečná.
Chytré finančné inštitúcie sa teraz od tejto paradigmy odkláňajú a začínajú využívať moderný prístup ku kybernetickej bezpečnosti – model nulovej dôvery. Ústredným princípom modelu Nulová dôvera (Zero Trust) je predvolene nikomu a ničomu nedôverovať (interne ani externe) a pred udelením prístupu vyžadovať prísne overenie každej osoby alebo každého zariadenia.
Múry hradu majú aj naďalej dôležitú úlohu, ale namiesto ďalších a ďalších investícií do hrubších hradieb a hlbších priekop prináša model nulovej dôvery zdokonalený spôsob riadenia prístupu k identitám, údajom a zariadeniam v tomto hrade. Nezáleží teda na tom, či interný účastník koná škodlivo alebo nedbanlivo, alebo či sa tajomným útočníkom podarí preraziť hradby – automatický prístup k údajom nie je povolený.
Obmedzenia prístupu „hradu a priekopy“
Pokiaľ ide o zabezpečenie digitálneho majetku dnešných veľkých podnikov, prístup „hradu a priekopy“ má kritické obmedzenia, pretože kybernetické hrozby od základov zmenili definíciu ochrany. Veľké organizácie vrátane bánk musia zvládnuť rozptýlené siete údajov a aplikácií, ku ktorým získavajú prístup zamestnanci, zákazníci aj partneri, lokálne aj online. V dôsledku toho je obrana nárazníkovej oblasti hradu zložitejšia. Dokonca aj v prípade, že priekopa poskytne ochranu pred útočníkmi, proti zneužitým identitám alebo iným interným hrozbám, ktoré číhajú za hradbami, toho veľa nezmôže.
Prípady uvedené nižšie predstavujú všetky možný zdroj vystavenia riziku a sú bežné v bankách, ktoré sa spoliehajú na bezpečnostný prístup „hradu a priekopy“:
- revízia prístupových práv k aplikáciám raz ročne,
- nejasné a nekonzistentné politiky prístupových práv závisiace od uváženia manažéra a nedostatočné opatrenia po presune zamestnancov,
- nadmerné používanie správcovských kont s privilegovaným prístupom IT oddelením,
- uloženie zákazníckych údajov vo viacerých zdieľaných ukladacích priestoroch na súbory a nejasné pravidlá prístupu k nim,
- nadmerné spoliehanie sa na heslá pri overovaní používateľov,
- nedostatočná klasifikácia údajov a tvorba zostáv, aby bolo jasné, kde sa ktoré údaje nachádzajú,
- časté používanie USB kľúčov na prenos súborov, ktoré obsahujú vysoko citlivé údaje.
Ako model nulovej dôvery pomáha bankárom a zákazníkom
Výhody prístupu Nulová dôvera (Zero Trust) sú dobre zdokumentované a narastajúci počet príkladov z reálneho sveta ukazuje, že tento prístup mohol zabrániť sofistikovaným kybernetickým útokom. Mnoho bánk však ešte aj v súčasnosti používa postupy, ktoré sa od princípu Nulová dôvera (Zero Trust) líšia.
Prijatie modelu nulovej dôvery môže bankám pomôcť posilniť zabezpečenie, aby dokázali bez obáv podporovať iniciatívy ponúkajúce zamestnancom a zákazníkom viac flexibility. Vedenie banky by povedzme mohlo umožniť väčšiu slobodu pohybu zamestnancom, ktorí pracujú so zákazníkmi, napríklad manažérom vzťahov a finančným poradcom, aby nemuseli sedieť za stolom a mohli sa s klientmi stretávať mimo banky. Mnohé finančné inštitúcie dnes podporujú túto geografickú agilnosť pomocou analógových nástrojov, ako sú napríklad papierové výtlačky alebo statické zobrazenia od právneho poradcu. Zamestnanci bánk aj zákazníci však očakávajú dynamickejší zážitok pri používaní reálnych údajov.
Banky, ktoré sa pri zabezpečení spoliehajú na prístup „hradu a priekopy“, majú obavy uvoľňovať údaje mimo svoju fyzickú sieť. Bankári a finanční poradcovia sa tak môžu oprieť o dynamické modely osvedčených a kategorizovaných investičných stratégií len vtedy, keď sa stretnutia s klientmi konajú priamo v banke.
Z historického hľadiska bolo pre bankárov alebo finančných poradcov ťažkopádne zdieľať aktualizácie modelov v reálnom čase alebo aktívne spolupracovať s inými bankármi či obchodníkmi, aspoň nie bez VPN sietí. Táto agilnosť je však dôležitou hnacou silou správnych investičných rozhodnutí a spokojnosti zákazníkov. Model Nulová dôvera (Zero Trust) umožňuje manažérovi vzťahov alebo analytikovi využívať prehľady od poskytovateľov trhových údajov, vytvárať vlastné modely a dynamicky pracovať na rôznych klientskych scenároch kedykoľvek a kdekoľvek.
Dobrou správou je, že ide o novú éru inteligentného zabezpečenia podporovaného cloudom a architektúrou Nulová dôvera (Zero Trust), ktoré dokáže zjednodušiť a modernizovať zabezpečenie a dodržiavanie súladu v bankách.
Microsoft 365 pomáha pri transformácii zabezpečenia bánk
So službou Microsoft 365 môžu banky prijať okamžité kroky smerom k zabezpečeniu Nulová dôvera (Zero Trust) – tým, že nasadia tri kľúčové stratégie:
- Identita a overovanie – banky v prvom rade potrebujú zabezpečiť, že používatelia sú tými, za ktorých sa vydávajú, a udeliť prístup na základe ich rolí. So službou Azure Active Directory (Azure AD) môžu banky využívať jediné prihlásenie (SSO), ktoré overeným používateľom umožní pripojiť sa k aplikáciám odkiaľkoľvek. Mobilní zamestnanci tak dokážu bezpečne získať prístup k prostriedkom bez negatívneho vplyvu na ich produktivitu.
Banky tiež môžu nasadiť silné metódy overovania, ako napríklad dvojfaktorové overovanie alebo viacfaktorové overovanie (Multi-Factor Authentication, MFA) bez potreby hesla, čo môže znížiť riziko narušenia až o 99,9 %. Aplikácia Microsoft Authenticator podporuje push oznámenia, jednorazové prístupové kódy a biometriu pre ľubovoľnú aplikáciu pripojenú k službe Azure AD.
Pre zariadenia s Windowsom môžu zamestnanci bánk používať Windows Hello, funkciu bezpečného a pohodlného rozpoznania tváre pri prihlasovaní do zariadení. Nakoniec môžu banky používať podmienený prístup v Azure AD na ochranu prostriedkov pred podozrivými požiadavkami – tým, že použijú príslušné politiky prístupu. Služby Microsoft Intune a Azure AD navzájom spolupracujú, aby ste mali istotu, že k službám Office 365 vrátane e-mailov a lokálnych aplikácií budú mať prístup len spravované a kompatibilné zariadenia. Prostredníctvom služby Intune môžete tiež vyhodnotiť stav dodržiavania súladu v zariadeniach. Politika podmieneného prístupu sa vynúti na základe stavu dodržiavania súladu konkrétneho zariadenia v čase, kedy sa používateľ pokúsi získať prístup k údajom.
ilustrácia podmieneného prístupu.
- Ochrana pred bezpečnostnými hrozbami – so službou Microsoft 365 môžu banky posilniť svoju schopnosť chrániť sa pred útokmi, zisťovať ich a reagovať na ne prostredníctvom automatizovaného zabezpečenia integrovaného v službe Microsoft Ochrana pred bezpečnostnými hrozbami. Využíva jeden z najväčších svetových signálov hrozieb dostupných z Microsoft Intelligent Security Graphu a pokročilú automatizáciu využívajúcu umelú inteligenciu (AI) na zlepšenie identifikácie incidentov a reakcie na ne, čo bezpečnostným tímom umožňuje riešiť hrozby presne, efektívne a okamžite. Centrum zabezpečenia pre Microsoft 365 predstavuje centrálne miesto a špecializovaný pracovný priestor na spravovanie inteligentných riešení zabezpečenia v službe Microsoft 365 a ich plné využívanie: riadenie identít a prístupu, ochrana pred bezpečnostnými hrozbami, ochrana informácií a spravovanie zabezpečenia.
Centrum zabezpečenia pre Microsoft 365.
- Ochrana informácií – zatiaľ čo identity a zariadenia sú primárnymi vektormi zraniteľnosti v prípade kybernetických útokov, to, čo počítačoví zločinci chcú, sú údaje. So službou Microsoft Information Protection môžu banky zlepšiť ochranu citlivých informácií bez ohľadu na to, kde sú uložené alebo kam sa prenášajú. Microsoft 365 umožňuje zákazníkom 1) identifikovať a klasifikovať citlivé údaje, 2) používať flexibilné politiky ochrany a 3) monitorovať a naprávať ohrozené citlivé údaje.
Príklad scenára klasifikácie a ochrany.
Zjednodušenie spravovania zabezpečenia s modelom Nulová dôvera (Zero Trust)
Služba Microsoft 365 pomáha zjednodušiť spravovanie zabezpečenia v modernej architektúre nulovej dôvery a využíva prehľady, škálovanie a funkcie inteligencie potrebné na boj proti počítačovej kriminalite.
Keď zvažujete, akým spôsobom chrániť svoj moderný „hrad“, prostredie Nulová dôvera (Zero Trust) je optimálne pre moderné hrozby kybernetickej bezpečnosti. Prostredie nulovej dôvery vyžaduje okamžitý dohľad nad tým, kto má prístup k čomu, kde a kedy – a či k danému prostriedku vôbec má mať prístup.
Funkcie zabezpečenia a dodržiavania súladu v službe Microsoft 365 pomáhajú organizáciám overiť používateľa alebo zariadenie predtým, ako mu budú dôverovať. Microsoft 365 tiež ponúka komplexné riešenie na tímovú prácu a podporu produktivity. Microsoft 365 tak predstavuje komplexné riešenie, ktoré pomôže vedeniu banky zamerať sa na zákazníkov a inovácie.