Перейти до основного
Microsoft 365
Підписатися

Чому банки застосовують сучасний підхід до захисту від кіберзагроз – модель нульової довіри

Багато банків досі покладаються на захист за принципом “замку з ровами”, також відомий як захист по периметру, щоб убезпечити дані від атак зловмисників. Такі банки схожі на середньовічні замки з кам’яними стінами, ровами та брамами: вони вкладають багато коштів у посилення периметру мережі за допомогою брандмауерів, проксі-серверів, пасток та інших засобів для протидії вторгненням. Засоби захисту по периметру убезпечують точки входу в мережу та виходу з неї, перевіряючи пакети даних та ідентичності користувачів, які входять у мережу організації та виходять із неї, а потім вважають активність у периметрі з посиленим захистом відносно безпечною.

Практичні фінансові установи зараз виходять за межі цієї системи та застосовують сучасний підхід до захисту від кіберзагроз – модель нульової довіри. Основний принцип моделі нульової довіри – за замовчуванням не довіряти нікому в організації та поза її межами й застосовувати сувору процедуру підтвердження кожного користувача або пристрою перед тим, як надати їм доступ.

Периметри “замку” залишаються важливими, але замість збільшення витрат на “міцніші стіни” та “ширші рови” модель нульової довіри застосовує гнучкіший підхід до керування доступом до ідентичностей, даних і пристроїв у межах організації. Тож, якщо працівники вдаються до зловмисних або недбалих дій чи замасковані нападники проникають через “стіни замку”, вони не отримують автоматичний доступ до даних.

Обмеження підходу “замку з ровами”

Коли мова йде про захист сучасних цифрових ресурсів підприємства, підхід “замку з ровами” має критичні обмеження, оскільки поява кіберзагроз призвела до зміни принципів безпеки. Великі організації, зокрема банки, мають справу з розосередженими мережами даних і програм, до яких працівники, клієнти й партнери отримують доступ локально та через Інтернет. Це ускладнює захист периметрів “замку”. Навіть якщо “рови” стримують ворогів, вони не убезпечують користувачів від ризиків, пов’язаних з ураженими ідентичностями або іншими внутрішніми загрозами, які ховаються всередині “замку”.

Далі описано, що зазвичай робить “замки з ровами” вразливими.

  • Перевірка прав доступу персоналу до програм один раз на рік.
  • Неоднозначні та несумісні політики прав доступу, що залежать від рішень керівника, а також недостатній рівень контролю в разі прийому на роботу й звільнення працівників.
  • Зловживання обліковими записами з правами адміністратора з боку ІТ-спеціалістів.
  • Зберігання даних клієнтів у багатьох файлах і брак інформації про те, хто має до них доступ.
  • Надмірна довіра до паролів для автентифікації користувачів.
  • Брак класифікації даних і звітування для розуміння того, де зберігаються ті чи інші відомості.
  • Часте використання USB-носіїв для передачі файлів із конфіденційними даними.

Як модель нульової довіри розширює можливості банкірів і клієнтів

Переваги моделі нульової довіри документально підтверджено: вона щодня все частіше застосовується на практиці, а приклади використання показують, що ця модель може запобігати складним кібератакам. Проте багато банків сьогодні досі дотримуються практик, які відрізняються від принципів моделі нульової довіри.

Застосування моделі нульової довіри може допомогти банкам посилити свій захист, щоб упевнено підтримувати ініціативи, які дають гнучкіші можливості працівникам і клієнтам. Наприклад, керівники банків хотіли б, щоб працівники, які спілкуються з клієнтами (зокрема, спеціалісти з обслуговування й фінансові консультанти), залишали свої робочі місця й проводили зустрічі за межами банку. Зараз багато фінансових установ працюють за принципом такої гнучкості й використовують аналогові засоби, зокрема роздруківки на папері та статичне представлення планів. Однак працівники та клієнти банків хочуть мати динамічніші можливості з використанням даних у реальному часі.

Банки, які застосовують підхід “замку з ровами” неохоче поширюють дані за межі фізичної мережі. Тому їхні банкіри й фінансові консультанти можуть використовувати лише динамічні моделі перевірених і раціональних інвестиційних стратегій, якщо наради з клієнтами відбуваються на території банку.

Раніше, коли банкіри та фінансові консультанти перебували не на своїх робочих місцях, їм було важко ділитись оновленнями моделі в реальному часі й активно співпрацювати з іншими банкірами та трейдерами (принаймні доводилося використовувати з’єднання через VPN). Однак гнучкість у цьому плані – це важлива рушійна сила, яка допомагає приймати обґрунтовані рішення стосовно інвестицій і забезпечувати високий рівень задоволеності клієнтів. Завдяки моделі нульової довіри спеціалісти з обслуговування клієнтів і аналітики можуть використовувати статистику від постачальників даних про ринок, розробляти власні моделі та працювати над різними сценаріями взаємодії з клієнтами будь-де й будь-коли.

Важливо те, що використання хмарної архітектури й моделі нульової довіри знаменує нову епоху у сфері інтелектуального захисту, адже тепер банки можуть спростити й модернізувати заходи безпеки та забезпечення відповідності.

Microsoft 365 допомагає оптимізувати банківські системи захисту

Завдяки Microsoft 365 банки можуть застосувати три ключові стратегії, щоб перейти на модель нульової довіри, не зволікаючи.

  • Ідентичності й ідентифікація. Спершу банкам потрібно переконатися, що їхні клієнти не видають себе за інших, і надавати доступ відповідно до ролей. Завдяки Azure Active Directory банки можуть використовувати систему єдиного входу, щоб автентифіковані користувачі мали змогу будь-де отримувати доступ до програм: так користувачі мобільних пристроїв зможуть безпечно працювати з ресурсами без шкоди для продуктивності.

Банки також можуть застосовувати методи суворої автентифікації, наприклад двофакторної або безпарольної багатофакторної автентифікації, які знижують ризик несанкціонованого доступу на 99,9 %. Microsoft Authenticator підтримує push-сповіщення, одноразові коди доступу й біометричні дані для всіх програм, підключених до Azure Active Directory.

Для пристроїв Windows працівники банків можуть використовувати Windows Hello – безпечну та зручну функцію розпізнавання обличчя для доступу до пристроїв. Крім того, банки можуть використовувати функцію умовного доступу Azure Active Directory для захисту ресурсів від підозрілих запитів за допомогою відповідних політик. Microsoft Intune і Azure Active Directory працюють разом, щоб доступ до служб Office 365, зокрема електронної пошти й локальних програм, могли отримати лише керовані пристрої, що відповідають вимогам. За допомогою Microsoft Intune також можна оцінювати стан відповідності пристроїв вимогам. Політика умовного доступу застосовується залежно від стану відповідності пристрою вимогам на момент спроби користувача отримати доступ до даних.

Інфографіка, що показує, як працює умовний доступ. Сигнали (місцеперебування користувача, пристрій, ризик у реальному часі, програма), перевірка кожної спроби отримати доступ (надання доступу, запуск процедури багатофакторної автентифікації, блокування доступу), програми й дані.

Ілюстрація принципів роботи умовного доступу.

  • Захист від загроз. Microsoft 365 дає банкам змогу покращити можливості для захисту, виявлення загроз і реагування на атаки завдяки інтегрованим автоматизованим функціям, які пропонує Захист від загроз Microsoft. Це рішення використовує Microsoft Intelligent Security Graph, одне з найбільших у світі джерел сигналів про загрози, і сучасні засоби автоматизації на основі штучного інтелекту (ШІ), щоб краще ідентифікувати інциденти та реагувати на них. Тому спеціалісти служби безпеки мають змогу точно, ефективно й оперативно усувати загрози. “Центр безпеки Microsoft 365” – це єдиний центр і спеціалізоване середовище, де можна керувати рішеннями інтелектуального захисту Microsoft 365 і використовувати їх для контролю ідентичностей і доступу, захисту від загроз, захисту інформації, а також керування безпекою.

Знімок екрана, на якому показано приладну дошку порталу "Центр безпеки Microsoft 365".

Центр безпеки Microsoft 365.

  • Захист даних. Ідентичності та пристрої – це основні вектори вразливості для кібератак, і зловмисники завжди хочуть здобути за допомогою них дані. Захист даних у Microsoft Azure дає банкам змогу посилити безпеку конфіденційної інформації, хоч би де вона зберігалася й куди передавалася. Microsoft 365 дає клієнтам змогу: 1) визначати й класифікувати конфіденційні дані; 2) застосовувати гнучкі політики захисту; 3) контролювати конфіденційні дані, які потрапили в зону ризику, і вирішувати такі ситуації.

Знімок екрана, на якому показано вікно служби "Захист даних у Microsoft Azure", де користувачу потрібно надати підтвердження, щоб надіслати конфіденційні дані.

Приклад сценарію класифікації даних і застосування заходів безпеки.

Спрощення керування безпекою за допомогою моделі нульової довіри

Microsoft 365 допомагає спростити керування безпекою за допомогою сучасної архітектури нульової довіри, використовуючи засоби забезпечення видимості, масштабування й розумної аналітики для боротьби з кіберзагрозами.

Якщо ви шукаєте засоби для захисту свого “замку”, радимо застосувати модель нульової довіри, оскільки вона найкраще підходить для боротьби із сучасними кіберзагрозами. Для її роботи потрібно забезпечити спостереження в реальному часі за тим, хто й до чого намагається отримати доступ, коли та де це відбувається, а також чи є у відповідної особи на це право.

Завдяки можливостям захисту й забезпечення відповідності в Microsoft 365 організації можуть виконувати перевірку, перш ніж надавати доступ користувачу або пристрою. Microsoft 365 також пропонує засоби для роботи в команді та підвищення продуктивності. Загалом Microsoft 365 – це комплексне рішення, яке може допомогти керівникам банків зосередитися на обслуговуванні клієнтів і впровадженні інновацій.