Как работает безопасность, когда никто никому не доверяет — Zero Trust на пальцах

[Bharata]

Двухшаговое распознавание личности человека – это конечно очень хорошо и понятно, что для безопасности, но когда тебя сначала к такой безопасности принуждают (Google Mail), а потом ты позже лишаешься доступа к своим же письмам, то это уже нарушение прав человека. Лично я за безопасность, но она должна быть разумной и не по принуждению.

[iroln]

В конце концов должно быть абсолютное право потерять свои данные под личную ответственность дееспособного человека, а не считаться недоумком по умолчанию.

[Kerrigan]

Всё это звучит настолько же плохо как и блокировка аккаунтов в соцсетях просто потому что ты слишком часто сбрасываешь пароли

[d1mk0]

Упоминание UEBA-анализа во введении тоже honeypot? Я попался - дочитал до конца

[mysherocker]

Это такой же добрый мем в индустрии как "специалист по ИБ" (читать с выражением). Даже на хабре можно найти несколько про UEBA

[ildarz]

Через 10 минут будете знать, как внедрить Zero Trust в продакшене

И в итоге вместо связного системного текста - набор разрозненных частных рекомендаций с мемасиками и кратким упоминанием зоопарка каких-то вендоров.

Просто пара примеров:

«Даже самый опытный админ не получит доступ, пока не пройдёт полную проверку: от 2FA до анализа поведения».

А потом авария, форс-мажор, надо срочно что-то поднимать, а система такая - эй, чувак, ты какие-то нетипичные действия совершаешь, давай, до свиданья. Ну или там 2FA отвалился.

Представьте: вы размещаете в открытом доступе фальшивый API-ключ от AWS и ждёте. Через несколько секунд кто-то пытается его использовать.

Простите, а ЗАЧЕМ? Чтоб было на что бесполезно потратить рабочее время? Ну побыли вы КО, узнали, что ежели в открытый доступ фигачить секретную инфу, ее кто-то будет пытаться использовать. Дальше-то на что вам "IP адрес и юзер агент" атакующего сдались? По IP вычислите и юзер агент набьете?

P.S.

Zero Trust — это схема «меньше доверяй, больше проверяй», прямо как в отношениях.

В долгосрочных отношениях это не работает.

[masterthemac]

Поддержу.

Анализ поведения, как мне кажется, имеет смысл только для устоявшихся процессов, а сопровождение/администрирование к ним не относятся.

[RollingBrock]

По выделениям в середине предложения и характерному построению заголовков - есть устойчивое ощущение, что как минимум часть статьи писал ИИ. Ай-яй-яй, товарищи копирайтеры, совсем обленились!

[iStorm]

Безопасность должна быть незаметной, а вы описали какой то кавардак. С таким подходом отдел ИБ конечно не останется без работы, но и работать никому не даст. Невозможно создать паттерн усредненного юзера в системе и применить его на практике. Паттерн то вы создадите, но быстро обнаружите что 99% юзеров хоть в чем то из него выбиваются. И все в разном.

[Sipaha]

Через 10 минут будете знать, как внедрить Zero Trust в продакшене

Нужно всего лишь нанять пару десятков безопасников. Выделить им ~50 миллионов и наблюдать как они вашу архитектуру превращают в кашу, в которой никто не сможет разобраться. Profit!

Рецепт может и рабочий, но для очень крупного бизнеса, который и без советов со стороны знает как организовать у себя безопасность.

[podvox23]

Так и как же внедрить Zero Trust в продакшене? Какие решения на рынке существуют? Звучит очень сложно и дорого, особенно для МСП.

[AlexanderS]

Контекст становится новой границей безопасности — прозрачной, но непреодолимой для чужака.

Проблема в том, что контент у человека может меняться. Пришёл после болезни или длительного отпуска - и уже "рисунок" другой. С одной стороны я понимаю поднятую проблему, с другой стороны настолько тотальная слежка за пользователями при задании узких диапазонов - сплошные мучения для сотрудников.