Защо банките приемат един модерен подход към киберзащитата – моделът Zero Trust

За да защитят данните от злонамерени атаки, повечето банки днес продължават да разчитат на подхода „крепост, оградена с ров“ – познат и като „охрана на периметъра“. Подобно на средновековните замъци, защитени от каменни зидове, ров и порти, банките, които използват охрана на периметъра, инвестират усилено в укрепване на периметъра на своята мрежа с помощта на защитни стени, прокси сървъри, примамки от типа „гърне с мед“ и други инструменти за предотвратяване на проникване. Отбранителните системи от типа охрана на периметъра защитават входните и изходните точки на мрежата, като проверяват пакетите с данни и самоличността на потребителите, които влизат и излизат от мрежата на организацията, и след това приемат, че дейността във вътрешността на укрепения периметър е сравнително безопасна.

Съобразителните финансови институции вече се отдалечават от тази парадигма и използват модерен подход към киберзащитата – модела Zero Trust. Основното положение на модела Zero Trust е да не се доверявате по подразбиране на никого – вътрешен или външен потребител – и да изисквате строга проверка на всяко лице или устройство, преди да му предоставите достъп.

Периметърът на замъка продължава да бъде важен, но вместо просто да се наливат все повече и повече средства в по-здрави стени и по-широки ровове, моделът Zero Trust възприема по-нюансиран подход за управление на достъпа до самоличности, данни и устройства в рамките на прословутия замък. Така че независимо дали едно вътрешно лице действа злонамерено или невнимателно, или пък прикрити нападатели правят това през стените на замъка, автоматичен достъп до данните не се дава.

Ограничения на подхода „крепост, оградена с ров“

Когато става въпрос за защита на едно съвременно корпоративно цифрово стопанство, подходът „крепост, оградена с ров“ има важни ограничения, защото развитието на киберзаплахите е променило смисъла на понятията отбрана и защита. Големите организации, сред които и банките, работят с разпределени мрежи от данни и приложения, достъп до които имат служители, клиенти и партньори на място или онлайн. Това затруднява защитата на периметъра на крепостта. И дори ровът ефективно да задържа външните врагове, той не помага много за потребители с компрометирани самоличности и други заплахи от вътрешни потребители, притаени между стените на крепостта.

Всички практики по-долу са възможна причина за риск и са често срещани при банки, които разчитат за своята защита на подхода „крепост, оградена с ров“:

• Еднократно годишно преразглеждане на правата на служителите за достъп до приложенията.
• Неясни и несъвместими правила за права на достъп, зависещи от благоразумието на ръководителя, и неправилна организация на управлението при преместване на персонала.
• Прекомерна употреба на администраторски привилегировани акаунти от ИТ персонала.
• Клиентски данни, съхранявани в няколко места за споделяне на файлове и слаба представа кой има достъп до тях.
• Прекалено доверие към пароли за удостоверяване на потребители.
• Липса на класификация и отчети за данни, за да се знае кои данни къде се намират.
• Често използване на USB флаш устройства за пренасяне на файлове, съдържащи особено важни данни.

Как един модел Zero Trust упълномощава банкери и клиенти

Предимствата на подхода Zero Trust са добре документирани и все повече примери от реалния свят показват, че този подход може да предотврати сложни кибератаки. Повечето банки днес обаче все още се придържат към практики, които не спазват принципите на Zero Trust.

Възприемането на модела Zero Trust може да помогне на банките да засилят своето положение на защита, така че да могат с увереност да поддържат инициативи, които дават по-голяма гъвкавост на служителите и клиентите. Шефовете на банки например биха желали да дадат свобода на своите служители, които се срещат с клиенти – например мениджъри за връзка с клиентите и финансови съветници – да не бъдат вързани към бюрата си, а да се срещат с клиенти извън стените на банката. Днес повечето финансови институции подкрепят тази географска гъвкавост с аналогови средства – например печатни документи или статични мнения на техните съветници. Както банковите служители, така и клиентите обаче са свикнали да очакват по-динамичен начин на работа с данните в реално време.

Банките, които разчитат на подхода „крепост, оградена с ров“, се колебаят да разсредоточават данни извън физическата мрежа. Поради това, техните банкери и финансови съветници могат да използват само динамични модели на доказани и организирани инвестиционни стратегии, ако срещите с клиентите им се провеждат на територията на банката.

Исторически, за банкерите или финансовите съветници в движение е неудобно да споделят актуализации на модела в реално време или активно да си сътрудничат с други банкери или търговци, поне без да използват VPN (виртуални частни мрежи). Тази гъвкавост обаче е важен стимул за стабилни инвестиционни решения и удовлетвореност на клиентите. Моделът Zero Trust дава възможност на един мениджър на връзките с клиентите или анализатор да използва аналитичните данни от доставчиците на пазарни данни, да синтезира със свои собствени модели и динамично да работи чрез различни клиентски сценарии, по всяко време и където и да се намира.

Добрата новина е, че това е нова ера за интелигентната защита, която се поддържа от облака и архитектурата Zero Trust и която може да опрости и модернизира защитата и съответствието за банките.

Microsoft 365 помага за трансформиране на защитата на банките

С помощта на Microsoft 365 банките могат да направят незабавни стъпки към защита Zero Trust като разположат трите основни стратегии:

• Самоличност и удостоверяване– Първо и преди всичко – банките трябва да гарантират, че потребителите са тези, за които се представят, и че им дават достъп според техните роли. С помощта на Azure Active Directory (Azure AD) банките могат да използват еднократна идентификация (SSO), за да позволят на удостоверените потребители да се свързват с приложенията от всякъде, давайки възможност на мобилните служители да получават защитен достъп до ресурсите, без да бъде намалена тяхната продуктивност.

Освен това банките могат да разположат сигурен метод за удостоверяване – например двуфакторно удостоверяване или многофакторно удостоверяване (MFA) без пароли, което може да намали риска от проникване с 99,9 процента. Microsoft Authenticator поддържа насочени известия, еднократни пароли и биометрични данни за всяко приложение, свързано с Azure AD.

При устройства с Windows банковите служители могат да използват Windows Hello – защитена и удобна функция за лицево разпознаване, за да влизат в тези устройства. И накрая, банките могат да използват условния достъп на Azure AD, за да защитават ресурсите от подозрителни заявки чрез прилагане на съответните правила за достъп. Microsoft Intune и Azure AD работят заедно, за да гарантират, че само управлявани и съвместими устройства могат да получават достъп до услугите на Office 365, включително имейл и локални приложения. С помощта на Intune можете да оцените и състоянието на съвместимост на устройствата. В зависимост от състоянието на съвместимост на устройството, се налагат правила за условен достъп в момента, в който потребителят се опитва да получи достъп до данните.

Илюстрация на условен достъп.

• Защита срещу заплахи – С помощта на Microsoft 365 банките могат и да укрепят своите възможности за защита, за откриване и за реагиране на атаки чрез интегрираната и автоматизирана защита на Microsoft Threat Protection. Тя използва един от най-големите сигнали за заплахи, който се получава от Microsoft Intelligent Security Graph и усъвършенстваната автоматизация, базирана на изкуствен интелект (ИИ), за да бъдат подобрени идентификацията и реагирането на инциденти, което позволява на екипите за защита да премахват заплахите точно, ефективно и своевременно. Центърът за защита на Microsoft 365 предоставя централизиран възел и специализирана работна област за управление и пълно използване на решенията на Microsoft 365 за интелигентна защита за управление на самоличността и достъпа, защита срещу заплахи, защита на информацията и управление на защитата.

Центърът за защита на Microsoft 365.

• Защита на информацията – Макар самоличността и устройствата да са основните вектори на уязвимост от кибератаки, данните са това, което в крайна сметка искат киберпрестъпниците. С помощта на Microsoft Information Protection банките могат да подобрят своята защита на важната информация – където и да се намират или пътуват. Microsoft 365 дава възможност на потребителите да 1) идентифицират и класифицират поверителните си данни; 2) прилагат гъвкави правила за защита и 3) наблюдават и санират важните данни, изложени на опасност.

Пример за сценарий за класифициране и защита.

Опростете управлението на защитата с помощта на Zero Trust

Microsoft 365 помага да бъде опростено управлението на защитата в една модерна архитектура Zero Trust, като максимално се възползвате от видимостта, мащаба и разузнаването, необходими за борба с киберпрестъпността.

Докато обмисляте как да опазите своята модерна „крепост“, средата Zero Trust е оптимална за съвременните заплахи за киберзащитата. Средата Zero Trust изисква най-актуално следене на това, кой до какво, къде и кога има достъп – и дали изобщо трябва да има достъп.

Възможностите за защита и съответствие на Microsoft 365 помагат на организациите да проверяват даден потребител или устройство, преди да им се доверят. Microsoft 365 предоставя и цялостно решение за работа в екип и продуктивност. Общо казано, Microsoft 365 предоставя всеобхватно решение, което да помогне на ръководителите на банки да се съсредоточат върху клиентите и иновациите.