Tehnologija

NSA poziva na stalne provjere kako bi se postiglo nulto povjerenje

anketa.plus
Izvor: anketa.plus
NSA poziva na stalne provjere kako bi se postiglo nulto povjerenje

Agencija koja vodi kriptologiju i strategije kibernetičke sigurnosti američke vlade objavila je svoje najnovije smjernice o nultom povjerenju

By

  • Cliff Saran,Managing Editor

Objavljeno: 16 Jan 2026 12:32

Američka agencija za nacionalnu sigurnost (NSA) objavila je svoje najnovije smjernice o nultom povjerenju za osiguranje IT mreža i sistema američke federalne vlade. Ovo je prvi od dva dokumenta sa smjernicama koja dolaze od NSA, a koji pružaju „praktične i djelotvorne“ preporuke koje se mogu primijeniti kao najbolja praksa za osiguranje korporativnih IT okruženja kako u javnom tako iu privatnom sektoru.

U Zero povjerenje prajmer U dokumentu, NSA definiše „način razmišljanja bez poverenja“, što znači pod pretpostavkom da saobraćaj IT okruženja, korisnici, uređaji i infrastruktura mogu biti ugroženi. Da bi se to postiglo, smjernice pozivaju IT sigurnosne timove da uspostave rigorozni proces autentifikacije i autorizacije za sve zahtjeve za pristup.

U kontekstu osiguranja integriteta vladinih IT sistema, navedeno je da takva strategija poboljšava sigurnosni položaj mreža rigoroznom validacijom svakog zahtjeva za pristup, što sprječava neovlaštene promjene, smanjuje rizik od umetanja zlonamjernog koda i osigurava integritet softvera i lanaca nabavke.

Glavni zaključak NSA u vezi sa nultim povjerenjem je da se nikada ne vjeruje korisnicima ili uređajima koji zahtijevaju mrežno povezivanje ili pristup internim resursima. NSA smjernice pozivaju na verifikaciju bez izuzetka, gdje se dinamička autentifikacija i eksplicitno odobrenje koriste u svim aktivnostima na mreži, poštujući princip najmanje privilegija.

Konkretno, najnovije smjernice NSA-e sugeriraju da bi timovi za IT sigurnost trebali pretpostaviti da rade u IT okruženju gdje postoji proboj, što znači da rade i brane resurse pod pretpostavkom da je protivnik već prisutan u okruženju.

NSA je rekla da bi timovi za IT sigurnost trebali planirati zabranu po zadanom i detaljno ispitati sve korisnike, uređaje, tokove podataka i zahtjeve. To znači da IT sigurnosni timovi moraju kontinuirano evidentirati, provjeravati i nadgledati sve promjene konfiguracije, pristupe resursima i promet okruženja za sumnjive aktivnosti.

Smjernice također preporučuju eksplicitnu provjeru. To podrazumijeva da se pristup svim resursima dosljedno provjerava, koristeći i dinamičke i statičke mehanizme, koji se koriste za izvođenje onoga što NSA naziva „nivoima povjerenja za kontekstualne odluke o pristupu“.

Komentarišući smjernice, stručnjak za nulto povjerenje Brian Soby, tehnički direktor i suosnivač AppOmnija, rekao je: „U svim smjernicama, naglasak je na kontinuiranom evidentiranju, inspekciji i praćenju pristupa resursima i promjenama konfiguracije, plus sveobuhvatna vidljivost na svim slojevima.

“Čitajte jasno, NSA sugerira da su mnogi programi izgrađeni oko grubih kontrolnih tačaka i ograničenih signala, dok stvarni rizik živi unutar poslovnih aplikacija, posebno SaaS-a, gdje se nalaze osjetljivi podaci i poslovni tokovi posla.”

Sobyjevo razumijevanje novih smjernica je da efektivno nulto povjerenje zahtijeva temeljno razumijevanje onoga što korisnici mogu, a šta ne mogu učiniti, umjesto da se jednostavno oslanjaju na njihovu sposobnost provjere autentičnosti putem usluga mrežnog imenika i autorizacije koju im daje uspješna autentifikacija.

“Mnogi sigurnosni programi i dalje zamjenjuju grupe direktorija i pojednostavljene uloge za istinsku materijalnost prava, iako je učinkovit pristup u modernom SaaS-u oblikovan dozvolama koje su izvorne u aplikaciji, pravilima dijeljenja, delegiranom administracijom, uslovnim kontrolama i OAuth grantovima treće strane.”

Napomenuo je da NSA-in naglasak na praćenju pristupa resursima i promjenama konfiguracije implicira da oslanjanje na grube apstrakcije identiteta ostavlja IT sigurnosne timove slijepim za radnje i promjene dozvola koje stvaraju izloženost i omogućavaju zloupotrebu.

“Ovaj jaz se također neugodno dobro uklapa u kršenja i kampanje koje sada vidimo”, dodao je.

Kao primjer, Soby je rekao da su nedavni upadi vezani za grupe praćene kao UNC6040 i UNC6395 naglasili kako napadači mogu zaobići tradicionalne kontrole usmjerene na ulazna vrata zloupotrebom SaaS identiteta i integracija, uključujući kompromitirane OAuth tokene i pristup aplikacijama trećih strana, kako bi dosegli i izvukli podatke okruženja iz SaaS-a.

“U tom svjetlu, smjernice NSA podržavaju oštriji zaključak: programi za sigurnost identiteta koji ne mogu istinski razumjeti korisničke aktivnosti, ponašanja i materijalnost prava unutar aplikacija ne odgovaraju principima nultog povjerenja”, rekao je Soby. “One često postaju više performanse nego efektivne, ostavljajući timove centara za sigurnosne operacije zaglavljeni s generičkim signalima kao što su prijave kada se značajna aktivnost napadača događa unutar aplikacije.”

Pročitajte više o sigurnosti krajnjih tačaka

  • Šta posljednje sudske odluke znače za federalni proces IDR-a

    Autor: Jacqueline LaPointe

  • Bitka za pravičnu nadoknadu u skladu sa Zakonom bez iznenađenja
  • HPE potpisuje desetogodišnji GreenLake HPC ugovor vrijedan 2 milijarde dolara sa američkom Agencijom za nacionalnu sigurnost

    Autor: Caroline Donnelly

  • Security Think Tank: američki sigurnosni napori mogu se usredotočiti na saradnju

    Autor: Cath Goulding