Το μοντέλο ασφαλείας Zero Trust δεν είναι νέο. Υπάρχει από τότε που ο John Kindervag από την Forrester Research έγραψε την εργασία του "No More Chewy Centers: Introducing the Zero Trust Model of Information Security" το 2010.
Η προσέγγιση Zero Trust επικεντρώνεται στην πεποίθηση ότι κανένας χρήστης ή εφαρμογή δεν πρέπει να είναι εγγενώς αξιόπιστος, ακόμη και αυτοί που βρίσκονται ήδη εντός της περιμέτρου του δικτύου.
Αυτή η ιδέα έχει ήδη υιοθετηθεί από μεγάλες εταιρείες και οργανισμούς όπως η Google, η Coca-Cola και η NSA για την καταπολέμηση της αυξανόμενης απειλής των κυβερνοεπιθέσεων. Ωστόσο, εξακολουθούν να υπάρχουν οδοφράγματα που εμποδίζουν την υιοθέτησή του.
Μύθοι για την ασφάλεια μηδενικής εμπιστοσύνης
Καθώς το ενδιαφέρον των οργανισμών για την προσέγγιση του μοντέλου Zero-Trust αυξάνεται, ορισμένες λανθασμένες αντιλήψεις σχετικά με τις βασικές αρχές του πλαισίου έχουν εμποδίσει την υιοθέτησή τους. Εδώ είναι μερικοί μύθοι που δεν πρέπει να πιστεύετε.
Μύθος 1: Η μηδενική εμπιστοσύνη δημιουργεί μια κουλτούρα δυσπιστίας
Μια κοινή παρανόηση για το Zero Trust είναι ότι προωθεί την ιδέα να μην εμπιστεύεστε τους υπαλλήλους σας. Ενώ το πλαίσιο Zero Trust απαιτεί από τις εταιρείες να ελέγχουν εξονυχιστικά τους χρήστες που έχουν πρόσβαση στους πόρους του δικτύου τους, δεν θα πρέπει να παρερμηνεύεται ως κάτι προσωπικό.
Το γεγονός είναι ότι η εμπιστοσύνη αντιπροσωπεύει μια ευπάθεια που μπορεί να θέσει τον οργανισμό σας σε κίνδυνο επίθεσης. Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται συγκεκριμένα την εμπιστοσύνη για να στοχεύσουν εταιρείες και η Zero Trust προσφέρει έναν τρόπο για να μετριαστεί αυτό. Είναι ισοδύναμο με μια είσοδο κάρτας κλειδιού αντί να επιτρέπει σε όλους να εισέλθουν σε ένα κτίριο.
Με χρησιμοποιώντας την Αρχή του Ελάχιστου Προνομίου (POLP), οι οργανισμοί μπορούν να εξατομικεύσουν τις πολιτικές κατωφλίου τους, έτσι ώστε οι χρήστες να έχουν πρόσβαση μόνο στους πόρους που χρειάζονται με βάση την εμπιστοσύνη που έχουν κερδίσει.
Μύθος δεύτερος: Η μηδενική εμπιστοσύνη είναι προϊόν
Το Zero Trust είναι στρατηγική ή πλαίσιο, όχι προϊόν. Είναι χτισμένο γύρω από την ιδέα να μην εμπιστεύεσαι ποτέ και να επαληθεύεις πάντα.
Τα διάφορα προϊόντα που προσφέρονται από προμηθευτές μπορούν να βοηθήσουν στην επίτευξη μηδενικής εμπιστοσύνης. Ωστόσο, δεν είναι προϊόντα Zero Trust. Είναι απλώς προϊόντα που λειτουργούν καλά στο περιβάλλον Zero Trust. Έτσι, εάν ένας πωλητής σας ζητήσει να αγοράσετε το προϊόν Zero Trust, αυτό είναι μια ένδειξη ότι δεν κατανοεί την υποκείμενη έννοια.
Σχετίζεται με: Τι είναι το δίκτυο Zero Trust και πώς προστατεύει τα δεδομένα σας;
Όταν ενσωματωθούν σωστά στην αρχιτεκτονική Zero Trust, διάφορα προϊόντα μπορούν να ελαχιστοποιήσουν αποτελεσματικά την επιφάνεια επίθεσης και να περιορίσουν την ακτίνα έκρηξης σε περίπτωση παραβίασης. Μόλις εφαρμοστεί πλήρως, μια λύση Zero Trust με συνεχή επαλήθευση μπορεί να εξαλείψει εντελώς την επιφάνεια επίθεσης.
Τρίτος μύθος: Υπάρχει μόνο ένας τρόπος να εφαρμοστεί η μηδενική εμπιστοσύνη
Το Zero Trust είναι μια συλλογή αρχών ασφαλείας που περιλαμβάνει συνεχή επαλήθευση, την Αρχή της πρόσβασης ελάχιστων προνομίων και μετριασμό της επιφάνειας επίθεσης.
Με τα χρόνια, έχουν εμφανιστεί δύο προσεγγίσεις για να ξεκινήσετε με ένα μοντέλο Zero Trust. Η πρώτη προσέγγιση ξεκινά με την ταυτότητα και περιλαμβάνει έλεγχο ταυτότητας πολλαπλών παραγόντων, ο οποίος προσφέρει γρήγορα αποτελέσματα.
Σχετίζεται με: Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων; Να γιατί πρέπει να το χρησιμοποιείτε
Η δεύτερη προσέγγιση είναι δικτυοκεντρική και ξεκινά με την τμηματοποίηση δικτύου. Η ιδέα περιλαμβάνει τη δημιουργία τμημάτων δικτύου για τον έλεγχο της κυκλοφορίας εντός και μεταξύ αυτών των τμημάτων. Οι διαχειριστές δικτύου μπορούν στη συνέχεια να διατηρήσουν ξεχωριστή εξουσιοδότηση για κάθε τμήμα, περιορίζοντας έτσι την εξάπλωση των πλευρικών απειλών σε ένα σύστημα.
Μύθος Τέταρτος: Η μηδενική εμπιστοσύνη εξυπηρετεί μόνο μεγάλες επιχειρήσεις
Η Google ήταν μία από τις πρώτες εταιρείες που ανέπτυξε την αρχιτεκτονική Zero Trust ως απάντηση στην Επιχείρηση Aurora το 2009. Αυτή ήταν μια σειρά επιθέσεων που στόχευαν σε μεγάλες επιχειρήσεις όπως η Google, η Yahoo, η Morgan Stanley και η Adobe Systems.
Όταν η Google υιοθέτησε το μοντέλο Zero Trust αμέσως μετά τις επιθέσεις, πολλές επιχειρήσεις νόμιζαν (και εξακολουθούν να πιστεύουν) ότι ισχύει μόνο για μεγάλους οργανισμούς. Αυτή η ιδέα θα ίσχυε μόνο εάν οι επιθέσεις στον κυβερνοχώρο περιορίζονταν σε μεγάλες επιχειρήσεις, κάτι που δεν συμβαίνει. Στην πραγματικότητα, περίπου 46 τοις εκατό των παραβιάσεων δεδομένων το 2021 απευθύνονταν σε μικρές επιχειρήσεις.
Ενώ τα μέσα ενημέρωσης τείνουν να καλύπτουν παραβιάσεις δεδομένων που επηρεάζουν μεγάλες επιχειρήσεις, δεν υπάρχει αμφιβολία ότι οι μικρές επιχειρήσεις χρειάζονται επίσης προστασία από επιθέσεις στον κυβερνοχώρο.
Τα καλά νέα είναι ότι οι μικροί οργανισμοί δεν χρειάζεται να κάνουν θραύση για να εφαρμόσουν το μοντέλο Zero Trust. Δεδομένου ότι δεν είναι προϊόν, οι επιχειρήσεις μπορούν να το εισαγάγουν σταδιακά κατανέμοντας μια μέτρια ετήσια επένδυση στην αρχιτεκτονική Zero Trust.
Μύθος πέμπτος: Η μηδενική εμπιστοσύνη εμποδίζει την εμπειρία χρήστη
Ένα από τα εμπόδια στην υιοθέτηση του Zero Trust είναι ο αντιληπτός αντίκτυπος στην εμπειρία του χρήστη. Είναι κατανοητό να υποθέσουμε ότι η παραγωγικότητα και η ευελιξία των χρηστών θα υποφέρουν κατά τη συνεχή επαλήθευση της ταυτότητας των χρηστών. Ωστόσο, όταν εφαρμοστεί σωστά, το Zero Trust μπορεί να προσφέρει μια φιλική προς τον χρήστη εμπειρία.
Οι οργανισμοί μπορούν να αξιολογήσουν τα προφίλ χρηστών και να συνδυάσουν τον έλεγχο ταυτότητας βάσει κινδύνου με τη μηχανική εκμάθηση για τον εντοπισμό των κινδύνων και τη λήψη αποφάσεων γρήγορης πρόσβασης. Εάν ο κίνδυνος είναι υψηλός, το σύστημα μπορεί να απαιτήσει ένα πρόσθετο βήμα ελέγχου ταυτότητας ή να αποκλείσει εντελώς την πρόσβαση για να προστατεύσει τους πόρους του. Αντίθετα, μπορεί να εξαλείψει τις προκλήσεις ελέγχου ταυτότητας εάν ο κίνδυνος είναι χαμηλός.
Η προσέγγιση Zero Trust μειώνει επίσης την πολυπλοκότητα στη διοικητική πλευρά των πραγμάτων. Οι εργολάβοι και οι υπάλληλοι δεν θα είναι πλέον υπεύθυνοι ασφάλειας σε περίπτωση που σταματήσουν να συνεργάζονται μαζί σας. Σύμφωνα με ένα αποτελεσματικό μοντέλο Zero Trust, το σύστημα θα τερματίσει αμέσως την πρόσβασή τους σε βασικά στοιχεία, εξαλείφοντας τις πίσω πόρτες.
Μύθος έκτος: Η μηδενική εμπιστοσύνη περιορίζεται στο περιβάλλον On-Prem
Πολλές επιχειρήσεις εξακολουθούν να θεωρούν το Zero Trust ως ένα μοντέλο που μπορεί να διαχειρίζεται μόνο εντός των εγκαταστάσεων. Αυτό γίνεται μείζον ζήτημα καθώς τα ευαίσθητα δεδομένα βρίσκονται πλέον σε υβριδικά περιβάλλοντα και περιβάλλοντα cloud. Με τις επιθέσεις στον κυβερνοχώρο και τις εισβολές που επηρεάζουν την αρχιτεκτονική on-prem σε άνοδο, όλο και περισσότερες επιχειρήσεις μετακινούνται στο cloud.
Τα καλά νέα είναι ότι η Zero Trust κινείται γρήγορα μαζί της.
Σχετίζεται με: Κορυφαίες παραβιάσεις δεδομένων ασφάλειας Cloud τα τελευταία χρόνια
Καθιερώνοντας μια αρχιτεκτονική Zero Trust στο cloud, οι εταιρείες μπορούν να προστατεύσουν ευαίσθητα δεδομένα και να μειώσουν την έκθεση των ευάλωτων περιουσιακών στοιχείων στο δίκτυό τους.
Επιπλέον, καθώς η κουλτούρα της απομακρυσμένης εργασίας εντείνεται και οι εγκληματίες του κυβερνοχώρου αναπτύσσουν νέους τρόπους για να εκμεταλλεύονται ευπάθειες, οι επιχειρήσεις που βασίζονται σε on-prem υποδομές κινδυνεύουν να διαταραχθούν.
Ποτέ μην εμπιστεύεσαι. Πάντα επαλήθευση
Με βάση τον αριθμό των παραβιάσεων δεδομένων που στοχεύουν οργανισμούς, είναι προφανές ότι η προσέγγιση της παλιάς σχολής για την ασφάλεια δεν είναι αρκετή. Ενώ πολλοί πιστεύουν ότι το Zero Trust είναι δαπανηρό και χρονοβόρο, είναι ένα φανταστικό αντίδοτο για τα προβλήματα ασφάλειας αυτή τη στιγμή.
Το μοντέλο Zero Trust επιδιώκει να καταργήσει συστήματα που βασίζονται σε αξιοπιστία απλώς και μόνο επειδή υφίσταται πολύ συχνά εκμετάλλευση σε κυβερνοεπιθέσεις. Λειτουργεί με βάση την αρχή ότι όλοι και όλα πρέπει να επαληθεύονται πριν αποκτήσουν πρόσβαση στους πόρους του δικτύου. Αυτή είναι μια αξιόλογη επιδίωξη για εταιρείες που θέλουν να μειώσουν τους κινδύνους και να βελτιώσουν τη στάση ασφαλείας τους.
Το παραδοσιακό μοντέλο ασφαλείας έχει αποδειχθεί αναποτελεσματικό έναντι του ransomware. Μάθετε γιατί η μηδενική εμπιστοσύνη είναι η καλύτερη προσέγγιση για να νικήσετε τις επιθέσεις στον κυβερνοχώρο.
Διαβάστε Επόμενο
- Ασφάλεια
- Ασφάλεια στο Διαδίκτυο
- Κυβερνασφάλεια
- Διαδικτυακό απόρρητο
- Επιχειρηματική Τεχνολογία
Ο Fawad είναι μηχανικός πληροφορικής και επικοινωνίας, επίδοξος επιχειρηματίας και συγγραφέας. Εισήλθε στην αρένα της συγγραφής περιεχομένου το 2017 και από τότε έχει συνεργαστεί με δύο πρακτορεία ψηφιακού μάρκετινγκ και πολλούς πελάτες B2B & B2C. Γράφει για την Ασφάλεια και την Τεχνολογία στο MUO, με στόχο να εκπαιδεύσει, να ψυχαγωγήσει και να προσελκύσει το κοινό.
Εγγραφείτε στο ενημερωτικό μας δελτίο
Εγγραφείτε στο ενημερωτικό μας δελτίο για συμβουλές τεχνολογίας, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!
Κάντε κλικ εδώ για να εγγραφείτε