Αυτές οι δύο έννοιες ασφάλειας μπορεί να ακούγονται παρόμοιες, αλλά είναι εντελώς διαφορετικές.
Ενώ και οι δύο έννοιες μηδενικής εμπιστοσύνης και μηδενικής γνώσης είναι κρίσιμα συστατικά των σημερινών τάσεων στον κυβερνοχώρο, δεν είναι ίδιες.
Ακούγονται κάπως παρόμοια και μοιράζονται έναν σκοπό, αλλά η μηδενική γνώση προχωρά ένα βήμα παραπέρα από τη μηδενική εμπιστοσύνη στη δημιουργία ενός συστήματος ασφαλείας που μπορεί να αντιμετωπίσει τις διαρκώς εξελισσόμενες απειλές στον κυβερνοχώρο.
Στην πραγματικότητα, η απόδειξη μηδενικής γνώσης μπορεί να χρησιμοποιηθεί για να μετατρέψει τις ιδέες του μοντέλου ασφάλειας μηδενικής εμπιστοσύνης σε πραγματικότητα. Ωστόσο, προτού συνεχίσουμε, ας ξεκαθαρίσουμε ποιες είναι αυτές οι δύο έννοιες.
Τι είναι το Zero Trust;
Εν ολίγοις, η κεντρική ιδέα πίσω από την έννοια της μηδενικής εμπιστοσύνης είναι «μην εμπιστεύεσαι κανέναν, ελέγξτε τους πάντες». Έτσι, σε ένα πλαίσιο μηδενικής εμπιστοσύνης, δεν υπάρχει εμπιστοσύνη μεταξύ ενός δικτύου και των χρηστών του, ενός δικτύου και των στοιχείων υλικού και λογισμικού του ή μεταξύ ενός οργανισμού και των χρηστών του.
Με την υπόθεση ότι όλοι και όλα αποτελούν απειλή έως ότου αποδειχτεί το αντίθετο, ασφάλεια μηδενικής εμπιστοσύνης ζητά πάντα κάποιο είδος ελέγχου ταυτότητας πριν επιτρέψει την πρόσβαση σε εφαρμογές και δεδομένα πίσω από αυτές. Όλοι οι χρήστες εντός του πλαισίου μηδενικής αξιοπιστίας πρέπει πρώτα να πιστοποιηθούν, να εξουσιοδοτηθούν και να περάσουν από αξιολόγηση στάσης ασφαλείας.
Επίσης, η μηδενική εμπιστοσύνη εξουσιοδοτεί τους διαχειριστές IT να διασφαλίζουν την πλήρη ορατότητα σε όλους τους χρήστες, τις συσκευές και τα συστήματα. Αυτό όχι μόνο διασφαλίζει τη συμμόρφωση με τους κανονισμούς, αλλά βοηθά επίσης στην αποφυγή κυβερνοεπιθέσεων που προκαλούνται από παραβιασμένα διαπιστευτήρια χρηστών και μετριάζει τις παραβιάσεις δεδομένων. Έτσι, υπάρχουν περισσότερα από λίγα λόγοι για την υιοθέτηση ενός μοντέλου ασφάλειας μηδενικής εμπιστοσύνης.
Τι είναι η Μηδενική Γνώση;
Μια έννοια μηδενικής γνώσης προσπαθεί να καταλάβει πώς μπορεί κάποιος να αποδείξει ότι έχει κάτι εμπιστευτικό, όπως ένα κομμάτι ευαίσθητης πληροφορίας, χωρίς να αποκαλύψει τίποτα από αυτά. Στο πλαίσιο του κρυπτογράφηση μηδενικής γνώσης, η ασφάλεια μηδενικής γνώσης διασφαλίζει ότι τα δεδομένα του χρήστη κρυπτογραφούνται πριν ο χρήστης επικοινωνήσει με τον πάροχο υπηρεσιών. Επίσης, τα δεδομένα μπορούν να αποκρυπτογραφηθούν με ένα μοναδικό κλειδί, το οποίο είναι άγνωστο στον πάροχο — μόνο ο χρήστης έχει αυτό το κλειδί.
Έτσι, με την κρυπτογράφηση μηδενικής γνώσης, κανείς εκτός από τον χρήστη δεν μπορεί να έχει πρόσβαση στα δεδομένα του στην μη κρυπτογραφημένη τους μορφή. Στην ιδανική περίπτωση, κανείς εκτός από τον χρήστη δεν θα πρέπει να έχει πρόσβαση στα δεδομένα με την κρυπτογραφημένη μορφή, αλλά οι χώρες εντός Συμμαχίες Five Eyes, Nine Eyes και 14 Eyes θα έλεγε αλλιώς.
Στην ασφάλεια στον κυβερνοχώρο, η μηδενική γνώση μπορεί να θεωρηθεί ως στοιχείο του μοντέλου μηδενικής εμπιστοσύνης καθώς επιτρέπει ενέργειες όπως ο έλεγχος ταυτότητας πρέπει να εκτελούνται χωρίς να αποκαλύπτονται ευαίσθητες πληροφορίες σχετικά με το χρήστες.
Μηδενική εμπιστοσύνη vs. Μηδενική γνώση: Ομοιότητες και διαφορές
Εάν η συνθηματική φράση της έννοιας της μηδενικής εμπιστοσύνης είναι «δεν εμπιστεύεσαι κανέναν», τότε η λέξη «μηδενικής γνώσης» είναι «δεν γνωρίζουμε τίποτα». Ενώ αυτές οι δύο έννοιες μοιράζονται έναν σκοπό - δηλαδή την ενίσχυση της ασφάλειας δεδομένων και της ασφάλειας στον κυβερνοχώρο συνολικά - δεν λειτουργούν με τον ίδιο τρόπο.
Στην ασφάλεια στον κυβερνοχώρο, η μηδενική γνώση μπορεί να θεωρηθεί ως στοιχείο του μοντέλου μηδενικής εμπιστοσύνης καθώς επιτρέπει ενέργειες όπως ο έλεγχος ταυτότητας πρέπει να εκτελούνται χωρίς να αποκαλύπτονται ευαίσθητες πληροφορίες σχετικά με το χρήστες.
Το μοντέλο μηδενικής γνώσης μπορεί να χρησιμοποιηθεί για την προστασία του απορρήτου των δεδομένων καθώς ο πάροχος υπηρεσιών έχει «μηδενική γνώση» σχετικά με αυτό. Στις περισσότερες περιπτώσεις, αυτά τα δεδομένα αποτελούνται από κωδικούς πρόσβασης, διαπιστευτήρια σύνδεσης και άλλες ευαίσθητες πληροφορίες. Πολλοί τύποι ελέγχου ταυτότητας δύο παραγόντων (2FA) και ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) χρησιμοποιούν τη μηδενική γνώση μοντέλο, πράγμα που σημαίνει ότι δεν θα σας ζητηθεί να μοιραστείτε μυστικά ή να παρέχετε ευαίσθητες πληροφορίες για την επαλήθευση σας Ταυτότητα.
Τόσο το 2FA όσο και το MFA είναι κρίσιμα στοιχεία του πλαισίου μηδενικής εμπιστοσύνης, το οποίο υποστηρίζεται περαιτέρω από κρυπτογράφηση και διαχωρισμό δεδομένων. Ένας πάροχος υπηρεσιών που χρησιμοποιεί πλαίσια ασφαλείας μηδενικής γνώσης και μηδενικής εμπιστοσύνης μπορεί να είναι σίγουρος ότι τα συστήματά του προστατεύονται από εσωτερικές και εξωτερικές απειλές και ότι κανένα ευαίσθητο στοιχείο δεν θα τεθεί σε κίνδυνο σε περίπτωση δεδομένων αθέτηση.
Μηδενική εμπιστοσύνη vs. Μηδενική γνώση: Τι είναι πιο σημαντικό για την ασφάλεια στον κυβερνοχώρο;
Δεν υπάρχει κανένας λόγος για τον οποίο οι επαγγελματίες της κυβερνοασφάλειας θα πρέπει να επιλέξουν μεταξύ των εννοιών ασφάλειας μηδενικής εμπιστοσύνης και μηδενικής γνώσης. Αφού καταλάβουμε πώς λειτουργούν αυτά τα δύο στην κυβερνοασφάλεια, μπορούμε να δούμε τη μηδενική γνώση ως κρίσιμο στοιχείο του μοντέλου ασφάλειας μηδενικής εμπιστοσύνης.
Θα πρέπει επίσης να σημειώσουμε ότι ενώ η εφαρμογή της έννοιας μηδενικής εμπιστοσύνης μπορεί να φαίνεται απλή στη θεωρία, είναι πιο εύκολο να ειπωθεί παρά να γίνει όταν πρόκειται για πρακτική.