اساس اقدامات امنیت سایبری این بوده است که بازیگران بد «آنجا» هستند و مکانیسمهای دفاعی حجم کار و دادهها را «اینجا» ایمن میکنند. این ایده محیط محور امنیت سازمانی را هدایت می کند، که عمدتاً بر حملات ورودی با فایروال ها و رمزهای عبور برای محافظت از حجم کاری و داده ها متمرکز است.
با این حال، پس از همه گیری و در نتیجه شتاب در تحول دیجیتال، چالش ها برای محافظت از کاربران و حجم کاری به طور قابل توجهی افزایش یافته است. جلسات اتاق هیئت مدیره مجازی برگزار شد، دادههای حساس شرکت بین تیمهای توزیعشده جغرافیایی به اشتراک گذاشته شد و کارمندان اکنون از طریق چندین دستگاه به سرورهای سازمانی دسترسی پیدا میکنند تا متصل بمانند.
همانطور که زیرساخت فناوری اطلاعات شرکت تغییر کرد، بازیگران بد نیز با تغییر روشها و حجم حملات تکامل یافتند. دیدگاه محیطی امنیت دیگر در یک محیط IT توزیع شده دیجیتال با نقاط خرابی متعدد وجود ندارد، که این امر باعث میشود بازیگران بد شناسایی و از آسیبپذیریها استفاده کنند.
اغلب، این آسیب پذیری ها افراد هستند. بر اساس گزارش بررسیهای نقض دادههای 2023 Verizon، 74 درصد از نقضهای امنیتی را میتوان به خطای انسانی ردیابی کرد، که به کارمندی اشاره میکند که یا عمداً کاری را انجام میدهد که نباید انجام میدهد یا قربانی بازیگران بدی میشود که به آنها دسترسی یا اطلاعات دریافت میکنند. طبق آخرین گزارش هزینه نقض داده IBM، طی سالها، هزینه یک نقض تنها افزایش یافته است و در سال 2023 به 4.3 میلیون دلار رسیده است.
پارانویا خوب است: چرا اعتماد صفر نیاز ساعت است
چشم انداز قرار گرفتن در معرض تهدید به یک شبکه پیچیده تبدیل شده است و نیاز به چیزی بیش از یک رویکرد امنیتی محیط محور را ایجاد کرده است.
اعتماد صفر رویکردی است که به زیرساخت شبکه سادهتر، تجربه کاربری بهتر و وضعیت امنیت سایبری بهبود یافته منجر میشود. این سیاستهای دسترسی را بر اساس زمینه اعمال میکند، از جمله نقش و مکان کاربر، دستگاه او و دادههایی که درخواست میکند. دسترسی نامناسب و حرکت جانبی را در سراسر محیط مسدود می کند.
و درست مانند هر تغییر اساسی دیگر، رویکرد امنیتی بدون اعتماد با چالشهای خود همراه است.
زمینه سازی برای اعتماد صفر
شرکتها به سختی میتوانند به سمت یک مدل امنیتی با اعتماد صفر حرکت کنند، زیرا در هسته آن، تغییر ذهنی از سه رکن اساسی رویکردهای امنیتی سنتی را میطلبد:
- محیط اعتماد: رویههای امنیتی سنتی، اشخاصی را فرض میکنند که میتوان به آنها دسترسی داشت. با نمای محیطی کار می کند که یک اتصال مبتنی بر شبکه برقرار می کند و به سیستم های موجود در آن شبکه دسترسی می دهد. اعتماد صفر این موضوع را تغییر می دهد و فرض می کند که محیط اعتماد کافی نیست، و در عوض هر ذینفع را ملزم می کند که هویت و نیاز به دسترسی بر اساس حجم کاری به حجم کار را مشخص کند.
- شبکه ها امنیت را تامین می کنند: امنیت سازمانی سنتی حول فایروال ها، شبکه های خصوصی مجازی (VPN) یا اتصالات شبکه فیزیکی اختصاصی می چرخد. ثابت شده است که اینها ناکافی، پرهزینه، و مدیریت آنها دشوار است. مدل امنیتی بدون اعتماد، نیاز به بسیاری از این فناوریهای شبکه را از بین میبرد، هزینهها را آزاد میکند و انعطافپذیری بیشتری را فراهم میکند.
- IAM-اولین تمرکز بر مردم: یک معماری بدون اعتماد یک اتصال ایمن به بارهای کاری با امتیازات دقیق کاربر ارائه می دهد، در حالی که اطمینان می دهد برنامه ها دارای سیاست های به روز مدیریت هویت و دسترسی (IAM) هستند.
استراتژی سازمانی پنج نقطه ای برای اعتماد صفر
Zero Trust با «هرگز اعتماد نکنید، همیشه تأیید کنید» شروع می شود، اما فراتر از هویت و دسترسی ایمن است. تهدیدها میتوانند در داخل و خارج ظاهر شوند و نیاز به ارزیابی ریسک جامعی دارند که دادههای حیاتی، داراییهای فناوری اطلاعات، تهدیدات بالقوه، و بردارهای حمله بالقوه، از جمله آنهایی که از خودیها سرچشمه میگیرند را مشخص میکند.
در اینجا پنج نکته حیاتی وجود دارد که شرکتها باید هنگام اجرای رویکرد امنیتی بدون اعتماد در نظر بگیرند:
- نقشه جریان داده: درک اینکه کدام کاربران یا برنامه ها به دسترسی خاصی نیاز دارند ضروری است. استقرار IAM با احراز هویت چند عاملی و اصل دسترسی با حداقل امتیاز، با پشتیبانی ممیزی و تنظیمات منظم، کلیدی است.
- سیاست های مبتنی بر زمینه: رویکرد اعتماد صفر فرض میکند که سیاستها درخواستهای دسترسی را بر اساس زمینه تأیید میکنند. این شامل هویت کاربر، دستگاهی که درخواست از آن میآید، مکان درخواست، نوع دادهای که باید به آن دسترسی داشت و برنامهای که به آن دسترسی دارید میشود. این تضمین میکند که فقط کسانی که «دلیل» مشخصی دارند میتوانند به داراییهای خاص دسترسی داشته باشند و از دسترسی یک شبکه «نامعتبر» به حجمهای کاری و دادههایی که حق آنها را ندارد، جلوگیری میکند.
- کاهش سطح حمله: از آنجایی که کاربران مستقیماً به برنامه ها و سایر منابع مورد نیاز خود متصل می شوند، به شبکه متصل نمی شوند. این حرکت جانبی را حذف می کند و از آلوده کردن سایر منابع دستگاه های آسیب دیده جلوگیری می کند. با این معماری، برنامه ها برای اینترنت نامرئی هستند، بنابراین نمی توان آنها را به صورت جداگانه کشف و مورد حمله قرار داد.
- امنیت کارکنان را آگاه کنید: برای دستیابی به نتایج مطلوب، ضروری است که همه کارکنان به طور کامل شیوه های امنیتی مناسب را درک کرده و به آن پایبند باشند. برنامه های آموزشی دقیق باید اجرا شود تا اطمینان حاصل شود که همه به دانش و مهارت هایی مجهز هستند تا قبل از اعتماد، تأیید کنند. آموزش باید یک فرآیند مداوم باشد، و آزمایشها باید به طور منظم برای اندازهگیری بهبود و دیدن اینکه چه کسی ممکن است به آموزش متمرکزتری نیاز داشته باشد، اجرا شود.
- تست از طریق دریل های ساختگی: در همه محیطها، داشتن برنامههایی برای پیادهسازی وصلهها برای بهروزرسانی آسیبپذیریهای کشفشده در میان ابزارها با فرآیندی برای درک تأثیرات بر سایر ابزارهای امنیتی و پاسخ به حادثه ضروری است. با این حال، داشتن یک برنامه ساده همیشه کافی نیست. تمرینات تیم قرمز و تیم بنفش باید به طور منظم انجام شود. مهمتر از همه، تمرینهای روی میز برای واکنش به حادثه باید به طور منظم اجرا شوند تا همه طرفها نقش خود را در صورت حمله و در بدترین حالت، نحوه اجرای بازیابی سایبری را درک کنند.
این اقدامات به سازمانها کمک میکند تا از راستیآزمایی، آمادگی و آمادگی برای حملاتی که رخ خواهند داد، بدون توجه به دفاعهای موجود اطمینان حاصل کنند.
زمانی که خواندن این مقاله را به پایان می رسانید، یک هکر می توانست از طریق حمله فیشینگ، بدافزار یا مانورهای مهندسی اجتماعی به اطلاعات ممتاز یا حیاتی دسترسی پیدا کند.
نیاز روز یک استراتژی امنیتی است که در آن خطمشیها بر اساس زمینه دسترسی با حداقل امتیاز و احراز هویت دقیق کاربر – نه اعتماد مفروض – اعمال میشوند. به عبارت دیگر: هرگز اعتماد نکنید، همیشه تأیید کنید.
جورج سیمونز معاون استراتژی برای ابر، زیرساخت و امنیت در Persistent Systems است.