Model bezpieczeństwa Zero Trust nie jest nowy. Istnieje od czasu, gdy John Kindervag z Forrester Research napisał swój artykuł „No More Chewy Centers: Introducing the Zero Trust Model of Information Security” w 2010 roku.
Podejście Zero Trust opiera się na przekonaniu, że żaden użytkownik ani aplikacja nie powinny być z natury godne zaufania, nawet te znajdujące się już w obrębie sieci.
Ten pomysł jest już wdrażany przez duże firmy i organizacje, takie jak Google, Coca-Cola i NSA, aby zwalczać rosnące zagrożenie cyberatakami. Jednak nadal istnieją przeszkody utrudniające jego przyjęcie do głównego nurtu.
Mity dotyczące bezpieczeństwa Zero Trust
Wraz ze wzrostem zainteresowania organizacji podejściem opartym na modelu Zero-Trust, pewne nieporozumienia na temat podstawowych zasad struktury stały się przeszkodą w przyjęciu. Oto kilka mitów, w które nie powinieneś wierzyć.
Mit pierwszy: zero zaufania tworzy kulturę nieufności
Powszechnym błędnym przekonaniem na temat Zero Trust jest to, że promuje ideę nieufania swoim pracownikom. Chociaż struktura Zero Trust wymaga od firm kontrolowania użytkowników uzyskujących dostęp do ich zasobów sieciowych, nie należy jej błędnie interpretować jako czegoś osobistego.
Faktem jest, że zaufanie to luka, która może narazić Twoją organizację na atak. Cyberprzestępcy w szczególności wykorzystują zaufanie do atakowanych firm, a Zero Trust oferuje sposób na złagodzenie tego. Jest to równoznaczne z wejściem za pomocą karty-klucza, a nie pozwala wszystkim wejść do budynku.
Za pomocą stosując zasadę najmniejszych przywilejów (POLP), organizacje mogą spersonalizować swoje zasady dotyczące progów, tak aby użytkownicy uzyskiwali dostęp tylko do zasobów, których potrzebują, na podstawie zdobytego zaufania.
Mit drugi: Zero zaufania to produkt
Zero Trust to strategia lub ramy, a nie produkt. Jest zbudowany wokół idei, by nigdy nie ufać i zawsze weryfikować.
Różne produkty oferowane przez dostawców mogą pomóc w osiągnięciu Zero Trust; nie są to jednak produkty Zero Trust. Są to jedynie produkty, które dobrze działają w środowisku Zero Trust. Tak więc, jeśli sprzedawca prosi Cię o zakup produktu Zero Trust, oznacza to, że nie rozumie podstawowej koncepcji.
Związane z: Co to jest sieć Zero Trust i jak chroni Twoje dane?
W przypadku prawidłowej integracji z architekturą Zero Trust różne produkty mogą skutecznie minimalizować powierzchnię ataku i ograniczać promień wybuchu w przypadku naruszenia. Po pełnym wdrożeniu rozwiązanie Zero Trust z ciągłą weryfikacją może całkowicie wyeliminować powierzchnię ataku.
Mit trzeci: istnieje tylko jeden sposób na wdrożenie zerowego zaufania
Zero Trust to zbiór zasad bezpieczeństwa, który obejmuje ciągłą weryfikację, zasadę dostępu do najniższych uprawnień i ograniczanie powierzchni ataku.
Z biegiem lat pojawiły się dwa podejścia do rozpoczęcia modelu Zero Trust. Pierwsze podejście zaczyna się od tożsamości i obejmuje uwierzytelnianie wieloskładnikowe, które zapewnia szybkie rezultaty.
Związane z: Co to jest uwierzytelnianie dwuetapowe? Oto dlaczego powinieneś go używać
Drugie podejście jest zorientowane na sieć i zaczyna się od segmentacji sieci. Koncepcja obejmuje tworzenie segmentów sieci w celu kontrolowania ruchu w obrębie tych segmentów i między nimi. Administratorzy sieci mogą wówczas utrzymywać osobną autoryzację dla każdego segmentu, ograniczając w ten sposób rozprzestrzenianie się zagrożeń pobocznych w systemie.
Mit czwarty: Zero zaufania służy tylko dużym przedsiębiorstwom
Google był jedną z pierwszych firm, które wdrożyły architekturę Zero Trust w odpowiedzi na operację Aurora w 2009 roku. Była to seria ataków wymierzonych w duże przedsiębiorstwa, takie jak Google, Yahoo, Morgan Stanley i Adobe Systems.
Kiedy Google przyjął model Zero Trust bezpośrednio po atakach, wiele firm myślało (i nadal uważa), że dotyczy on tylko dużych organizacji. Ten pogląd byłby prawdziwy tylko wtedy, gdyby cyberataki ograniczały się do dużych przedsiębiorstw, a tak nie jest. W rzeczywistości około 46 procent naruszeń danych w 2021 były skierowane do małych firm.
Chociaż media zwykle informują o naruszeniach danych dotykających duże przedsiębiorstwa, nie ma wątpliwości, że małe firmy również potrzebują ochrony przed cyberatakami.
Dobrą wiadomością jest to, że małe organizacje nie muszą rozbijać banku, aby wdrożyć model Zero Trust. Ponieważ nie jest to produkt, firmy mogą wprowadzać go stopniowo, przeznaczając skromną roczną inwestycję w architekturę Zero Trust.
Mit piąty: Zero zaufania utrudnia wrażenia użytkownika
Jedną z przeszkód we wdrażaniu Zero Trust jest postrzegany wpływ na doświadczenie użytkownika. Zrozumiałe jest założenie, że wydajność i sprawność użytkowników ucierpią podczas ciągłej weryfikacji tożsamości użytkowników. Jednak po odpowiednim wdrożeniu Zero Trust może zapewnić przyjazną dla użytkownika obsługę.
Organizacje mogą oceniać profile użytkowników i łączyć uwierzytelnianie oparte na ryzyku z uczeniem maszynowym w celu identyfikowania zagrożeń i podejmowania szybkich decyzji dotyczących dostępu. Jeśli ryzyko jest wysokie, system może wymagać dodatkowego kroku uwierzytelnienia lub całkowicie zablokować dostęp w celu ochrony swoich zasobów. Wręcz przeciwnie, może wyeliminować wyzwania związane z uwierzytelnianiem, jeśli ryzyko jest niskie.
Podejście Zero Trust zmniejsza również złożoność po stronie administracyjnej. Kontrahenci i pracownicy nie będą już ponosić zobowiązań związanych z zabezpieczeniem na wypadek, gdyby przestali robić z Tobą interesy. W wydajnym modelu Zero Trust system natychmiast zakończy dostęp do kluczowych zasobów, eliminując tylne drzwi.
Mit szósty: Zero zaufania ogranicza się do środowiska lokalnego
Wiele firm nadal postrzega Zero Trust jako model, którym można zarządzać tylko lokalnie. Staje się to poważnym problemem, ponieważ wrażliwe dane znajdują się teraz w środowiskach hybrydowych i chmurowych. Wraz z rosnącą popularnością cyberataków i włamań na architekturę lokalną coraz więcej firm przenosi się do chmury.
Dobrą wiadomością jest to, że Zero Trust szybko się z tym rozwija.
Związane z: Najczęstsze naruszenia bezpieczeństwa danych w chmurze w ostatnich latach
Ustanawiając architekturę Zero Trust w chmurze, firmy mogą chronić wrażliwe dane i zmniejszać narażenie na wrażliwe zasoby w swojej sieci.
Ponadto, w miarę jak kultura pracy zdalnej się nasila, a cyberprzestępcy opracowują nowe sposoby wykorzystania luk, firmy, które polegają na zakłóceniu infrastruktury lokalnej, ryzykują.
Nigdy nie ufaj; Zawsze weryfikuj
Na podstawie liczby naruszeń bezpieczeństwa danych, których celem są organizacje, widać wyraźnie, że staromodne podejście do bezpieczeństwa nie wystarczy. Chociaż wielu uważa, że Zero Trust jest drogi i czasochłonny, jest to fantastyczne antidotum na obecne problemy z bezpieczeństwem.
Model Zero Trust ma na celu usunięcie systemów opartych na zaufaniu tylko dlatego, że są zbyt często wykorzystywane w cyberatakach. Działa na zasadzie, że przed uzyskaniem dostępu do zasobów sieciowych należy zweryfikować wszystko i wszystko. Jest to godne zadanie dla firm, które chcą zmniejszyć ryzyko i poprawić swoją postawę bezpieczeństwa.
Tradycyjny model bezpieczeństwa okazał się nieskuteczny w przypadku oprogramowania ransomware. Dowiedz się, dlaczego zero zaufania jest najlepszym sposobem na pokonanie cyberataków.
Czytaj dalej
- Bezpieczeństwo
- Bezpieczeństwo w Internecie
- Bezpieczeństwo cybernetyczne
- Prywatność w Internecie
- Technologia biznesowa
Fawad jest inżynierem IT i komunikacji, aspirującym przedsiębiorcą i pisarzem. Na arenę content writing wszedł w 2017 roku i od tego czasu współpracował z dwiema agencjami marketingu cyfrowego oraz licznymi klientami B2B i B2C. Pisze o bezpieczeństwie i technologii w MUO, aby edukować, bawić i angażować publiczność.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować