Řídící princip nulové důvěry – „nikdy nedůvěřovat, vždy ověřovat“ – se stal nezbytnou praxí pro zabezpečení dnešních komplexních a různorodých cloudových sítí. Není to tak dávno, co jste mohli zamknout přední dveře vaší společnosti, s jistotou, že všechny vaše cenné informace byly zabezpečeny uvnitř těchto stěn. Pak přišly notebooky a disky a paměťové hole – a vždy tak často jste slyšeli příběh o tom, že někdo někde opouští státní tajemství ve vlaku. Dnes jsou data vaší společnosti dostupná potenciálně kdekoli tam, kde je připojení. A s nebývalým nárůstem vzdálených a distribuovaných pracovních sil, že „kdekoliv“ může být doslova „kdekoliv na zeměkouli“.

V dnešní době běží v cloudu nejlepší softwarová řešení – nemluvě o milionech připojených zařízení a aktiv ve světových průmyslových sítích IoT. A zatímco cloudové aplikace nejsou obvykle méně bezpečné než aplikace on-premise – ve skutečnosti naopak – v dnešním propojeném světě existují nová rizika. Digitální a cloudové technologie rozšířily to, co bezpečnostní experti nazývají útočnou plochou každé organizace.

Tradiční protokoly kybernetické bezpečnosti byly modelovány na myšlence, že uživatelé procházejí bezpečností u virtuálních vchodových dveří společnosti a poté mají běh místa, jakmile se dostali dovnitř. Jinými slovy, byly vyvinuty v předcloudovém světě. Nyní však existuje více přístupových bodů – osobní telefon zaměstnance nebo tiskárna IoT by mohly být potenciálním portálem – a společnosti musely strhnout své bezpečnostní strategie. S kybernetickými útoky na rekordně vysoké úrovni by měla být síťová bezpečnost v prioritní pozici na vrcholu vašeho seznamu úkolů. Nulová implementace důvěry vyžaduje odhodlání a spolupráci napříč celým podnikem.

Nulový vztah důvěry: definice a strategie

John Kindervag pracoval jako analytik ve společnosti Forrester Research v roce 2010 – v době, kdy cloudové aplikace a IoT zařízení začínaly rychle růst. Kindervag správně rozpoznal obrovskou citlivost a hodnotu dat a duševního vlastnictví držených v systémech společnosti Forrester. V reakci na toto rostoucí riziko zavedl termín nulová důvěra a vedl rozvoj mnoha jeho základních principů.

Nulový vztah důvěry může být definován jako model zabezpečení IT, který vyžaduje, aby každý uživatel a potenciálně připojené zařízení striktně ověřovali jejich identitu, zda jsou uvnitř nebo vně perimetrů společnosti. Nulová architektura důvěry (ZTA) se spoléhá na soubor procesů a protokolů, jakož i na specializovaná digitální řešení a nástroje k dosažení úspěchu.

Zero Trust Network Access (ZTNA) je aplikace architektury nulového vztahu důvěry, kterou Gartner definuje jako vytvoření „logického přístupu založeného na identitě a kontextu kolem aplikace nebo sady aplikací“. Tím se tyto aplikace odeberou z veřejného zobrazení a povolí pouze ty uživatele, kteří jsou ověřeni a kteří dodržují předem specifikované zásady přístupu.

Ale ve skutečnosti nulová důvěra začíná jako kulturní transformace uvnitř vaší organizace. Máme tendenci myslet na kybernetickou bezpečnost z hlediska špatných aktérů, kteří se snaží úmyslně způsobit újmu, ale bohužel je to často spíše neznalost než zlovolnost, která vede k riziku a ztrátě. Nedávná zpráva ve skutečnosti ukazuje 48% nárůst e-mailových útoků jen v první polovině roku 2022, kdy byli zaměstnanci v důsledku phishingu nalákáni do podvodů nebo vyzradili detaily. To dokládá, proč je vzdělávání a kulturní buy-in tak kritickou složkou zavádění nulové důvěry.

Proč jsou zásady nulové důvěry právě teď tak nezbytné?

Není pochyb o tom, že kyberútoky jsou na vzestupu. V roce 2022 byl proveden velký průzkum zahrnující 1200 velkých organizací ve 14 různých sektorech a 16 zemích. Navzdory upřednostňování kybernetické bezpečnosti řada respondentů přiznala, že mají nedostatečnou bezpečnost. Ve skutečnosti zjištění ukázala alarmující nárůst počtu závažných porušení v letech 2020 až 2021 o 20,5 %.

Níže jsou uvedeny některé z dalších bezpečnostních problémů, kterým dnešní podniky čelí:

• Starší brány firewall. Mnoho společností se příliš spoléhá na firewally, které předcházely šíření cloudového připojení. VPN jsou životaschopnou pomůckou pro rozšíření firewallu, ale nejsou efektivním dlouhodobým řešením vzhledem k jejich omezenému rozsahu a tendenci zpomalovat výkon podnikových aplikací, což zase ovlivňuje produktivitu zaměstnanců.
• Složitost ověřování. Agnostický software zařízení je skvělý pro uživatele, ale přidává komplexní vrstvu do bezpečnostních protokolů. I když uživatelé mají firemní telefony a notebooky, jsou jen tak bezpečné jako ověřovací a bezpečnostní protokoly, které jsou zavedeny, aby je chránili.
• Zařízení třetích stran. S pandemií byly celé pracovní síly poslány do práce z domova – téměř přes noc. Mnohým firmám nezbývalo, než nechat zaměstnance používat vlastní počítače a zařízení. V mnoha případech byla zavedena bezpečnostní řešení, která udržují chod podniku a zapnutá světla. Pro mnoho společností však tato dočasná opatření musí ještě rozplést a zavést pro své pracovníky na dálku neprůstřelnější opatření nulové důvěry.
• Neautorizované aplikace. Používání podnikových aplikací SaaS je na stabilní vzestupné trajektorii. Mnoho IT týmů je bohužel napjatých, což často způsobuje, že se uživatelé uchylují k nákupu vlastních aplikací a jejich používání v rámci firemní sítě, aniž by o tom informovali své IT týmy. Nejenže tyto aplikace nepodléhají přísným praktikám nulové důvěry, ale mohou také zcela obejít bezpečnostní opatření.

• IoT konektivita. Průmyslové IoT zařízení může být stejně jednoduché jako ventilátor nebo svařovací stroj. Protože tato zařízení nejsou považována za „počítač“ jakéhokoli druhu, uživatelé mohou snadno zapomenout, že jsou potenciálním přístupovým bodem do firemní sítě. Nulová architektura důvěry zavádí automatizace a procesy, které zajišťují zabezpečení pro všechny koncové body, stroje a aktiva IoT.
• Portály ve všech kanálech. Zaměstnanci nejsou jediní ve vašem podnikovém cloudu. Stále častěji vidíme propojená zařízení, jako jsou chytré regály v obchodech a mobilní aplikace „plaťte kdekoli“. Jakýkoli z těchto vícekanálových portálů představuje riziko. Nulová důvěra pomáhá zajistit tato rizika bez zbytečných nepříjemností nebo prodlev pro vaše zákazníky.
• Výzvy v oblasti zabezpečení ERP. V minulých letech byly ERP systémy omezeny na určité plánovací a finanční úkoly a měly omezený počet uživatelů v rámci podniku. Dnešní nejlepší cloudové ERP systémy jsou však řízeny umělou inteligencí, pokročilými analytickými nástroji a výkonnými, škálovatelnými databázemi. Mají schopnost integrovat se s rozdílnými aplikacemi a systémy v celém podniku a jsou stále více využívány k optimalizaci a zefektivnění každé provozní oblasti. Moderní ERP systémy mají zabudované pokročilé zabezpečovací systémy, ale stejně jako každý systém, mají zranitelná místa, která se spojují pouze s širším dosahem a přístupností. Nulové principy důvěry, pokud jsou aplikovány na silné zabezpečení cloudového ERP, pomáhají chránit váš podnik v každé fázi.

Jak funguje nulová důvěra?

Nulová důvěra kombinuje sadu technologií a protokolů, jako je vícefaktorová autentizace, řešení zabezpečení koncových bodů a cloudové nástroje pro monitorování a ověřování různých atributů a identit – od uživatelů až po koncové body. Nulová důvěra také vyžaduje šifrování dat, e-mailů a pracovních zatížení, aby byla zajištěna jejich bezpečnost. V podstatě nulové důvěryhodné protokoly:

• Ovládejte a omezujte přístup k síti od kohokoliv, kdekoliv, přes jakékoli zařízení nebo zařízení
• Ověřte všechny uživatele nebo prostředky, které získají nebo by mohly získat přístup k libovolné úrovni sítě
• Záznam a kontrola veškerého síťového provozu v reálném čase

Model zabezpečení nulového vztahu důvěry používá zásadu, kterou je třeba znát. V podstatě to znamená, že uživatelé mají přístup pouze k datům a aplikacím, které potřebují k provedení své práce. A opět, technologie je dvojsečný meč v závodě o lepší kybernetickou bezpečnost. Jak se digitální řešení a konektivita zlepšují, vytvářejí větší útočnou plochu, takže jsou zapotřebí lepší a rychlejší bezpečnostní technologie, aby udržely krok. A nejen udržet krok, ale také způsobit minimální nepříjemnosti a narušení pro uživatele. To vyžaduje vysoce agilní a dynamické bezpečnostní zásady podporované kontextovými informacemi a maximálním počtem dostupných datových bodů – a to v reálném čase. Kdo je tato osoba? Kde jsou? K čemu se snaží dostat? Proč tento přístup potřebují? Které zařízení nebo koncový bod přicházejí na trh?

Výhody řešení s nulovou důvěrou

V jejich nejzávažnějších případech může být narušení dat katastrofální. Soukromá data vašich zákazníků jsou v sázce stejně jako vaše finance, vaše duševní vlastnictví a samozřejmě vaše dobrá pověst. Stejně jako pojištění se bezpečnostní investice mohou zdát jako velké výdaje… dokud je nepotřebujete. A pak vypadají jako malá cena, kterou zaplatíte, aby ochránili váš podnik.

Některé z mnoha výhod řešení s nulovou důvěrou zahrnují:

• Ochrana hybridních a vzdálených pracovních sil. Diskutovali jsme o tom, jak vzdálení pracovníci a osobní zařízení vylepšili hru kybernetické bezpečnosti. Ale není to jen vaše společnost, která je ohrožena. Kyberkriminalisté mohou cílit na vaše zaměstnance osobně, takže je důležité zajistit, aby byla zavedena přísná opatření ke snížení jejich rizika a vašeho rizika.
• Podpora agility a nových obchodních modelů. Aby mohly podniky konkurovat a řídit narušení provozu, musí být schopné otáčet a zkoumat nové obchodní modely. To znamená zavedení nových aplikací, softwaru a připojených aktiv. Zajištění bezpečnosti za těchto okolností je skličující úkol, pokud se s ním zachází ručně. Nejlepší softwarové nástroje s nulovou důvěrou mohou naštěstí věci urychlit pomocí inteligentní automatizace a přizpůsobitelných řešení, která zajistí, že budou podniknuty všechny zásadní kroky.
• Snížení výdajů na IT zdroje. Zeptejte se každého IT profesionála, kolik času věnují manuálním bezpečnostním úkolům – odpověď je pravděpodobně „příliš velká“. Vzhledem k tomu, že podniky přesouvají své základní podnikové systémy do cloudu, mohou být opravy a aktualizace zabezpečení automatizovány a prováděny na pozadí. To platí i pro bezpečnostní protokoly s nulovou důvěrou. Od uživatelů po koncové body lze automatizovat a naplánovat mnoho úloh základního šifrování a ověření spojených s nulovým důvěrem.
• Poskytování přesných zásob. Nulové principy důvěry vyžadují, aby společnost udržovala přesný inventář všech aktiv, uživatelů, zařízení, aplikací a připojených zdrojů. Se správnými řešeními lze nastavit aktualizace zásob tak, aby se automaticky aktualizovaly, což zajišťuje přesnost v reálném čase. V případě pokusu o porušení se jedná o neocenitelný vyšetřovací nástroj. Kromě toho mají společnosti často miliony vázaných aktiv, takže přesný inventář je také finančním přínosem.
• Poskytování lepších uživatelských zkušeností. Tradiční ověřovací procesy by mohly být pomalé a obtížně zvládnutelné. To vedlo k tomu, že se uživatelé buď snažili obejít bezpečnostní protokoly, nebo se dokonce vyhnout používání základních nástrojů a aplikací kvůli tomu, že jsou těžko použitelní. Nejlepší řešení nulové důvěry jsou vytvořena tak, aby byla nevtíravá a reagující, což zaměstnance zbavuje potíží s vynálezem (a pak zapomínáním) hesel a zpomaluje procesy ověřování.

Osvědčené postupy nulové důvěry: Začínáme

Existuje několik úkolů, které budete muset provést, jakmile bude vaše nulová transformace důvěry zahájena. To zahrnuje katalogizaci aktiv, definování segmentů ve vaší organizaci a klasifikaci dat pro hladší přechod.

Nulová důvěra začíná závazkem a následující kroky vám mohou pomoci s válcováním:

• Zastupující. Váš IT tým je již příliš zaneprázdněn. Zvažte zavedení nebo jmenování specializovaného odborníka na řízení kybernetických změn, který vám pomůže zmírnit rizika, odhalit příležitosti ke zlepšení a vytvořit proveditelný plán.
• Komunikace Čelme tomu, vaši zaměstnanci nebudou okamžitě nadšeni zprávami o přísnějších bezpečnostních opatřeních. Když investujete do lepšího zabezpečení, měli byste také investovat do poutavějšího zasílání zpráv a komunikace kolem této transformace. Existuje spousta reálných příkladů nebezpečí kyberkriminality. Pomozte svým týmům pochopit, že to není jen sada C, která je zasažena porušením zabezpečení dat – stojí práci, ovlivňuje jednotlivce a ohrožuje přežití společnosti.
• Audit. Práce s bezpečnostním specialistou, vytvoření kontrolního seznamu bezpečnostních rizik a audit každé oblasti podnikání. Rozbijte sila a spojte se se specialisty na předměty ve vašem týmu. Vědí lépe než kdokoli jiný, kde jsou slabé stránky a slabá místa ve svých oblastech – zejména v komplexních globálních operacích, jako jsou dodavatelské řetězce a logistika.
• Stanovte prioritu. Určete relativní důležitost a naléhavost všech vašich obchodních operací a úloh a přiřaďte hodnocení. Určete hodnocení založené na rolích, kdo kriticky potřebuje přístup k věcem a kdo méně. Tato prvotní prioritizace vám také pomůže připravit vás na mikrosegmentaci, která je základní složkou nulové důvěry – zabraňuje laterálnímu pohybu a jejímu kontaktu s narušením dat.

V dnešním světě eufemismů a pečlivého jazyka se Vašim zaměstnancům může nulová důvěra zdát jako poněkud cynický termín. Takže se před tím vydejte, když svým týmům představíte nulovou důvěru. Řekněte jim hned na začátku, že to v žádném případě neznamená, že jim nedůvěřujete. Je to kyberkriminalisté, kterým by nikdo neměl důvěřovat – protože mohou způsobit, že věci vypadají jako něco, co nejsou. Mohou se prodírat nejmenšími mezerami a jakmile jsou uvnitř, je jim jedno, koho poškodí.