עקרון אפס האמון המנחה - "לעולם אל תבטח, תמיד תאמת" - הפך לנוהג חיוני להבטחת רשתות הענן המורכבות והמגוונות של היום. לא כל כך הרבה זמן, תוכלו לנעול את הדלת הקדמית של החברה שלכם, בטוחים שכל המידע יקר הערך שלכם היה מאובטח בתוך הקירות הללו. ואז לאורך הגיעו מחשבים ניידים ודיסקים ומקלות זיכרון - וכל פעם כל כך הרבה פעמים הייתם שומעים סיפור על מישהו שמשאיר סודות מדינה ברכבת איפשהו. היום, נתוני החברה שלך זמינים בפוטנציה בכל מקום שיש קישוריות. ועם העלייה חסרת התקדים בכוחות עבודה מרוחקים ומופצים, ש"בכל מקום" יכול להיות פשוטו כמשמעו "בכל מקום על הגלובוס".

בימים אלה, פתרונות התוכנה הטובים ביותר כולם פועלים בענן - כדי לא לומר דבר של מיליוני המכשירים והנכסים המחוברים ברשתות ה-IoT התעשייתיות בעולם. ואילו יישומי ענן הם בדרך כלל לא פחות מאובטחים מאשר מקומיים - די ההפך, למעשה - יש סיכונים חדשים בעולם המחובר של היום. טכנולוגיות דיגיטליות וענן הרחיבו את מה שמומחי אבטחה מכנים משטח ההתקפה של כל ארגון.

פרוטוקולי אבטחת סייבר מסורתיים עוצבו על הרעיון של משתמשים שעוברים אבטחה בדלת הקדמית הווירטואלית של החברה ולאחר מכן בעלי הפעלת המקום ברגע שהם נכנסו פנימה. במילים אחרות, הן פותחו בעולם קדם ענן. אבל עכשיו יש יותר נקודות גישה - טלפון אישי של עובד או מדפסת IoT יכול להיות פורטל פוטנציאלי - וחברות נאלצו להיסדק באסטרטגיות האבטחה שלהם. עם התקפות סייבר בשיא גבוה, אבטחת הרשת צריכה להיות במיקום בעדיפות עליונה ברשימת המשימות לביצוע שלך. יישום אפס אמון דורש מחויבות ושיתוף פעולה בכל העסק שלך.

אמון אפס: הגדרה ואסטרטגיה

ג'ון קינדרבג עבד כאנליסט ב-Forrester Research ב-2010 - בתקופה שבה יישומי ענן ומכשירי IoT החלו את עלייתם המהירה. קינדרבאג זיהה בצדק את הרגישות והערכים העצומים של הנתונים והקניין הרוחני המוחזקים בתוך המערכות של פורסטר. בתגובה לסיכון הולך וגדל זה, הוא טבע את המונח אפס אמון והוביל את התפתחותם של רבים מעקרונות הליבה שלו.

ניתן להגדיר אמון אפס כמודל אבטחת IT הדורש מכל משתמש ומכשיר פוטנציאלי להתחבר, כדי לאמת בקפדנות את הזהות שלו בין אם הוא בתוך או מחוץ לפרמטרים של החברה. ארכיטקטורת אפס אמון (ZTA) מסתמכת על קבוצה של תהליכים ופרוטוקולים וכן על פתרונות וכלים דיגיטליים ייעודיים להשגת הצלחה.

גישה לרשת אפס אמון (ZTNA) היא יישום של ארכיטקטורת אפס אמון אותה מגדיר גרטנר כיצירה של "גבול גישה לוגי ומבוסס זיהוי סביב יישום או סט יישומים". פעולה זו מסירה יישומים אלה מתצוגה ציבורית ומאפשרת רק את המשתמשים המאומתים והעומדים במדיניות הגישה שצוינה מראש.

אבל במציאות, אפס אמון מתחיל כטרנספורמציה תרבותית בתוך הארגון שלך. אנחנו נוטים לחשוב על אבטחת סייבר מבחינת שחקנים רעים ששואפים בכוונה לגרום נזק, אך לצערנו, לרוב מדובר בבורות ולא בזדון שמוביל לסיכון ולאובדן. למעשה, דו"ח עדכני מציג עלייה של 48% בתקיפות צה"ל במחצית הראשונה של 2022 בלבד, שבהן הולקו עובדים לסקטורים או לפרטים מנותקים כתוצאה מפילוג. זה ממחיש מדוע חינוך ורכישה תרבותית הם מרכיב כל כך קריטי ביישום אפס אמון.

למה אפס עקרונות אמון כל כך נחוצים כרגע?

יש לא מעט ספק שמתקפות סייבר נמצאות בעלייה. ב-2022 נערך סקר גדול שכלל 1,200 ארגונים גדולים על פני 14 מגזרים שונים ו-16 מדינות. למרות תיעדוף אבטחת סייבר, רבים מהנשאלים הודו שיש להם אבטחה לא מספקת. למעשה, הממצאים הראו עלייה מדאיגה של 20.5% במספר פרצות החומר בחודשים שבין 2020 ל-2021.

להלן כמה מהאתגרים הביטחוניים האחרים שהעסקים של היום מתמודדים איתם:

• חומות אש מדור קודם. חברות רבות נסמכות על חומות אש אשר מתארכות מראש את הפצת קישוריות הענן. VPNs הם כלי עזר שימושי להרחבת חומות האש, אך הם אינם פתרון יעיל לטווח ארוך בשל ההיקף המוגבל שלהם ונטייתם להאט את ביצועי האפליקציה העסקית, דבר המשפיע בתורו על פרודוקטיביות העובדים.
• מורכבות אימות. תוכנות אגנוסטיות התקן מצוין למשתמשים אך מוסיף שכבה מורכבת לפרוטוקולי אבטחה. גם כאשר למשתמשים יש טלפונים ומחשבים ניידים של החברה, הם בטוחים רק כמו פרוטוקולי האימות והאבטחה שנמצאים במקום להגן עליהם.
• התקנים של צד שלישי. עם המגפה נשלחו כוחות עבודה שלמים לעבודה מהבית - כמעט בן לילה. לחברות רבות לא הייתה ברירה אלא לתת לעובדים להשתמש במחשבים ובמכשירים משלהם. במקרים רבים הוקמו מעקפים ביטחוניים כדי לשמור על העסק פועל ועל האורות דלוקים. אך עבור חברות רבות הן טרם פירקו את האמצעים הזמניים הללו ויישמו יותר אמצעי אמון אפסיים בולטים עבור העובדים המרוחקים שלהן.
• יישומים לא מורשים. השימוש ביישומים עסקיים של SaaS נמצא במסלול יציב כלפי מעלה. לרוע המזל, צוותי IT רבים נמתחים דק, מה שגורם לרוב למשתמשים למצוא מקום מוצא לרכישת אפליקציות משלהם ולשימוש בהם בתוך רשת החברה, מבלי ליידע את צוותי ה-IT שלהם. לא רק האפליקציות הללו אינן כפופות למנהגי אפס אמון נוקשים, אלא הן אולי גם עקפו את אמצעי האבטחה לגמרי.

• קישוריות IoT. מכשיר IoT תעשייתי יכול להיות פשוט כמו מאוורר או מכונת ריתוך. מכיוון שהמכשירים הללו אינם נחשבים ל"מחשב" מכל סוג שהוא, משתמשים יכולים בקלות לשכוח שהם נקודת גישה פוטנציאלית לרשת החברה. ארכיטקטורת אפס אמון מציבה אוטומציות ותהליכים המבטיחים אבטחה עבור כל נקודות הקצה, המכונות ונכסי IoT.
• פורטלים בכל הערוצים. עובדים אינם היחידים בענן העסקי שלך. יותר ויותר, אנחנו רואים מכשירים מחוברים כמו מדפים חכמים בחנויות, ו"משלמים בכל מקום" אפליקציות סלולריות. כל פורטלים בכל הערוצים מייצגים סיכון. אפס אמון עוזר להבטיח את הסיכונים האלה ללא אי-נוחות או עיכוב בלתי צפויים ללקוחות שלך.
• אתגרי אבטחה של ERP. בשנים עברו, מערכות ERP היו מוגבלות למשימות תכנון וכספים מסוימות והיו להן סט מוגבל של משתמשים בתוך העסק. מערכות ה-ERP הטובות ביותר בענן כיום, לעומת זאת, מונעות על-ידי בינה מלאכותית, כלי ניתוח מתקדמים ובסיסי נתונים חזקים הניתנים להרחבה. יש להם את היכולת להשתלב עם יישומים ומערכות שונות ברחבי העסק והם ממונפים יותר ויותר כדי למטב ולייעל כל תחום תפעולי. למערכות ERP מודרניות יש מערכות אבטחה מתקדמות הבנויות בהן אך כמו בכל מערכת, יש להן פגיעות אשר מורכבות רק עם הגעה ונגישות רחבות יותר. עקרונות אפס אמון, כשהם חלים על אבטחת ERP חזקה בענן, מסייעים להגן על העסק שלכם בכל שלב.

איך אפס אמון עובד?

אפס אמון משלב סט של טכנולוגיות ופרוטוקולים כגון אימות רב-גורמי, פתרונות אבטחה של נקודות קצה וכלים מבוססי ענן כדי לנטר ולאמת מגוון תכונות וזהויות - ממשתמשים ועד נקודות קצה. אפס אמון דורש גם הצפנה של נתונים, הודעות דוא"ל ועומסי עבודה כדי להבטיח את האבטחה שלהם. בעיקרון, פרוטוקולים של אפס אמון:

• לשלוט ולהגביל גישה לרשת מכל אדם, מכל מקום, דרך כל מכשיר או נכס
• אמת כל משתמש או נכס שעושה או יכול לקבל גישה לכל רמה ברשת
• הקלט ובדוק את כל תנועת הרשת בזמן אמת

מודל אפס של אבטחת אמון משתמש במדיניות 'צריך לדעת'. בעיקרו של דבר, המשמעות היא שלמשתמשים יש גישה לנתונים וליישומים שהם צריכים לבצע את העבודות שלהם בלבד. ופעם נוספת, הטכנולוגיה היא החרב הכפולה במרוץ לאבטחת סייבר טובה יותר. כשפתרונות דיגיטליים וקישוריות משתפרים, הם יוצרים משטח התקפה גדול יותר, ולכן נדרשות טכנולוגיות אבטחה טובות ומהירות יותר כדי לעמוד בקצב. ולא רק להקפיד אלא גם לגרום לאי נוחות והפרעה מינימליים למשתמש. זה דורש מדיניות אבטחה גמישה ודינמית מאוד, הנתמכת על-ידי מידע הקשרי והכמות המקסימלית של נקודות נתונים זמינות - ובזמן אמת. מי האדם הזה? איפה הם? למה הם מנסים לגשת? למה הם צריכים את הגישה הזו? באיזה מכשיר או נקודת קצה הם נכנסים?

יתרונות של פתרונות אפס אמון

אצל החמורים ביותר שלהם, פרצות נתונים יכולות להיות קטסטרופליות. הנתונים הפרטיים של הלקוחות שלך נמצאים על כף המאזניים כמו הכספים שלך, הקניין הרוחני שלך וכמובן המוניטין הטוב שלך. כמו ביטוח, השקעות בטחוניות יכולות להיראות כהוצאה גדולה… עד שתזדקקו להן. ואז הם נראים כמו מחיר קטן לשלם כדי להגן על העסק שלכם.

חלק מהיתרונות הרבים של אפס פתרונות אמון כוללים:

• הגנה על כוחות עבודה היברידיים ומרוחקים. דנו כיצד עובדים מרחוק ומכשירים אישיים העמידו את משחק אבטחת הסייבר. אבל זה לא רק החברה שלך שנמצאת בסיכון. סייברפושעים יכולים לכוון את העובדים שלכם באופן אישי, כך שחשוב להבטיח שהצעדים הנוקשים נמצאים במקום כדי להפחית את הסיכון שלהם ושלכם.
• תמיכה בזריזות ובמודלים עסקיים חדשים. כדי להתחרות ולנהל שיבושים, עסקים חייבים להיות מסוגלים לצייד ולחקור מודלים עסקיים חדשים. המשמעות היא שילוב יישומים, תוכנה ונכסים מחוברים חדשים. הבטחת אבטחה בנסיבות אלה היא משימה מטלטלת אם מטופלת ידנית. למרבה המזל, כלי תוכנת האפס אמון הטובים ביותר יכולים להאיץ דברים עם אוטומציה חכמה ופתרונות ניתנים להתאמה אישית שמבטיחים שכל השלבים החיוניים יינקטו.
• הפחתת הוצאות משאבי IT. שאלו כל איש IT מקצועי כמה זמן הם מקדישים למשימות אבטחה ידניות - התשובה היא כנראה "יותר מדי". כשעסקים מעבירים את מערכות הליבה הארגוניות שלהם לענן, ניתן לבצע אוטומציה של תיקוני אבטחה ועדכונים ברקע. זה חל גם על אפס פרוטוקולי אבטחה של אמון. ממשתמשים לנקודות קצה, רבות ממשימות ההצפנה והאימות המרכזיות הקשורות באפס אמון ניתנות לאוטומציה ולתזמון.
• אספקת מלאי מדויק. עקרונות אפס אמון מחייבים את החברה לשמור על מלאי מדויק של כל הנכסים, המשתמשים, המכשירים, היישומים והמשאבים המחוברים. באמצעות הפתרונות הנכונים, ניתן להגדיר עדכוני מלאי לעדכון אוטומטי, מה שמבטיח דיוק בזמן אמת. במקרה של ניסיון הפרה, זהו כלי חקירה חסר ערך. יתר על כן, לחברות יש לעתים קרובות מיליונים הקשורים בנכסי דרכים כך שמלאי מדויק הוא גם הטבה פיננסית.
• אספקת חוויית משתמש טובה יותר. תהליכי אימות מסורתיים יכולים להיות איטיים וקשים לניהול. דבר זה הוביל לכך שמשתמשים ניסו לעקוף פרוטוקולי אבטחה, או אפילו להימנע משימוש בכלים ויישומים חיוניים בשל היותם קשים לשימוש. פתרונות אפס האמון הטובים ביותר בנויים להיות בלתי פולשניים ומגיבים, המקלים על העובדים מההיחלצות של המצאת סיסמאות (ואז שוכחים), ומאיטים את תהליכי האימות של התגובה.

תהליכים מייעלי עבודה באפס אמון: תחילת העבודה

ישנן מספר משימות שתצטרך לבצע ברגע שהטרנספורמציה באפס האמון שלך תתחיל. זה כולל חלוקה לקטגוריות של הנכסים שלך, הגדרת מקטעים בארגון וסיווג הנתונים שלך למעבר חלק יותר.

אפס אמון מתחיל בהתחייבות והשלבים הבאים יכולים לעזור לכם להתגלגל:

• האצלה. צוות ה-IT שלך כבר עסוק מדי. שקלו להביא או למנות איש מקצוע ייעודי לניהול שינויי סייבר שיכול לעזור לכם לצמצם סיכונים, לאתר הזדמנויות לשיפור ולבנות מפת דרכים בת עבודה.
• תקשורת בוא ניתקל בזה, העובדים שלכם לא הולכים מיד להיות נרגשים מחדשות על אמצעי אבטחה מחמירים יותר. ככל שמשקיעים בביטחון טוב יותר, כדאי להשקיע גם בהעברת מסרים ותקשורת מרתקת יותר סביב טרנספורמציה זו. יש המון דוגמאות בעולם האמיתי לסכנות של פשע סייבר. עזרו לצוותים שלכם להבין שזו לא רק חבילת C שנפגעת מהפרת נתונים - היא עולה משרות, משפיעה על יחידים ומאיימת על הישרדות החברה.
• ביקורת. עבודה עם מומחה אבטחה, הקמת רשימת תיוג לסיכוני אבטחה וביקורת כל תחום בעסק. פרק מכלים והתחבר למומחי נושא בכל הצוות שלך. הם יודעים טוב יותר מכל מי שבו החולשות והפגיעות הן בתחומן - במיוחד בפעולות מורכבות, גלובליות כמו שרשראות אספקה ולוגיסטיקה.
• תעדף. קבע את החשיבות והדחיפות היחסית של כל המשימות והפעולות העסקיות שלך והקצה דירוג. קבע הערכה מבוססת תפקידים של מי צריך גישה באופן קריטי לדברים ומי פחות מכך. תעדוף ראשוני זה יסייע גם להכין אתכם לפילוח מיקרו שהוא מרכיב מהותי באפס אמון - מניעת תנועה רוחבי וחשיפתו הצמודה להפרות נתונים.

בעולם של היום של איזונים ושפה זהירה, אפס אמון אולי נראה לעובדיך כמו מונח ציני במקצת. כך או כך, צאו מול זה כשאתם מציגים אפס אמון בפני הצוותים שלכם. תגיד להם במחוץ שזה בשום אופן לא אומר שאתם לא סומכים עליהם. מדובר בפושעי הסייבר שאף אחד לא צריך לסמוך עליהם - כי הם יכולים לגרום לדברים להיראות כמשהו שהם לא. הם יכולים להתגנב פנימה דרך הפערים הטינוניים וברגע שהם בפנים, לא אכפת להם מי הם פוגעים.