Przewodnia zasada zerowego zaufania – „nigdy nie ufaj, zawsze weryfikuj” – stała się niezbędną praktyką w celu zabezpieczenia dzisiejszych złożonych i zróżnicowanych sieci chmurowych. Nie tak dawno temu można było zamknąć drzwi frontowe swojej firmy, mając pewność, że wszystkie cenne informacje były bezpieczne w tych ścianach. Potem przyszły laptopy, dyski i patyczki pamięci – i co tak często słyszałeś historię o tym, że ktoś gdzieś zostawia tajemnice państwowe w pociągu. Obecnie dane Twojej firmy są potencjalnie dostępne w dowolnym miejscu, w którym można nawiązać połączenie. A wraz z bezprecedensowym wzrostem liczby zdalnych i rozproszonych pracowników, że „wszędzie” może być dosłownie „w dowolnym miejscu na świecie”.

W dzisiejszych czasach najlepsze rozwiązania programowe działają w chmurze — nie mówiąc nic o milionach podłączonych urządzeń i zasobów w przemysłowych sieciach IoT na świecie. I chociaż aplikacje chmurowe nie są zazwyczaj mniej bezpieczne niż te instalowane lokalnie – wręcz przeciwnie – w dzisiejszym połączonym świecie pojawiają się nowe zagrożenia. Technologie cyfrowe i chmurowe poszerzyły to, co eksperci ds. bezpieczeństwa nazywają powierzchnią ataku każdej organizacji.

Tradycyjne protokoły cyberbezpieczeństwa były wzorowane na idei użytkowników przechodzących przez bezpieczeństwo przy wirtualnych drzwiach frontowych firmy, a następnie mając bieg miejsca, gdy weszli do środka. Innymi słowy, zostały one opracowane w świecie przedchmurowym. Teraz jednak dostępnych jest więcej punktów dostępu – potencjalnym portalem może być osobisty telefon pracownika lub drukarka IoT, a firmy musiały rozprawić się ze swoimi strategiami bezpieczeństwa. Z cyberatakami na rekordowym poziomie, bezpieczeństwo sieci powinno być w pozycji priorytetowej na górze listy zadań. Zerowe zaufanie do wdrożenia wymaga zaangażowania i współpracy w całej firmie.

Zero zaufania: definicja i strategia

John Kindervag pracował jako analityk w Forrester Research w 2010 roku – w czasie, gdy aplikacje w chmurze i urządzenia IoT zaczęły szybko rosnąć. Kindervag słusznie uznał ogromną wrażliwość i wartość danych i własności intelektualnej przechowywanych w systemach Forrester. W odpowiedzi na to rosnące ryzyko ukuł termin zero zaufania i prowadził rozwój wielu jego podstawowych zasad.

Zero zaufania można zdefiniować jako model bezpieczeństwa IT, który wymaga od każdego użytkownika i potencjalnie podłączonego urządzenia ścisłej weryfikacji ich tożsamości, niezależnie od tego, czy znajdują się w obrębie firmy, czy poza nią. Architektura zerowego zaufania (ZTA) opiera się na zestawie procesów i protokołów, a także na dedykowanych rozwiązaniach i narzędziach cyfrowych, aby osiągnąć sukces.

Zerowy dostęp do sieci zaufania (ZTNA) to zastosowanie architektury zerowej zaufania, którą firma Gartner definiuje jako tworzenie „opartej na tożsamości i kontekstu logicznej granicy dostępu wokół aplikacji lub zestawu aplikacji”. Powoduje to usunięcie tych aplikacji z widoku publicznego i umożliwia tylko tym użytkownikom, którzy zostali zweryfikowani i którzy przestrzegają wcześniej określonych zasad dostępu.

Ale w rzeczywistości zero zaufania zaczyna się jako transformacja kulturowa w Twojej organizacji. Mamy tendencję do myślenia o cyberbezpieczeństwie w kategoriach złych aktorów, którzy celowo starają się wyrządzić krzywdę, ale niestety często ignorancja, a nie złość, prowadzi do ryzyka i straty. W rzeczywistości w ostatnim raporcie odnotowano 48% wzrost liczby ataków e-mailowych w pierwszej połowie 2022 roku, w których pracownicy zostali zwabieni do oszustw lub ujawnili szczegóły w wyniku phishingu. Świadczy to o tym, dlaczego edukacja i kulturalna akceptacja są tak krytycznym elementem wdrażania zasady zerowego zaufania.

Dlaczego zasady zerowego zaufania są teraz tak potrzebne?

Nie ma wątpliwości, że cyberataki rosną. W 2022 r. przeprowadzono duże badanie, w którym wzięło udział 1200 dużych organizacji z 14 różnych sektorów i 16 krajów. Mimo priorytetowego traktowania cyberbezpieczeństwa wielu respondentów przyznało się do niedostatecznego bezpieczeństwa. W rzeczywistości wyniki badań wykazały alarmujący 20,5% wzrost liczby naruszeń materialnych w miesiącach od 2020 do 2021 roku.

Oto niektóre z innych wyzwań związanych z bezpieczeństwem, przed którymi stoją dzisiejsze firmy:

• Starsze zapory. Wiele firm jest nadmiernie uzależnionych od zapór sieciowych, które poprzedzają rozprzestrzenianie się łączności w chmurze. Sieci VPN stanowią realną pomoc w rozszerzaniu zapór sieciowych, ale nie są skutecznym rozwiązaniem długoterminowym ze względu na ograniczony zakres i tendencję do spowalniania wydajności aplikacji biznesowych, co z kolei wpływa na produktywność pracowników.
• Złożoność weryfikacji. Oprogramowanie agnostyczne urządzenia jest idealne dla użytkowników, ale dodaje złożoną warstwę do protokołów bezpieczeństwa. Nawet jeśli użytkownicy mają telefony firmowe i laptopy, są one tylko tak bezpieczne, jak protokoły weryfikacji i bezpieczeństwa, które mają je chronić.
• Urządzenia innych firm. Wraz z pandemią cała siła robocza została wysłana do pracy z domu – prawie z dnia na dzień. Wiele firm nie miało innego wyboru, jak tylko pozwolić pracownikom korzystać z własnych komputerów i urządzeń. W wielu przypadkach ustalono obejścia w zakresie bezpieczeństwa, aby utrzymać działalność biznesową i włączać światła. Jednak dla wielu firm muszą jeszcze rozwikłać te tymczasowe środki i wdrożyć bardziej kuloodporne środki o zerowym zaufaniu dla swoich pracowników zdalnych.
• Nieautoryzowane aplikacje. Korzystanie z aplikacji biznesowych SaaS jest na stałym wzroście. Niestety, wiele zespołów IT jest rozciągniętych, często powodując, że użytkownicy uciekają się do zakupu własnych aplikacji i korzystania z nich w ramach sieci firmowej, nie informując o tym swoich zespołów IT. Aplikacje te nie tylko nie podlegają ścisłym praktykom opartym na zasadzie zerowego zaufania, ale mogą również całkowicie omijać środki bezpieczeństwa.

• Łączność IoT. Przemysłowe urządzenie IoT może być tak proste jak wentylator lub spawarka. Ponieważ urządzenia te nie są uważane za „komputer” jakiegokolwiek rodzaju, użytkownicy mogą łatwo zapomnieć, że są potencjalnym punktem dostępu do sieci firmowej. Zerowa architektura zaufania wprowadza automatyzacje i procesy, które zapewniają bezpieczeństwo wszystkich punktów końcowych, maszyn i zasobów IoT.
• Portale wielokanałowe. Pracownicy nie są jedynymi w Twojej chmurze biznesowej. Coraz częściej widzimy połączone urządzenia, takie jak inteligentne półki w sklepach i aplikacje mobilne „w dowolnym miejscu”. Każdy z tych portali omnikanałowych reprezentuje ryzyko. Zero zaufania pomaga zabezpieczyć te ryzyka bez nadmiernych niedogodności lub opóźnień dla klientów.
• Wyzwania związane z bezpieczeństwem ERP. W minionych latach systemy ERP ograniczały się do określonych zadań planowania i finansów i miały ograniczony zbiór użytkowników w ramach firmy. Jednak dzisiejsze najlepsze systemy ERP w chmurze są oparte na sztucznej inteligencji, zaawansowanych analizach i wydajnych, skalowalnych bazach danych. Mają możliwość integracji z różnymi aplikacjami i systemami w całej firmie i są w coraz większym stopniu wykorzystywane do optymalizacji i usprawnienia każdego obszaru operacyjnego. Nowoczesne systemy ERP mają wbudowane zaawansowane systemy bezpieczeństwa, ale jak każdy system, mają luki w zabezpieczeniach, które tylko łączą się z szerszym zasięgiem i dostępnością. Zasady zerowego zaufania, gdy są stosowane do silnego bezpieczeństwa ERP w chmurze, pomagają chronić firmę na każdym etapie.

Jak działa zero zaufania?

Zerowe zaufanie łączy zestaw technologii i protokołów, takich jak uwierzytelnianie wieloskładnikowe, rozwiązania zabezpieczeń punktów końcowych i narzędzia oparte na chmurze, aby monitorować i weryfikować różne atrybuty i tożsamości — od użytkowników po punkty końcowe. Zero zaufania wymaga również szyfrowania danych, e-maili i obciążeń, aby zapewnić ich bezpieczeństwo. Zasadniczo protokoły zerowego zaufania:

• Kontroluj i ogranicz dostęp do sieci z dowolnego miejsca, za pośrednictwem dowolnego urządzenia lub zasobu
• Weryfikacja dowolnego użytkownika lub zasobu, który uzyskuje lub może uzyskać dostęp do dowolnego poziomu sieci
• Rejestrowanie i kontrola całego ruchu sieciowego w czasie rzeczywistym

Model zabezpieczeń o zerowym zaufaniu korzysta z polityki wymagającej wiedzy. Zasadniczo oznacza to, że użytkownicy mają dostęp tylko do danych i aplikacji, których potrzebują do wykonywania swoich zadań. I po raz kolejny technologia jest podwójnym mieczem w wyścigu o lepsze cyberbezpieczeństwo. Wraz z poprawą rozwiązań cyfrowych i łączności, tworzą one większą powierzchnię ataku, więc aby nadążyć, potrzebne są lepsze i szybsze technologie bezpieczeństwa. I nie tylko być na bieżąco, ale także powodować minimalne niedogodności i zakłócenia dla użytkownika. Wymaga to wysoce elastycznych i dynamicznych polityk bezpieczeństwa, wspieranych przez informacje kontekstowe i maksymalną ilość dostępnych punktów danych — i w czasie rzeczywistym. Kim jest ta osoba? Gdzie oni są? Do czego próbują uzyskać dostęp? Dlaczego potrzebują tego dostępu? Jakie urządzenie lub punkt końcowy przychodzą?

Korzyści z rozwiązań typu „zero zaufania”

Ich najpoważniejsze naruszenia danych mogą być katastrofalne. W grę wchodzą prywatne dane klientów, takie jak finanse, własność intelektualna i oczywiście dobra reputacja. Podobnie jak ubezpieczenia, inwestycje zabezpieczające mogą wydawać się dużym wydatkiem… dopóki ich nie potrzebujesz. A potem wyglądają jak mała cena do zapłaty, aby chronić swoją firmę.

Do wielu korzyści płynących z rozwiązań typu „zero zaufania” należą:

• Ochrona hybrydowych i zdalnych pracowników. Omówiliśmy, jak zdalni pracownicy i urządzenia osobiste podniosły poziom gry cyberbezpieczeństwa. Ale nie tylko Twoja firma jest zagrożona. Cyberprzestępcy mogą atakować Twoich pracowników osobiście, dlatego ważne jest, aby zapewnić wprowadzenie rygorystycznych środków w celu zmniejszenia ryzyka i Twojego.
• Wspieranie elastyczności i nowych modeli biznesowych. Aby konkurować i zarządzać zakłóceniami, firmy muszą być w stanie przestawiać i badać nowe modele biznesowe. Oznacza to wdrażanie nowych aplikacji, oprogramowania i połączonych zasobów. Zapewnienie bezpieczeństwa w tych okolicznościach jest trudnym zadaniem, jeśli jest obsługiwane ręcznie. Na szczęście najlepsze narzędzia programowe o zerowym zaufaniu mogą przyspieszyć działania dzięki inteligentnej automatyzacji i dostosowywalnym rozwiązaniom, które zapewniają podjęcie wszystkich kluczowych kroków.
• Zmniejszenie wydatków na zasoby IT. Zapytaj każdego specjalistę IT, ile czasu poświęcają na ręczne zadania związane z bezpieczeństwem – odpowiedź brzmi prawdopodobnie „za dużo”. Gdy firmy przenoszą swoje podstawowe systemy przedsiębiorstwa do chmury, poprawki i aktualizacje zabezpieczeń mogą być zautomatyzowane i wykonywane w tle. Dotyczy to również protokołów bezpieczeństwa o zerowym zaufaniu. Od użytkowników po punkty końcowe wiele podstawowych zadań szyfrowania i weryfikacji związanych z zerowym zaufaniem może być zautomatyzowanych i zaplanowanych.
• Zapewnienie dokładnej inwentaryzacji. Zasady zerowego zaufania wymagają od firmy dokładnego spisu wszystkich zasobów, użytkowników, urządzeń, aplikacji i połączonych zasobów. Dzięki odpowiednim rozwiązaniom aktualizacje zapasów można ustawić tak, aby były automatycznie aktualizowane, zapewniając dokładność w czasie rzeczywistym. W przypadku próby naruszenia jest to bezcenne narzędzie śledcze. Co więcej, firmy często wiążą się milionami aktywów wayward, więc dokładny stan zapasów jest również korzyścią finansową.
• Lepsze środowisko użytkownika. Tradycyjne procesy weryfikacji mogą być powolne i trudne w zarządzaniu. Doprowadziło to do tego, że użytkownicy próbowali obejść protokoły bezpieczeństwa, a nawet uniknąć korzystania z podstawowych narzędzi i aplikacji ze względu na ich trudności w użytkowaniu. Najlepsze rozwiązania oparte na zerowym zaufaniu są zbudowane tak, aby były nieuciążliwe i responsywne, zwalniając pracowników z kłopotów z wymyślaniem (a następnie zapominaniem) haseł oraz procesami weryfikacji typu „od spowolnienia do reakcji”.

Zerowe sprawdzone praktyki w zakresie zaufania: początek

Jest kilka zadań, które musisz podjąć po rozpoczęciu transformacji zerowego zaufania. Obejmuje to katalogowanie zasobów, definiowanie segmentów w organizacji i klasyfikowanie danych w celu płynniejszego przejścia.

Zero zaufania zaczyna się od zobowiązania, a następujące kroki mogą pomóc Ci uzyskać ciągłość:

• Delegat. Twój zespół IT jest już zbyt zajęty. Rozważ wprowadzenie lub wyznaczenie specjalisty ds. zarządzania zmianami w cyberbezpieczeństwie, który może pomóc w ograniczeniu ryzyka, wykryciu szans na poprawę i zbudowaniu wykonalnej mapy rozwoju.
• Komunikuj się. Przekonajmy się, że Twoi pracownicy nie będą od razu zachwyceni wiadomościami o bardziej rygorystycznych środkach bezpieczeństwa. Inwestując w większe bezpieczeństwo, powinieneś również inwestować w bardziej angażujące wiadomości i komunikację wokół tej transformacji. Istnieje wiele rzeczywistych przykładów zagrożeń związanych z cyberprzestępczością. Pomóż swoim zespołom zrozumieć, że to nie tylko C-suite zostaje dotknięty naruszeniem danych — kosztuje to pracę, wpływa na poszczególne osoby i zagraża przetrwaniu firmy.
• Audyt. Współpracując ze specjalistą ds. bezpieczeństwa, ustalamy listę kontrolną zagrożeń bezpieczeństwa i przeprowadzamy audyt każdego obszaru działalności. Rozbij silosy i nawiąż kontakt ze specjalistami ds. tematów w całym zespole. Wiedzą lepiej niż ktokolwiek inny, gdzie słabości i słabości znajdują się w ich obszarach — szczególnie w złożonych, globalnych operacjach, takich jak łańcuchy dostaw i logistyka.
• Ustal priorytet. Określ względne znaczenie i pilność wszystkich operacji biznesowych i zadań oraz przypisz rating. Ustal opartą na rolach ocenę tego, kto krytycznie potrzebuje dostępu do rzeczy, a kto mniej. Ta wstępna priorytetyzacja pomoże również przygotować Cię do mikrosegmentacji, która jest podstawowym składnikiem zerowego zaufania - zapobiegając ruchowi bocznemu i powiązanemu z nim narażeniu na naruszenia danych.

W dzisiejszym świecie eufemizmów i uważnego języka zerowe zaufanie może wydawać się Twoim pracownikom nieco cynicznym terminem. Więc wyjedź przed tym, gdy wprowadzisz zero zaufania do swoich zespołów. Powiedz im na wstępie, że w żaden sposób nie oznacza to, że im nie ufasz. To cyberprzestępcy, którym nikt nie powinien ufać – ponieważ mogą sprawiać, że rzeczy wydają się czymś, czym nie są. Mogą zakradać się przez najmniejsze szczeliny, a kiedy już są w środku, nie obchodzi ich, kto je uszkadza.