„Zero Trust“ saugumo modelis nėra naujas. Tai buvo nuo tada, kai Johnas Kindervagas iš Forrester Research 2010 m. parašė savo straipsnį „No More Chewy Centers: Introducing the Zero Trust Model of Information Security“.

Nulinio pasitikėjimo metodas yra orientuotas į įsitikinimą, kad jokiu vartotoju ar programa neturėtų būti savaime pasitikima, net ir tais, kurie jau yra tinklo perimetro viduje.

Šią idėją jau imasi didelės įmonės ir organizacijos, tokios kaip „Google“, „Coca-Cola“ ir NSA, siekdamos kovoti su augančia kibernetinių atakų grėsme. Tačiau vis dar esama kliūčių, trukdančių ją plačiai taikyti.

Mitai apie nulinį pasitikėjimo saugumą

Didėjant organizacijų susidomėjimui Zero-Trust modelio metodu, kai kurie klaidingi supratimai apie pagrindinius sistemos principus trukdė priimti. Štai keletas mitų, kuriais neturėtumėte tikėti.

Pirmas mitas: nulis pasitikėjimo sukuria nepasitikėjimo kultūrą

Įprasta klaidinga nuomonė apie „Zero Trust“ yra ta, kad ji skatina nepasitikėti savo darbuotojais. Nors „Zero Trust“ sistema reikalauja, kad įmonės atidžiai patikrintų vartotojus, pasiekiančius savo tinklo išteklius, tai neturėtų būti klaidingai interpretuojama kaip kažkas asmeninio.

instagram viewer

Faktas yra tas, kad pasitikėjimas yra pažeidžiamumas, dėl kurio jūsų organizacijai gali kilti atakos rizika. Kibernetiniai nusikaltėliai specialiai išnaudoja pasitikėjimą tikslinėms įmonėms, o „Zero Trust“ siūlo būdą tai sumažinti. Tai prilygsta įvedimui rakto kortele, užuot leidus visiems patekti į pastatą.

Autorius naudojant mažiausios privilegijos principą (POLP), organizacijos gali suasmeninti savo slenksčio politiką, kad naudotojams būtų suteikta prieiga tik prie tų išteklių, kurių jiems reikia, atsižvelgiant į jų įgytą pasitikėjimą.

Antras mitas: Nulinis pasitikėjimas yra produktas

„Zero Trust“ yra strategija ar sistema, o ne produktas. Jis sukurtas remiantis idėja niekada nepasitikėti ir visada tikrinti.

Įvairūs pardavėjų siūlomi produktai gali padėti pasiekti Zero Trust; tačiau tai nėra Zero Trust produktai. Tai tik produktai, kurie gerai veikia Zero Trust aplinkoje. Taigi, jei pardavėjas prašo nusipirkti jo „Zero Trust“ produktą, tai rodo, kad jis nesupranta pagrindinės koncepcijos.

Susijęs: Kas yra nulinio pasitikėjimo tinklas ir kaip jis apsaugo jūsų duomenis?

Tinkamai integruoti su Zero Trust architektūra, įvairūs produktai gali veiksmingai sumažinti atakos paviršių ir sumažinti sprogimo spindulį pažeidimo atveju. Visiškai įdiegtas Zero Trust sprendimas su nuolatiniu tikrinimu gali visiškai pašalinti atakos paviršių.

Trečias mitas: yra tik vienas būdas įgyvendinti nulinį pasitikėjimą

„Zero Trust“ yra saugumo principų rinkinys, apimantis nuolatinį patikrinimą, mažiausių privilegijų principą ir atakos paviršiaus mažinimą.

Bėgant metams atsirado du būdai, kaip pradėti naudoti „Zero Trust“ modelį. Pirmasis metodas prasideda nuo tapatybės ir apima kelių veiksnių autentifikavimą, kuris duoda greitus rezultatus.

Susijęs: Kas yra dviejų veiksnių autentifikavimas? Štai kodėl turėtumėte jį naudoti

Antrasis metodas yra orientuotas į tinklą ir prasideda tinklo segmentavimu. Koncepcija apima tinklo segmentų kūrimą, kad būtų galima valdyti srautą tuose segmentuose ir tarp jų. Tada tinklo administratoriai gali išlaikyti atskirą leidimą kiekvienam segmentui, taip apribodami šoninių grėsmių plitimą sistemoje.

Ketvirtas mitas: Nulinis pasitikėjimas tarnauja tik didelėms įmonėms

„Google“ buvo viena pirmųjų įmonių, įdiegusių „Zero Trust“ architektūrą, reaguodama į operaciją „Aurora“ 2009 m. Tai buvo atakų serija, nukreipta prieš dideles įmones, tokias kaip Google, Yahoo, Morgan Stanley ir Adobe Systems.

Kai „Google“ iš karto po išpuolių priėmė „Zero Trust“ modelį, daugelis įmonių manė (ir vis dar mano), kad jis taikomas tik didelėms organizacijoms. Ši mintis būtų teisinga tik tuo atveju, jei kibernetinės atakos apsiribotų didelėmis įmonėmis, o taip nėra. Realybėje apie 46 procentai duomenų pažeidimų 2021 m. buvo skirtos mažoms įmonėms.

Nors žiniasklaida dažniausiai nušviečia duomenų pažeidimus, turinčius įtakos didelėms įmonėms, neabejotina, kad mažoms įmonėms taip pat reikia apsaugos nuo kibernetinių atakų.

Geros naujienos yra tai, kad mažoms organizacijoms nereikia laužyti pinigų, kad įgyvendintų „Zero Trust“ modelį. Kadangi tai nėra produktas, įmonės gali jį pristatyti palaipsniui, skirdamos kuklias metines investicijas į Zero Trust architektūrą.

Penktas mitas: nulis pasitikėjimo trukdo vartotojo patirčiai

Viena iš „Zero Trust“ diegimo kliūčių yra suvokiamas poveikis vartotojo patirčiai. Suprantama manyti, kad nuolat tikrinant vartotojų tapatybę nukentėtų vartotojų produktyvumas ir judrumas. Tačiau tinkamai įdiegus, „Zero Trust“ gali suteikti patogią patirtį.

Organizacijos gali įvertinti vartotojų profilius ir derinti rizika pagrįstą autentifikavimą su mašininiu mokymusi, kad nustatytų riziką ir priimtų greitus prieigos sprendimus. Jei rizika yra didelė, sistema gali reikalauti papildomo autentifikavimo veiksmo arba visiškai užblokuoti prieigą, kad apsaugotų savo išteklius. Priešingai, jis gali pašalinti autentifikavimo iššūkius, jei rizika yra maža.

Nulinio pasitikėjimo metodas taip pat sumažina administracinio reikalo sudėtingumą. Rangovai ir darbuotojai nebebus atsakingi už saugumą, jei jie nustos bendradarbiauti su jumis. Taikant efektyvų „Zero Trust“ modelį, sistema nedelsdama nutrauks jų prieigą prie pagrindinio turto, pašalindama užpakalines duris.

Šeštas mitas: Nulinis pasitikėjimas apsiriboja tiesiogine aplinka

Daugelis įmonių „Zero Trust“ vis dar vertina kaip modelį, kurį galima valdyti tik vietoje. Tai tampa pagrindine problema, nes jautrūs duomenys dabar yra hibridinėje ir debesų aplinkoje. Daugėjant kibernetinių atakų ir įsilaužimų, turinčių įtakos vietinei architektūrai, vis daugiau įmonių pereina prie debesies.

Geros naujienos yra tai, kad „Zero Trust“ greitai juda.

Susijęs: Populiariausi debesų saugos duomenų pažeidimai pastaraisiais metais

Debesyje sukurdamos „Zero Trust“ architektūrą, įmonės gali apsaugoti neskelbtinus duomenis ir sumažinti pažeidžiamo turto poveikį savo tinkle.

Be to, stiprėjant nuotolinio darbo kultūrai, o kibernetiniams nusikaltėliams kuriant naujus būdus, kaip išnaudoti pažeidžiamumą, įmonės, kurios remiasi vietine infrastruktūra, rizikuoja sutrikdyti.

Niekada nepasitikėk; Visada Tikrinkite

Atsižvelgiant į duomenų pažeidimų, nukreiptų į organizacijas, skaičių, akivaizdu, kad senosios mokyklos požiūrio į saugumą nepakanka. Nors daugelis mano, kad Zero Trust yra brangus ir atimantis daug laiko, tai yra puikus priešnuodis dabartinėms saugumo problemoms.

„Zero Trust“ modeliu siekiama pašalinti pasitikėjimu pagrįstas sistemas vien dėl to, kad jis per dažnai išnaudojamas kibernetinėse atakose. Jis veikia pagal principą, kad visi ir viskas turi būti patikrinti prieš gaunant prieigą prie tinklo išteklių. Tai vertas užsiėmimas įmonėms, norinčioms sumažinti riziką ir pagerinti savo saugumą.

Kaip „Zero-Trust Security“ gali užkirsti kelią „ransomware“ atakoms?

Įrodyta, kad tradicinis saugumo modelis neveiksmingas kovojant su išpirkos reikalaujančiomis programomis. Sužinokite, kodėl nulinis pasitikėjimas yra geriausias būdas nugalėti kibernetines atakas.

Skaitykite toliau

DalintisTviteryjeEl. paštas
Susijusios temos
  • Saugumas
  • Interneto sauga
  • Kibernetinė sauga
  • Privatumas internete
  • Verslo technologija
Apie autorių
Fawadas Ali (Paskelbta 25 straipsniai)

Fawad yra IT ir komunikacijos inžinierius, trokštantis verslininkas ir rašytojas. Į turinio rašymo areną jis įžengė 2017 m. ir nuo to laiko dirbo su dviem skaitmeninės rinkodaros agentūromis bei daugybe B2B ir B2C klientų. Jis rašo apie saugumą ir technologijas MUO, siekdamas šviesti, linksminti ir įtraukti auditoriją.

Daugiau iš Fawad Ali

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia