Модель безопасности Zero Trust не нова. Это произошло с тех пор, как Джон Киндерваг из Forrester Research написал свою статью «Больше никаких жевательных центров: введение в модель информационной безопасности с нулевым доверием» в 2010 году.
Подход Zero Trust основан на вере в то, что ни одному пользователю или приложению нельзя доверять по своей сути, даже тем, которые уже находятся внутри периметра сети.
Эта идея уже используется крупными компаниями и организациями, такими как Google, Coca-Cola и АНБ, для борьбы с растущей угрозой кибератак. Тем не менее, все еще есть препятствия, препятствующие его массовому внедрению.
Мифы о безопасности с нулевым доверием
По мере роста интереса организаций к подходу модели Zero-Trust некоторые неправильные представления об основных принципах структуры встали на пути принятия. Вот несколько мифов, в которые не стоит верить.
Миф первый: отсутствие доверия создает культуру недоверия
Распространенное заблуждение о нулевом доверии состоит в том, что оно продвигает идею недоверия к своим сотрудникам. Хотя концепция Zero Trust требует от компаний тщательной проверки пользователей, обращающихся к их сетевым ресурсам, ее не следует ошибочно интерпретировать как что-то личное.
Дело в том, что доверие представляет собой уязвимость, которая может поставить вашу организацию под угрозу атаки. Киберпреступники специально используют доверие для целевых компаний, и Zero Trust предлагает способ смягчить это. Это эквивалентно входу с ключ-картой вместо того, чтобы позволить всем войти в здание.
От используя принцип наименьших привилегий (POLP) организации могут персонализировать свои пороговые политики, чтобы пользователям предоставлялся доступ только к тем ресурсам, которые им нужны, на основе заработанного ими доверия.
Миф второй: нулевое доверие — это продукт
Zero Trust — это стратегия или структура, а не продукт. Он построен на идее никогда не доверять и всегда проверять.
Различные продукты, предлагаемые поставщиками, могут помочь достичь нулевого доверия; однако они не являются продуктами Zero Trust. Это просто продукты, которые хорошо работают в среде Zero Trust. Таким образом, если поставщик просит вас купить его продукт Zero Trust, это свидетельствует о том, что он не понимает лежащей в его основе концепции.
Связанный: Что такое сеть с нулевым доверием и как она защищает ваши данные?
При правильной интеграции с архитектурой Zero Trust различные продукты могут эффективно свести к минимуму поверхность атаки и ограничить радиус взрыва в случае взлома. После полного внедрения решение Zero Trust с непрерывной проверкой может полностью устранить поверхность атаки.
Миф третий: есть только один способ добиться нулевого доверия
Нулевое доверие — это набор принципов безопасности, который включает в себя постоянную проверку, доступ по принципу наименьших привилегий и смягчение поверхности атаки.
За прошедшие годы появилось два подхода к началу работы с моделью нулевого доверия. Первый подход начинается с идентификации и включает многофакторную аутентификацию, которая дает быстрые результаты.
Связанный: Что такое двухфакторная аутентификация? Вот почему вы должны использовать это
Второй подход является сетецентричным и начинается с сегментации сети. Концепция включает создание сетевых сегментов для управления трафиком внутри и между этими сегментами. Затем сетевые администраторы могут поддерживать отдельную авторизацию для каждого сегмента, тем самым ограничивая распространение побочных угроз в системе.
Миф четвертый: нулевое доверие служит только крупным предприятиям
Google была одной из первых компаний, развернувших архитектуру Zero Trust в ответ на операцию «Аврора» в 2009 году. Это была серия атак, направленных на крупные предприятия, такие как Google, Yahoo, Morgan Stanley и Adobe Systems.
Когда Google принял модель «Нулевого доверия» сразу после атак, многие компании думали (и до сих пор думают), что она применима только к крупным организациям. Это представление было бы верным только в том случае, если бы кибератаки ограничивались крупными предприятиями, что не так. В реальности о 46 процентов утечек данных в 2021 году были направлены на малый бизнес.
В то время как средства массовой информации, как правило, освещают утечки данных, затрагивающие крупные предприятия, нет никаких сомнений в том, что малые предприятия также нуждаются в защите от кибератак.
Хорошая новость заключается в том, что небольшим организациям не нужно грабить банк, чтобы внедрить модель Zero Trust. Поскольку это не продукт, предприятия могут внедрять его постепенно, выделяя скромные ежегодные инвестиции в архитектуру Zero Trust.
Миф пятый: отсутствие доверия мешает работе пользователей
Одним из препятствий для внедрения Zero Trust является предполагаемое влияние на пользовательский опыт. Понятно предположить, что производительность и гибкость пользователей будут страдать при постоянной проверке личности пользователей. Однако при правильном внедрении Zero Trust может обеспечить удобство для пользователя.
Организации могут оценивать профили пользователей и сочетать аутентификацию на основе рисков с машинным обучением, чтобы выявлять риски и быстро принимать решения о доступе. Если риск высок, системе может потребоваться дополнительный этап аутентификации или полная блокировка доступа для защиты своих ресурсов. Наоборот, это может устранить проблемы с аутентификацией, если риск невелик.
Подход с нулевым доверием также снижает сложность административной стороны. Подрядчики и сотрудники больше не будут нести ответственность за обеспечение в случае, если они перестанут вести с вами дела. В рамках эффективной модели Zero Trust система немедленно прекратит их доступ к ключевым активам, устраняя лазейки.
Миф шестой: Zero Trust ограничивается локальной средой
Многие компании по-прежнему рассматривают Zero Trust как модель, которой можно управлять только локально. Это становится серьезной проблемой, поскольку конфиденциальные данные теперь находятся в гибридных и облачных средах. С ростом кибератак и взломов, влияющих на локальную архитектуру, все больше и больше компаний переходят в облако.
Хорошей новостью является то, что Zero Trust быстро продвигается вперед.
Связанный: Крупнейшие утечки данных облачной безопасности за последние годы
Создавая архитектуру Zero Trust в облаке, компании могут защитить конфиденциальные данные и уменьшить уязвимость уязвимых активов в своей сети.
Кроме того, поскольку культура удаленной работы усиливается, а киберпреступники разрабатывают новые способы использования уязвимостей, предприятия, которые полагаются на локальную инфраструктуру, рискуют нарушить работу.
Никогда не доверяй; Всегда проверяйте
Судя по количеству утечек данных в организациях, становится очевидным, что устаревшего подхода к безопасности недостаточно. Хотя многие считают, что Zero Trust — это дорого и требует много времени, это фантастическое противоядие от современных проблем безопасности.
Модель Zero Trust направлена на устранение систем, основанных на доверии, просто потому, что они слишком часто используются в кибератаках. Он работает по принципу, что все и вся должны быть проверены перед получением доступа к сетевым ресурсам. Это достойная цель для компаний, стремящихся снизить риски и повысить уровень безопасности.
Традиционная модель безопасности оказалась неэффективной против программ-вымогателей. Узнайте, почему нулевое доверие — лучший способ противостоять кибератакам.
Читать далее
- Безопасность
- Интернет-безопасность
- Информационная безопасность
- Конфиденциальность в Интернете
- Бизнес-технологии
Фавад — инженер по информационным технологиям и коммуникациям, начинающий предприниматель и писатель. Он вышел на арену написания контента в 2017 году и с тех пор работал с двумя агентствами цифрового маркетинга и многочисленными клиентами B2B и B2C. Он пишет о безопасности и технологиях в MUO, чтобы обучать, развлекать и вовлекать аудиторию.
Подписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!
Нажмите здесь, чтобы подписаться
