امنیت سایبری چگونه ما را شکست داده است و چرا به چارچوب دیگری برای پیروی نیاز داریم؟

این مقاله با عنوان Journey to Zero Trust – چگونه امنیت سایبری ما را شکست داده است، و چرا به چارچوب دیگری برای پیروی نیاز داریم؟

امنیت سایبری از ابتد‌ایش از دیدگاه شبکه به ارث رسیده بود، بنابراین همیشه تحت یک خندق قفل و کلید در اطراف ذهنیت قلعه طراحی می‌شد. تمرکز آن بر این بود که دفاع‌ های محیطی برای اطمینان از اینکه «بازیگران مخرب» خارجی توسط آن‌ها دور نگه داشته می‌شوند، قرار داده شده بود. یا در بدترین حالت، همه این دفاع ها در کنار هم حداقل امنیت را از طریق مبهم ایجاد می کنند یا هدف را برای حریف کمتر جذاب می کنند، به عنوان مثال، ذهنیت گله = “توهم” که سازمان مجبور نیست سریع ترین باشد.

اما در بازه زمانی 2010، زمانی که آن بازیگران بارها و بارها پیچیده‌تر شدند، به جای هذیان‌های ساده یا شیطنت‌های ساده، به استخراج «گنجینه‌های ارزشمند» از داده‌ها/اطلاعات بیشتر می‌پرداختند، و اکنون تحت حمایت دولت قرار می‌گرفتند، این تغییر آغاز شد.

“دولت ملت” حمایت می شود. با اتکای مستمر به نرم ‌افزار/سخت‌افزار خارجی یا صرفاً زنجیره تامین توسعه/اکتساب، به طور فزاینده‌ای قابل توجه بود که دفاع ‌های پیرامونی در برابر دشمنان تحت فشار، که اغلب از سیستم‌های آسیب‌ دیده از آن مجموعه ‌های دارایی موقت استفاده می‌کردند، کار نمی‌کردند، بنابراین ظاهراً یک درب پشتی در اطراف داشتند. این دفاع ها و بدتر از آن، به نظر می رسد که سیستم ها / کاربران و ترافیک معتبر هستند!

Zero Trust چیست:

Zero Trust مجموعه ای از مفاهیم و ایده ها را ارائه می دهد که برای به حداقل رساندن عدم اطمینان در اجرای تصمیمات دسترسی هر درخواست دقیق و با حداقل امتیاز در سیستم های اطلاعاتی و خدمات در مواجهه با شبکه ای که به عنوان در معرض خطر تلقی می شود طراحی شده است.

Zero Trust Architecture (ZTA) طرح امنیت سایبری یک شرکت است که از مفاهیم اعتماد صفر استفاده می کند و شامل روابط اجزا، برنامه ریزی گردش کار و سیاست های دسترسی است. بنابراین، یک شرکت با اعتماد صفر، زیرساخت شبکه (فیزیکی و مجازی) و سیاست های عملیاتی است که برای یک شرکت به عنوان محصول یک طرح ZTA وجود دارد.

چه مواردی Zero Trust نیست:

1 –  Zero Trustرا می تواند برای هر زیرساخت و یا نرم افزاربه دست آورد

صفر اعتماد ارائه یک تغییر از یک مدل مکان محور به رویکرد داده محور برای کنترل های امنیتی-ریز بین کاربران، سیستم، داده ها و دارایی هایی که در طول زمان تغییر می کنند. به این دلایل، انتقال به ZTA غیر ضروری است.

این امر دید مورد نیاز برای حمایت از توسعه، اجرا، و تکامل سیاست های امنیتی را فراهم می کند. اساساً، Zero Trust ممکن است نیاز به تغییر در فلسفه و فرهنگ سازمان در مورد امنیت سایبری داشته باشد. “مسیر صفر اعتماد سفری است که اجرای آن سال ها طول می کشد.”

2 –Zero Trust  فقط کمترین امتیاز را به روز رسانی کرد

اگرچه Zero Trust مطمئناً به اجرای دقیق (ظرف، سرویس، برنامه) حداقل امتیاز نیاز دارد، اما برای این کار کاملاً ناکافی است. به انعطاف پذیری در برابر حملات زنجیره تامین و باج افزار که مطابق وعده Zero Trust است، پی ببرید.

Zero Trust همچنین به موارد زیر نیاز دارد:

•     کمترین عملکرد

•     اجرای مستمر – زمان واقعی و درون خطی

•     تأیید مستمر ادعاهای امنیتی متعارف (احراز هویت، یکپارچگی، …)

3 –Zero Trust  می تواند با پیاده سازی در پلتفرم نهایی، حجم کاری یا دروازه به تنهایی تحقق یابد،

و مجریان در ادغام قابلیت های امنیت سایبری متفاوت اما مرتبط در یک موتور منسجم برای تصمیم گیری امنیت سایبری. با این حال، برای اینکه اصول Zero Trust کاملاً مؤثر باشد، باید در بیشتر جنبه‌های شبکه و اکوسیستم عملیاتی آن نفوذ کند تا ریسک را به حداقل برساند و پاسخ‌های قوی و به موقع را ممکن کند.

«معمار از درون به بیرون – ابتدا روی حفاظت از DAAS حیاتی تمرکز کنید. دوم، همه مسیرها را برای دسترسی به آنها ایمن کنید.»

“تعیین کنید چه کسی/چه کسی برای ایجاد سیاست های کنترل دسترسی نیاز به دسترسی به داده ها، دارایی ها، برنامه ها و خدمات دارد – خط مشی های امنیتی ایجاد کنید و آنها را به طور مداوم در تمام محیط ها (LAN، WAN، نقطه پایانی، محیطی، موبایل و غیره) اعمال کنید.”

4 – اینکه الزامات دستور اجرایی 14028 اجرای فوری Zero Trust را الزامی می کند الزامات فعلی نشان دادن پیشرفت در طول سفر پیچیده و مخرب به سمت Zero Trust است.

انتقال به معماری Zero Trust برای شرکتی به پیچیدگی و تنوع  فناوری مانند دولت فدرال کار سریع یا آسانی نخواهد بود. اما همانطور که پرزیدنت بایدن در EO 14028 بیان کرد، «بهبودهای تدریجی امنیت لازم را به ما نخواهد داد. در عوض، دولت فدرال برای دفاع از نهادهای حیاتی که زیربنای سبک زندگی آمریکایی هستند، باید تغییرات جسورانه و سرمایه گذاری های قابل توجهی انجام دهد.

نمونه‌هایی از اقدامات کوتاه‌مدت مورد نیاز آژانس‌ها در حرکت به سمت اعتماد صفر:

•     همه کاربران مجاز و دسترسی مورد نظر آنها را شناسایی کنید.

•     شبکه‌ها را در اطراف برنامه‌ها تقسیم کنید (نه مجموعه‌ای از برنامه‌ها، نه مناطق وضعیت امنیتی).

•     رسیدن به سطح بلوغ 1 (IL1) الزامات ثبت نام (M 21-31)

•     اجرای برنامه های تست امنیت برنامه های کاربردی اختصاصی.

•     ایجاد نظارت فراگیر موجودی همه دارایی ها، از جمله تمام دارایی های ابر و اینترنت اشیا.

•     تا جایی که ممکن است از استفاده از عوامل نرم افزاری ممتاز خودداری کنید.

توجه: همه اینها پیش نیازهای تدوین سیاست های Zero Trust و اجرای Zero Trust هستند

منبع: www.vmware.com