Od 2020 r., gdy globalna pandemia sprawiła, że pracownicy zostali wysłani do pracy zdalnej, a transformacja cyfrowa przyspieszyła (co w dużej mierze polegało na wzroście wykorzystania chmury), specjaliści ds. bezpieczeństwa zostali zmuszeni do przemyślenia wdrożenia strategii Zero Trust. Wymaga ona weryfikacji i ochrony tożsamości każdego obiektu korzystającego z cyfrowych zasobów (użytkownika, sprzętu, oprogramowania), potwierdzania właściwego stanu zabezpieczeń urządzeń i aplikacji, egzekwowania zasady najmniejszych z możliwych uprawnień dostępu, a także zbierania i analizowania telemetrii w celu lepszego zabezpieczenia środowiska IT. Zgodnie z tym założeniem każde żądanie dostępu jest dokładnie weryfikowane.

Wobec stale ewoluującego i rosnącego zagrożenia model Zero Trust wprowadza kompleksowe, a jednocześnie dynamiczne podejście do ochrony, integrujące zaawansowane technologie, ścisłą kontrolę dostępu oraz ciągłą edukację użytkowników. Oznacza to bardziej proaktywną postawę wobec cyberzagrożeń, co ma na celu ochronę danych, reputacji, no i – rzecz jasna – pieniędzy.

Analitycy Gartnera prognozują, że do 2025 r. ponad 60 proc. przedsiębiorstw zrezygnuje z sieci VPN na rzecz dostępu opartego na Zero Trust, a więc wprowadzającego zasadę „nigdy nie ufać, zawsze weryfikować”. Trend ten wynika z coraz większej świadomości, że w obliczu zaawansowanych cyberzagrożeń modele bezpieczeństwa bazujące na ochronie brzegu sieci nie są już wystarczające.

Kluczowym elementem architektury Zero Trust jednak zawsze pozostanie człowiek, dlatego firmy będą więcej inwestować w edukację pracowników w zakresie najlepszych praktyk cyberbezpieczeństwa. Regularne programy szkoleń oraz budowania świadomości będą odgrywać niezwykle istotną rolę w zapobieganiu atakom socjotechnicznym i zapewnianiu, że pracownicy rozumieją swoją rolę w utrzymaniu kultury bezpieczeństwa. Cybersecurity Ventures prognozuje, że globalne wydatki na szkolenia pracowników w tym zakresie wzrosną w ciągu najbliższych trzech lat do 10 mld dol. (1 mld dol. w 2014 r.).

Brak standardów i instrukcji wdrażania

Gdyby ktoś zapytał, czy istnieją certyfikaty i standardy Zero Trust, odpowiedź byłaby krótka: nie istnieją. Nie znaczy to jednak, że poruszać się trzeba po omacku. Na szczęście są wytyczne tworzone chociażby przez National Institute of Standards and Technology (NIST), organizację powstałą w 1901 r., która obecnie stanowi część Departamentu Handlu Stanów Zjednoczonych.

NIST tworzy standardy dla komunikacji, technologii i praktyk związanych z cyberbezpieczeństwem. I choć jeszcze nie przygotował standardów ani certyfikacji dla Zero Trust, to opracował tzw. publikację specjalną (Special Publication), która omawia cele tej architektury. Abstrakt dokumentu opisuje podejście w następujący sposób: „Zero Trust to termin określający ewoluujący zestaw paradygmatów z zakresu cyberbezpieczeństwa, które przenoszą obronę ze statycznych, opartych na sieci obwodów na użytkowników, sprzęt i zasoby”.

Wobec tak zasadniczej zmiany paradygmatów praktycznie wszystkie implementacje Zero Trust będą procesem. W początkowej fazie firmy będą starać się utrzymywać pewną równowagę między podejściem polegającym na braku zaufania, a bezpieczeństwem skupionym na brzegu sieci, stopniowo wdrażając zmiany. Dlatego wprowadzenie kompletnej architektury Zero Trust i osiągnięcie celu mogą trwać lata, obejmując szereg cząstkowych projektów. Co więcej, tego celu nie będzie można nigdy nazwać ostatecznym, bo będzie on zakładał nieustanne wdrażanie i egzekwowanie kolejnych elementów strategii Zero Trust, uwzględniających przyszłe zmiany w biznesie i infrastrukturze.

Trzy podstawowe zasady Zero Trust  
  • Kompleksowa weryfikacja – decyzje dotyczące bezpieczeństwa powinny być podejmowane z wykorzystaniem wszystkich dostępnych źródeł informacji, w tym tożsamości, lokalizacji, stanu urządzenia, zasobów, klasyfikacji danych i anomalii.
  • Najmniejsze z koniecznych uprawnienia dostępu – dostęp jest przydzielany tylko wtedy, gdy jest konieczny (JIT – just-in-time), i jedynie na tyle, na ile jest potrzebny (JEA – just-enough-access), przy zastosowaniu reguł polityki bezpieczeństwa dostosowanych do poziomu ryzyka.
  • Wzmacnianie obrony przed atakiem – minimalizacja obszaru ataku dzięki mikrosegmentacji, szyfrowaniu end-to-end, ciągłemu monitorowaniu oraz zautomatyzowanemu wykrywaniu zagrożenia i reagowaniu na nie.