Zero Trust stymulatorem rynku
Brak zaufania wobec użytkowników infrastruktury IT staje się kluczową i docelową strategią zapewniającą ochronę przed wyciekami danych, do których może dochodzić w wyniku zewnętrznych ataków oraz incydentów wewnątrz firm.
MFA ma stać się w najbliższej przyszłości normą, a nie wyjątkiem.
Od 2020 r., gdy globalna pandemia sprawiła, że pracownicy zostali wysłani do pracy zdalnej, a transformacja cyfrowa przyspieszyła (co w dużej mierze polegało na wzroście wykorzystania chmury), specjaliści ds. bezpieczeństwa zostali zmuszeni do przemyślenia wdrożenia strategii Zero Trust. Wymaga ona weryfikacji i ochrony tożsamości każdego obiektu korzystającego z cyfrowych zasobów (użytkownika, sprzętu, oprogramowania), potwierdzania właściwego stanu zabezpieczeń urządzeń i aplikacji, egzekwowania zasady najmniejszych z możliwych uprawnień dostępu, a także zbierania i analizowania telemetrii w celu lepszego zabezpieczenia środowiska IT. Zgodnie z tym założeniem każde żądanie dostępu jest dokładnie weryfikowane.
Wobec stale ewoluującego i rosnącego zagrożenia model Zero Trust wprowadza kompleksowe, a jednocześnie dynamiczne podejście do ochrony, integrujące zaawansowane technologie, ścisłą kontrolę dostępu oraz ciągłą edukację użytkowników. Oznacza to bardziej proaktywną postawę wobec cyberzagrożeń, co ma na celu ochronę danych, reputacji, no i – rzecz jasna – pieniędzy.
Analitycy Gartnera prognozują, że do 2025 r. ponad 60 proc. przedsiębiorstw zrezygnuje z sieci VPN na rzecz dostępu opartego na Zero Trust, a więc wprowadzającego zasadę „nigdy nie ufać, zawsze weryfikować”. Trend ten wynika z coraz większej świadomości, że w obliczu zaawansowanych cyberzagrożeń modele bezpieczeństwa bazujące na ochronie brzegu sieci nie są już wystarczające.
Kluczowym elementem architektury Zero Trust jednak zawsze pozostanie człowiek, dlatego firmy będą więcej inwestować w edukację pracowników w zakresie najlepszych praktyk cyberbezpieczeństwa. Regularne programy szkoleń oraz budowania świadomości będą odgrywać niezwykle istotną rolę w zapobieganiu atakom socjotechnicznym i zapewnianiu, że pracownicy rozumieją swoją rolę w utrzymaniu kultury bezpieczeństwa. Cybersecurity Ventures prognozuje, że globalne wydatki na szkolenia pracowników w tym zakresie wzrosną w ciągu najbliższych trzech lat do 10 mld dol. (1 mld dol. w 2014 r.).
Brak standardów i instrukcji wdrażania
Gdyby ktoś zapytał, czy istnieją certyfikaty i standardy Zero Trust, odpowiedź byłaby krótka: nie istnieją. Nie znaczy to jednak, że poruszać się trzeba po omacku. Na szczęście są wytyczne tworzone chociażby przez National Institute of Standards and Technology (NIST), organizację powstałą w 1901 r., która obecnie stanowi część Departamentu Handlu Stanów Zjednoczonych.
NIST tworzy standardy dla komunikacji, technologii i praktyk związanych z cyberbezpieczeństwem. I choć jeszcze nie przygotował standardów ani certyfikacji dla Zero Trust, to opracował tzw. publikację specjalną (Special Publication), która omawia cele tej architektury. Abstrakt dokumentu opisuje podejście w następujący sposób: „Zero Trust to termin określający ewoluujący zestaw paradygmatów z zakresu cyberbezpieczeństwa, które przenoszą obronę ze statycznych, opartych na sieci obwodów na użytkowników, sprzęt i zasoby”.
Wobec tak zasadniczej zmiany paradygmatów praktycznie wszystkie implementacje Zero Trust będą procesem. W początkowej fazie firmy będą starać się utrzymywać pewną równowagę między podejściem polegającym na braku zaufania, a bezpieczeństwem skupionym na brzegu sieci, stopniowo wdrażając zmiany. Dlatego wprowadzenie kompletnej architektury Zero Trust i osiągnięcie celu mogą trwać lata, obejmując szereg cząstkowych projektów. Co więcej, tego celu nie będzie można nigdy nazwać ostatecznym, bo będzie on zakładał nieustanne wdrażanie i egzekwowanie kolejnych elementów strategii Zero Trust, uwzględniających przyszłe zmiany w biznesie i infrastrukturze.
- Kompleksowa weryfikacja – decyzje dotyczące bezpieczeństwa powinny być podejmowane z wykorzystaniem wszystkich dostępnych źródeł informacji, w tym tożsamości, lokalizacji, stanu urządzenia, zasobów, klasyfikacji danych i anomalii.
- Najmniejsze z koniecznych uprawnienia dostępu – dostęp jest przydzielany tylko wtedy, gdy jest konieczny (JIT – just-in-time), i jedynie na tyle, na ile jest potrzebny (JEA – just-enough-access), przy zastosowaniu reguł polityki bezpieczeństwa dostosowanych do poziomu ryzyka.
- Wzmacnianie obrony przed atakiem – minimalizacja obszaru ataku dzięki mikrosegmentacji, szyfrowaniu end-to-end, ciągłemu monitorowaniu oraz zautomatyzowanemu wykrywaniu zagrożenia i reagowaniu na nie.
Podobne artykuły
Dostęp do sieci: kto skorzysta na AI?
O tym, że GenAI to miecz obosieczny, przekonani są nie tylko analitycy, ale też użytkownicy rozwiązań technicznych.
Dane torują drogę do innowacji
W lutowej edycji konferencji Technology Live! wzięli udział czterej dostawcy: Keepit, Hammerspace, Nimbus Data oraz Own Company. Przedstawili kilka interesujących nowinek związanych z ochroną oraz przetwarzaniem danych.
G DATA: szkolenia zamiast krytyki
Faktem jest, że użytkownicy stanowią najsłabsze ogniwo w systemie bezpieczeństwa IT, ale na ich usprawiedliwienie przemawia to, iż bardzo rzadko są szkoleni pod tym kątem we właściwy sposób. Wyzwanie polegające na zmianie tej sytuacji podjęła G DATA.