Tradycyjnie cyberbezpieczeństwo było branżą zdominowaną przez bariery. Im lepsza była technologia oddzielania dobra od zła i budowania wszelkiego rodzaju drzwi, fos i murów, tym lepiej. W 120 roku firmy wydały ponad 2018 miliardów euro na zapobieganie atakom, ale naruszenia nadal występowały: szacunkowo 765 milionów ludzi zostało dotkniętych cyberatakami tylko w kwietniu, maju i czerwcu ubiegłego roku.
Firmy zaczynają zdawać sobie sprawę, że sama technologia nie eliminuje ryzyka ani nie zapewnia bezpieczeństwa informacji. Zaczynają dostrzegać, że tradycyjny model wyczerpującej oceny dziesiątek dostawców na przestrzeni miesięcy staje się syzyfowym zadaniem bez uprzedniego wdrożenia odpowiedniej strategii i najlepszych praktyk. Dla wielu oznacza to zero zaufania.
Zero Trust stało się modnym hasłem w ciągu ostatnich dwóch lat, ponieważ zyskało coraz większą popularność wśród organizacji społeczeństwa obywatelskiego i dostawców technologii. Podstawową filozofią Zero Trust jest „nigdy nie ufaj, zawsze sprawdzaj” i działa ona na zasadzie, że nie można oddzielić „dobrych” od „złych”. Tradycyjne podejście, które skupiało się na ustanowieniu solidnego obwodu w celu powstrzymania złoczyńców, już się nie sprawdza. Zasoby (dane, aplikacje, infrastruktura, urządzenia) są w coraz większym stopniu hybrydowe lub całkowicie poza tym obwodem. W przypadku Zero Trust zaufanie zostaje usunięte z równania, a nacisk położony jest na ciągłą weryfikację.
Ma trzech głównych najemców:
- Weryfikuj każdego użytkownika za każdym razem
- Zweryfikuj każde urządzenie
- Inteligentnie ograniczaj dostęp
Jest to holistyczne i strategiczne podejście do bezpieczeństwa, które zapewnia, że każda osoba i każde urządzenie upoważnione do dostępu do sieci, aplikacji lub usługi jest tym, za kogo się podaje.
Chmura wysadziła obwód
Zero Trust tak szybko zakorzeniło się w etosie bezpieczeństwa, częściowo dlatego, że obietnica bariery technologicznej jako ostatecznego rozwiązania w celu powstrzymania zagrożeń i ograniczenia ryzyka stała się niemożliwa w dobie chmury. W miarę jak firmy przenoszą coraz więcej infrastruktury i usług do chmury, wdrażają coraz więcej urządzeń mobilnych i wspierają wszelkiego rodzaju pracowników zdalnych, w rzeczywistości tworzą dziury (lub przynajmniej potencjalne dziury) we własnych zaporach ogniowych.
W zeszłym roku przemawiałem na konferencji Zero Trust Summit i obserwowałem, jak analityk firmy Forrester, dr Chase Cunningham, wielokrotnie powtarzał słuchaczom, że w dobie cyfrowej transformacji granice już nie istnieją. Stare podejście do bezpieczeństwa nie jest kompatybilne z wyrafinowaniem dzisiejszych zagrożeń.
„Ludzie powiedzą: «Robimy różne rzeczy». Pracujemy nad tym” – powiedział dr Cunningham. „No cóż, zgadnij, jaka była strategia Targetu przed naruszeniem? Chroń, wykrywaj, odstraszaj, reaguj. Zgadnij, jaka była strategia OMB przed naruszeniem? Chroń, wykrywaj, odstraszaj, reaguj. To nie jest strategia.
„Jeśli wstaniesz i powiesz: «Nasza strategia bezpieczeństwa polega na dążeniu do infrastruktury Zero Trust». „To wszystko” – kontynuował. "Sentencja. Każdy może za tym stać.
Wszystko zależy od kontekstu
W przypadku braku skutecznych granic największą bronią, jaką firmy dysponują przeciwko złośliwym podmiotom, jest informacja. U podstaw Zero Trust leży informacja: posiadanie wystarczającego kontekstu dotyczącego użytkowników, urządzeń i zachowania, aby definitywnie określić, czy ktoś jest tym, za kogo się podaje.
Jak wspomniał Cunningham, jest to niezbędne w dobie chmury i telefonów komórkowych. Dziesięć lat temu strategie bezpieczeństwa opierały się na jednym sygnale: czy żądanie pochodziło z wewnątrz, czy z zewnątrz zapory ogniowej? I zadziałało! Większość użytkowników łączy się z sieciami, aplikacjami i usługami z komputera stacjonarnego w pracy lub z laptopa w domu przez VPN.
Nie o to chodzi. Ludzie potrzebują dostępu ze swoich biurek, czekając w kolejce po kawę lub z wysokości 30 000 stóp w samolocie. Łączą się z komputerów stacjonarnych, laptopów, telefonów i tabletów. Zamiast pojedynczego sygnału, potrzeba setek, aby w końcu zdecydować, czy dać komuś dostęp. Zero Trust zapewnia, że kontekst jest dostarczany za każdym razem, z każdym użytkownikiem.
Czy ktoś ma prawidłowe dane uwierzytelniające, ale czy korzysta z zaufanego urządzenia? Mają poświadczenia i korzystają z zaufanego urządzenia, ale czy znajdują się w nietypowej lokalizacji lub logują się o nietypowej porze? Sygnały te są cennymi fragmentami kontekstu, które pomagają zapewnić bezpieczeństwo informacji w dzisiejszym środowisku. Podejście Zero Trust w połączeniu z odpowiednią technologią gwarantuje, że firmy będą w stanie odpowiedzieć na te pytania.
Według raportu firmy Verizon z 2018 r. dotyczącego naruszenia danych, ponad 81% naruszeń wynika ze słabych lub skradzionych haseł. Dzięki tym informacjom firmy nieodpowiedzialnie uważają się za chronione jedynie nazwami użytkowników i hasłami. Ponieważ tożsamość online staje się coraz bardziej złożona i coraz ważniejsza dla firm i konsumentów, podejście Zero Trust zostanie mocno zakorzenione w słowniku wszystkich organizacji społeczeństwa obywatelskiego.
Tak, to dziś modne słowo, ale jest to również kluczowa strategia cyberbezpieczeństwa w epoce chmury.
Corey Williams, wiceprezes ds. strategii w firmie Idaptive(Otwiera się w nowej karcie)