Нулевото доверие ( Zero Trust ) е златният стандарт за организациите за защита на системите от кибератаки, но има много често срещани капани при внедряването, които предприятията трябва да избягват.
Стратегиите с нулево доверие са такива, при които нищо и никой не може да използва цифровите ресурси на организацията, без да бъде проверен. Става въпрос не само за проверка при влизане в системата, но и когато лицата се движат в рамките на системата.
Такъв строг режим е необходим, защото киберпрестъпник или автоматичен агент (бот) може да пробие системата и да се движи свободно в нея, ако веднъж влязъл в нея, няма проверки за верификация. Следователно нулевото доверие се превърна в златен стандарт за киберсигурност в съвременния корпоративен пейзаж.
Прилагането на нулево доверие изисква цялостно проучване на цялата технологична база. Организацията трябва да идентифицира своите уязвимости – както технологични, така и човешки – и да разбере как най-добре да запълни дупките. Това трябва да се направи в контекста на минимално прекъсване на ежедневното работно натоварване и с разбирането, че нулевото доверие не е еднократно решение, а развиваща се идея.
Прилагането на такъв режим обаче не е лишено от потенциални капани и критични точки. Това е времеемък и сложен процес, който изисква принос от много служби в организацията, както и външна експертиза.
Когато хибридната работа стане норма, хората ще използват всякакви места за работа, включително домовете си и обществените мрежи. Всичко е част от повърхността на атаката и организацията не трябва да се доверява на нищо. Всяка крайна точка е потенциална уязвимост.
Това между другото включва и устройства, които могат да се намират извън мрежата, като принтери, камери за сигурност и други устройства от интернет на нещата (IoT).
Преди да започне работата, ще е необходим задълбочен одит на устройствата, като се разработи стратегия за защита на всяко устройство и се гарантира, че всяко устройство се актуализира толкова редовно, колкото е необходимо.
Прилагането на подхода за нулево доверие може да изисква значителни промени в технологиите, а също и в начина, по който хората извършват ежедневната си дейност. Действате ли твърде бързо и е лесно да се случат грешки. Отделни устройства или приложения могат да се изплъзнат от мрежата за осигуряване на съответствие по време на внедряването или по-късно. Хигиената на сигурността – гарантиране, че целият хардуер и софтуер е актуализиран и поправен – е централен аспект на нулевото доверие.
Гарантирането, че всяка част от хардуера и софтуера е известна и нейната сигурност може да бъде оптимизирана по всяко време, отнема време. Важно е да се отдели достатъчно време за управление на всичко от самото начало и да се разработят процеси за осигуряване на съответствие на съществуващите и новите придобивки занапред.
Най-малко привилегированият достъп се отнася до политиката за гарантиране, че потребителите имат само минималното ниво на разрешение, за да правят това, което трябва да правят. Той има за цел да поддържа достъпа до ресурсите строго контролиран и да предотвратява онзи вид разтеглив достъп през системите, който може да бъде най-полезен за лошите типове.
Тя обаче може да се окаже трудна за прилагане, особено в случай на многооблачни среди, в които данните и приложенията се хостват при различни доставчици, всеки от които има различни политики и протоколи за сигурност. В крайна сметка бюджетът, наличното време и самото работно натоварване могат да означават, че вътрешните екипи назначават по-широки привилегии, отколкото е необходимо.
С помощта на клас софтуер, наречен управление на права или управление на права за облачна инфраструктура, достъпът до множество софтуерни продукти, системи, устройства и облачни платформи може да се управлява централно.
Служителите на една организация не са единствените заинтересовани страни, с които тя ще трябва да работи. Възможно е да има и подизпълнители, доставчици, купувачи, партньори за доставка и други. Представянето на потребителите на нови протоколи, летви за прескачане и процеси – без да се разбере дали те се възприемат като пречки – може да предизвика недоволство и да насърчи стратегии за неспазване на изискванията. Потребителите, които заобикалят протоколите за сигурност, са потребители, които създават риск.
Висококачественото обучение на потребителите за това как да постигнат съответствие с протоколите за сигурност е само част от решението. Хората трябва също така да разбират защо се изисква определено поведение и да се чувстват комфортно с всички изисквани действия или подходи. Създаването на „култура на сигурност“ в цялата организация изисква време, усилия и лидерство – от главните служители, висшите мениджъри и преките ръководители.
Всяка организация е различна. Нейната технологична конфигурация ще бъде уникална. Начинът, по който хората използват технологиите, също ще се различава. Различно е и мястото, където хората работят, включително в офиса, дистанционно или хибридно, в един град, с национални офиси или многонационално. Променливите са много и сложни. Въпреки че определени принципи и подходи се прилагат за нулевото доверие, тяхното прилагане във всяка една организация ще бъде уникално. Просто да отидете при доставчик и да очаквате той да направи всичко без никакъв принос от ваша страна е погрешно.
Организациите трябва да отделят собствен ресурс от служители, които да работят заедно с доставчиците, и да разберат, че внедряването на нулевото доверие ще отнеме време. Това е и ще продължи да бъде продължителен процес.
Тъй като кибератаките не показват признаци на забавяне и организации от всякакъв мащаб и на всички пазари са потенциално уязвими, защитата на данните и мрежите е от първостепенно значение. Вече не е адекватно да се подхожда на парче към това предизвикателство. Подходът на нулево доверие може да помогне на организацията да приложи стратегия, основана на риска, към сигурността на данните. Той не е лишен от подводни камъни и организациите трябва да са наясно с тях и да са готови да отделят необходимото време и енергия, за да ги преодолеят.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.