نموذج الثقة صفر يكتسب قوة مع خبراء الأمن

"لا تثق أبدًا ؛ تحقق دائمًا." يبدو وكأنه الحس السليم ، أليس كذلك؟ هذا هو الشعار الكامن وراء استراتيجية تدعى Zero Trust ، والتي تكتسب قوة في عالم الأمن السيبراني. يتضمن قسم تكنولوجيا المعلومات التحقق من جميع المستخدمين قبل منح امتيازات الوصول. تعد الإدارة الفعالة للوصول إلى الحسابات أكثر أهمية من أي وقت مضى ، حيث أبلغ 58 في المائة من الشركات الصغيرة والمتوسطة عن خروقات البيانات في عام 2017 ، وفقًا لتقرير Verizon Data Breach Investigation لعام 2018.

أسس مفهوم Zero Trust من قبل جون Kindervag ، وهو محلل سابق في شركة Forrester Research ، والآن يعمل في مجال CTO في Palo Alto Networks. وقال Kindervag أمام الحضور يوم 30 أكتوبر في SecurIT Zero Trust Summit في مدينة نيويورك: "نحتاج إلى البدء في تنفيذ إستراتيجية حقيقية ، وهذا هو ما تتيحه Zero Trust". وأضاف أن فكرة Zero Trust نشأت عندما جلس ونظر في مفهوم الثقة ، وكيف أن الجهات الفاعلة الخبيثة هي التي تستفيد عمومًا من الشركات التي تثق في الأطراف التي لا ينبغي لها ذلك.

أصبح الدكتور تشيس كننغهام خليفة Kindervag كمحلل رئيسي في شركة Forrester في دعم نهج الوصول إلى الثقة صفر. وقال كننغهام لـ PCMag في Zero Trust: "Zero Trust هو ما يستتبع في هاتين الكلمتين ، بمعنى أن لا تثق في أي شيء ، ولا تثق في إدارة كلمة المرور ، ولا تثق في بيانات الاعتماد ، ولا تثق في المستخدمين ، ولا تثق في الشبكة". قمة.

استخدم Kindervag مثال الخدمة السرية الأمريكية لتوضيح كيفية قيام المنظمة بتتبع ما يحتاجون إلى حمايته ومن يحتاج إلى الوصول إليه. وقال Kindervag: "إنهم يواصلون مراقبة وتحديث هذه الضوابط باستمرار حتى يتمكنوا من التحكم في ما يعبر المحيط الجزئي في أي وقت معين". "هذه طريقة Zero Trust للحماية التنفيذية. إنها أفضل مثال مرئي على ما نحاول القيام به في Zero Trust."

صفر الثقة الدروس المستفادة في OPM

مثال مثالي على كيفية عمل Zero Trust لصالح المنظمات ، جاء من المدير المالي السابق للحكومة الفيدرالية الأمريكية. في قمة Zero Trust ، وصف الدكتور توني سكوت ، الذي شغل مكتب CIO في الولايات المتحدة من 2015 إلى 2017 ، خرقًا كبيرًا للبيانات حدث في المكتب الأمريكي لإدارة شؤون الموظفين (OPM) في عام 2014. وقد حدث الاختراق بسبب التجسس الأجنبي حيث سُرقت معلومات خلفية المعلومات الشخصية والتخليص الأمني ​​لـ 22.1 مليون شخص إلى جانب بيانات بصمات الأصابع عن 5.6 مليون فرد. وصف سكوت كيف أنه لم يكن من الضروري فقط الجمع بين الأمان الرقمي والمادي لدرء هذا الخرق ، ولكن أيضًا تطبيقًا فعالًا لسياسة Zero Trust.

وقال إنه عندما يتقدم الأشخاص للحصول على وظيفة في الحركة الشعبية لتحرير فلسطين ، فإنهم يقومون بملء استبيان نموذج قياسي شامل (SF) 86 ، وسيتم حراسة البيانات في كهف من قبل الحراس والدبابات المسلحة. "إذا كنت كيانًا أجنبيًا وترغب في سرقة تلك المعلومات ، فسيتعين عليك اختراق هذا الكهف في ولاية بنسلفانيا وتجاوز الحراس المسلحين. ثم يتعين عليك المغادرة مع شاحنات محملة بالورق أو ماكينة Xerox سريعة جدًا أو شيء ما قال سكوت.

"كان من الرائع أن نحاول الهروب من خلال تسجيل 21 مليون رقم". "لكن ببطء ، مع دخول الأتمتة في عملية OPM ، بدأنا في وضع هذه الأشياء في ملفات الكمبيوتر على الوسائط المغناطيسية ، وما إلى ذلك. مما جعل السرقة أسهل كثيرًا." وأوضح سكوت أن OPM فشلت في العثور على نوع مكافئ من الأمن الفعال كالحراس المسلحين عندما أصبحت الوكالة رقمية. في أعقاب الهجوم ، أصدر الكونغرس تقريراً يدعو إلى استراتيجية Zero Trust لحماية هذه الأنواع من الانتهاكات في المستقبل.

وذكر تقرير للكونجرس: "لمكافحة التهديدات المستمرة المتقدمة التي تسعى إلى تسوية شبكات تكنولوجيا المعلومات التابعة للحكومة الفيدرالية أو استغلالها ، يجب على الوكالات التحرك نحو نموذج" صفر الثقة "لأمن المعلومات وهندسة تقنية المعلومات". كما كتب النائب السابق للولايات المتحدة جيسون شافيتز (R-Utah) ، الذي كان حينها رئيس لجنة الرقابة ، منشوراً عن Zero Trust في ذلك الوقت ، والتي نشرتها في الأصل إذاعة Federal News Radio. "يجب على مكتب الإدارة والميزانية (OMB) وضع مبادئ توجيهية للإدارات التنفيذية ورؤساء الوكالات لتنفيذ Zero Trust بشكل فعال إلى جانب تدابير لتصور وتسجيل جميع حركة مرور الشبكة" ، كتب شافيتز.

صفر الثقة في العالم الحقيقي

في مثال على العالم الحقيقي لتطبيق Zero Trust ، نشرت Google داخليًا مبادرة تسمى BeyondCorp تهدف إلى نقل عناصر التحكم في الوصول من محيط الشبكة إلى الأجهزة الفردية والمستخدمين. يمكن للمسؤولين استخدام BeyondCorp كوسيلة لإنشاء سياسات التحكم في الوصول المحبب لنظامي Google Cloud Platform و Google G Suite استنادًا إلى عنوان IP وحالة أمان الجهاز وهوية المستخدم. توفر شركة تدعى Luminate أمان Zero Trust كخدمة قائمة على BeyondCorp. يقوم Luminate Secure Access Cloud بتوثيق المستخدمين والتحقق من صحتهم ، ويوفر محركًا يوفر درجة مخاطرة تسمح بالوصول إلى التطبيق.

"هدفنا هو توفير وصول آمن لأي مستخدم ، من أي جهاز ، إلى أي مورد من موارد الشركة بغض النظر عن مكان استضافته أو في السحابة أو في أماكن العمل دون نشر أي وكلاء في نقطة النهاية أو أي أجهزة مثل الشبكات الخاصة الافتراضية (VPN) ، وقال مايكل دوبنسكي ، رئيس إدارة المنتجات في لومينيت ، لجدران الحماية ، أو الوكلاء في موقع الوجهة ، لـ PCMag في مؤتمر حماية الهوية المختلطة (HIP) 2018 (HIP2018) في مدينة نيويورك.

يعد إدارة الهوية أحد الانضباط الرئيسي لتكنولوجيا المعلومات والذي تكتسب فيه Zero Trust قوة دفع سريعة. هذا على الأرجح لأن 80٪ من الانتهاكات ناتجة عن سوء استخدام بيانات الاعتماد المميزة ، وفقًا لتقرير "Forrester Wave: Identity Management Identity، Q3 2016". يمكن أن تساعد الأنظمة التي تتحكم في الوصول المصرح به إلى درجة أكثر تفصيلاً في منع هذه الحوادث.

مساحة إدارة الهوية ليست جديدة ، وهناك قائمة طويلة من الشركات التي تقدم مثل هذه الحلول ، على الأرجح الأكثر انتشارًا هي Microsoft ومنصة Active Directory (AD) الخاصة بها ، والتي تم تضمينها في نظام التشغيل Windows Server الذي لا يزال مشهورًا (OS). ومع ذلك ، هناك عدد كبير من اللاعبين الأحدث الذين يمكنهم تقديم وظائف ليس فقط أكثر من م ، ولكن يمكنهم أيضًا تسهيل إدارة الهوية وتطبيقها. تشمل هذه الشركات لاعبين مثل Centrify و Idaptive و Okta و SailPoint Technologies.

وعلى الرغم من أن أولئك الذين استثمروا بالفعل في Windows Server قد يرفضون دفع المزيد مقابل التكنولوجيا التي يشعرون أنهم قد استثمروها بالفعل ، فإن بنية إدارة الهوية الأعمق والأفضل الحفاظ عليها يمكن أن تحقق أرباحًا كبيرة في عمليات خرق ومراجعات الامتثال التي تم إحباطها. بالإضافة إلى ذلك ، التكلفة ليست باهظة ، على الرغم من أنها قد تكون كبيرة. على سبيل المثال ، تبدأ خدمات Centrify Infrastructure Services بمبلغ 22 دولارًا شهريًا لكل نظام.

كيف يعمل الصفر الثقة

وقال كينديرفاج "أحد الأشياء التي تقوم بها Zero Trust هو تعريف تجزئة الشبكة". التجزئة هي مفهوم رئيسي في كل من إدارة الشبكات والأمن السيبراني. يتضمن تقسيم شبكة الكمبيوتر إلى شبكات فرعية ، إما منطقية أو جسدية ، لتحسين الأداء والأمان.

تتجاوز بنية Zero Trust النموذج المحيط ، والذي يشمل الموقع الفعلي للشبكة. وقال كننغهام: "إنه ينطوي على" دفع المحيط إلى الكيان ".

وقال "يمكن أن يكون الكيان خادمًا أو مستخدمًا أو جهازًا أو نقطة وصول". "أنت تدفع أدوات التحكم لأسفل إلى المستوى الجزئي بدلاً من التفكير في أنك قد بنيت حائطًا مرتفعًا بالفعل وأنك آمن." وصف كننغهام جدار الحماية كجزء من المحيط النموذجي. "إنها مشكلة النهج والاستراتيجية والمحيط" ، كما أشار. "الجدران العالية والشيء الكبير الوحيد: أنها لا تعمل".

للوصول إلى شبكة ، كان هناك جانب قديم للأمن يستخدم أجهزة التوجيه ، وفقًا لما قاله داني كيبل ، الرئيس التنفيذي الجديد لشركة Idaptive ، وهي شركة لإدارة الهوية تنطلق من شركة Centrify. قبل Zero Trust ، ستقوم الشركات بالتحقق ثم الثقة. ولكن مع Zero Trust ، "تحقق دائمًا ، لا تثق أبدًا" ، كما أوضح كيبل.

توفر Idaptive نظامًا أساسيًا للوصول إلى الجيل التالي يتضمن Single Sign-On (SSO) ، مصادقة متعددة العوامل قابلة للتكيف (MFA) ، وإدارة الأجهزة المحمولة (MDM). توفر خدمات مثل Idaptive طريقة لإنشاء عناصر التحكم الدقيقة بالضرورة عند الوصول. يمكنك توفير أو إلغاء الاعتماد بناءً على من يحتاج إلى الوصول إلى التطبيقات المختلفة. وقال كيبل "إنه يعطي تلك القدرة الدقيقة على التحكم في وصولها". "وهذا مهم جدًا للمؤسسات التي نراها نظرًا لوجود الكثير من الامتدادات من حيث الوصول غير المصرح به."

حدد Kibel طريقة Idaptive لـ Zero Trust من خلال ثلاث خطوات: التحقق من المستخدم ، والتحقق من أجهزته ، ثم السماح فقط بالوصول إلى التطبيقات والخدمات لهذا المستخدم فقط. "لدينا متجهات متعددة لتقييم سلوك المستخدم: الموقع والسرعة الجغرافية والوقت من اليوم والوقت في الأسبوع ونوع التطبيق الذي تستخدمه ، وحتى في بعض الحالات كيف تستخدم هذا التطبيق" ، قال كيبل.. تراقب أجهزة Idaptive محاولات تسجيل الدخول الناجحة والفاشلة لمعرفة الوقت الذي تحتاج فيه إلى إعادة تكوين المصادقة أو حظر المستخدم تمامًا.

في 30 أكتوبر ، قدمت Centrify منهجًا للأمن السيبراني يسمى Zero Trust Privilege ، والذي تمنح الشركات فيه الأقل حق الوصول الضروري والتحقق من من يطلب الوصول. تتضمن الخطوات الأربع لعملية Zero Trust Privilege التحقق من المستخدم ، والنظر في سياق الطلب ، وتأمين بيئة المشرف ، ومنح أقل قدر من الامتياز اللازم. يتضمن نهج Zero Trust Privilege الذي تتبعه Centrify مقاربة تدريجية للحد من المخاطر. كما أنه ينقل الانتقال من إدارة الوصول المميز ذي الامتيازات القديمة (PAM) ، وهو برنامج يتيح للشركات تقييد الوصول إلى أنواع أحدث من البيئات مثل أنظمة التخزين السحابية ومشاريع البيانات الكبيرة وحتى مشاريع تطوير التطبيقات المتقدمة المتقدمة التي يتم تشغيلها على الويب على مستوى الأعمال مرافق الاستضافة.

قال تيم شتاينكوف ، رئيس مركز الطرد المركزي ، إن نموذج Zero Trust يفترض أن المتسللين يقومون بالفعل بالوصول إلى الشبكة. وستكون استراتيجية مكافحة هذا التهديد هي الحد من الحركة الجانبية وتطبيق وزارة الخارجية في كل مكان ، وفقًا لستاينكوف. وقال Steinkopf لـ PCMag: "عندما يحاول شخص ما الوصول إلى بيئة مميزة ، يجب أن يكون لديك على الفور أوراق الاعتماد الصحيحة والوصول الصحيح". "الطريقة لفرض ذلك هي توحيد الهويات ، ثم تحتاج إلى سياق الطلب ، بمعنى من وماذا ومتى ولماذا وأين." بعد ذلك ، أنت تمنح فقط كمية الوصول اللازمة ، كما قال ستاينكوف.

وقال دوبنسكي "أنت تأخذ سياق المستخدم ، وفي هذه الحالة يمكن أن تكون طبيبة ، أو يمكن أن تكون ممرضة ، أو ربما يكون هناك شخص آخر يحاول الوصول إلى البيانات". "أنت تأخذ سياق الجهاز الذي يعملون منه ، وتأخذ سياق الملف الذي يحاولون الوصول إليه ، ثم تحتاج إلى اتخاذ قرار وصول بناءً على ذلك."

وزارة الخارجية ، صفر الثقة ، وأفضل الممارسات

أحد الجوانب الرئيسية لنموذج Zero Trust هو المصادقة القوية ، والسماح بعوامل متعددة للمصادقة هو جزء من ذلك ، كما أشار Hed Kovetz ، الرئيس التنفيذي والمؤسس المشارك لـ Silverfort ، والذي يقدم حلول MFA. مع عدم وجود حدود في عصر السحابة ، هناك حاجة أكبر للمصادقة من أي وقت مضى. وقال Kovetz لـ PCMag في HIP2018: "القدرة على القيام ببرنامج MFA لأي شيء تعد متطلبًا أساسيًا تقريبًا من Zero Trust ، ومن المستحيل القيام به اليوم لأن Zero Trust تأتي من فكرة عدم وجود محيط بعد الآن". "إذن أي شيء يتصل بأي شيء ، وفي هذا الواقع ، ليس لديك بوابة يمكنك التحكم بها."

حددت شركة Forrester's Cunningham استراتيجية تسمى Zero Trust eXtended (XTX) لرسم خريطة لقرارات شراء التكنولوجيا لاستراتيجية Zero Trust. وقال كننغهام: "لقد نظرنا حقًا إلى عناصر التحكم السبعة التي تحتاجها لإدارة بيئة بالفعل بشكل آمن". الأركان السبعة هي الأتمتة والتنسيق ، والرؤية والتحليلات ، وأعباء العمل ، والأفراد ، والبيانات ، والشبكات ، والأجهزة. لتكون منصة ZTX ، سيكون للنظام أو التكنولوجيا ثلاثة من هذه الركائز إلى جانب إمكانيات واجهة برمجة التطبيقات (API). يتناسب العديد من البائعين الذين يقدمون حلول الأمان في الركائز المختلفة للإطار. وأشار Cunningham إلى أن Centrify تقدم منتجات تتناول أمن الأفراد والأجهزة ، وتقدم Palo Alto Networks و Cisco حلول شبكات ، وتركز حلول Security Guardium من IBM على حماية البيانات.

وقال ستاينكوف إن نموذج Zero Trust يجب أن يشمل أيضًا أنفاقًا مشفرة وسحابة مرور وتشفيرًا معتمدًا على الشهادة. وأوضح أنه إذا كنت ترسل بيانات من جهاز iPad عبر الإنترنت ، فأنت تريد التحقق من حق المستلم في الوصول. إن تطبيق اتجاهات التكنولوجيا الناشئة مثل الحاويات و DevOps يمكن أن يساعد في مكافحة إساءة استخدام بيانات الاعتماد المتميزة ، وفقًا لـ Steinkopf. كما وصف الحوسبة السحابية بأنها في طليعة استراتيجية Zero Trust.

يوافق Luminate's Dubinsky. بالنسبة للشركات الصغيرة والمتوسطة ، يلجأ التحول إلى شركة سحابية توفر إدارة الهوية أو MFA كخدمة إلى تحميل مسؤوليات الأمان هذه للشركات المتخصصة في هذا المجال. وقال دوبنسكي "إنك تريد أن تفريغ قدر الإمكان إلى الشركات والأشخاص المسؤولين عن وظائفهم اليومية".

إمكانات إطار عمل Zero Trust

على الرغم من إقرار الخبراء بأن الشركات تتجه إلى نموذج Zero Trust ، وخاصة في إدارة الهوية ، فإن البعض لا يرون حاجة إلى تغييرات كبيرة في البنية التحتية الأمنية لتبني Zero Trust. وقال شون بايك ، نائب رئيس برنامج مجموعة منتجات الأمن في آي دي سي: "لست متأكداً من أنها استراتيجية أريد أن أتبعها على أي مستوى اليوم". "لست متأكدًا من أن حساب العائد على الاستثمار موجود في إطار زمني منطقي. هناك عدد من التغييرات المعمارية وقضايا الموظفين التي أعتقد أنها تجعل التكلفة باهظة كاستراتيجية".

ومع ذلك ، ترى Pike إمكانات لـ Zero Trust في الاتصالات و IDM. "أعتقد أن هناك مكونات يمكن اعتمادها بسهولة اليوم والتي لن تتطلب تغييرات في بنية الجملة - الهوية ، على سبيل المثال ،" قال بايك. "على الرغم من ارتباطها ، فإن شعوري القوي هو أن التبني ليس بالضرورة خطوة استراتيجية نحو Zero Trust بل هو خطوة لمعالجة الطرق الجديدة التي يتصل بها المستخدمون والحاجة إلى الابتعاد عن الأنظمة التي تعتمد على كلمة المرور وتحسين إدارة الوصول" ، بايك شرح.

على الرغم من أن Zero Trust يمكن تفسيرها على أنها جزء من مفهوم التسويق الذي يكرر بعض المبادئ القياسية للأمن السيبراني ، مثل عدم الوثوق بالمشاركين في شبكتك والحاجة إلى التحقق من المستخدمين ، إلا أنه يخدم غرضًا كخطة لعبة ، وفقًا للخبراء. وقال كننغهام من فورستر: "أنا من كبار مؤيدي Zero Trust ، والمضي قدماً نحو هذا النوع من الإستراتيجية المفرد من المانترا والدفاع عن ذلك داخل المنظمة".

أشار جون بيسكاتور ، مدير اتجاهات الأمن الناشئة في معهد SANS ، وهي مؤسسة تقدم التدريب الأمني ​​وشهادات الأمان ، أن أفكار Zero Trust التي قدمتها Forrester في عام 2010 ليست جديدة على صناعة الأمن السيبراني. وقال "هذا هو إلى حد كبير التعريف القياسي للأمن السيبراني - حاول أن تجعل كل شيء آمنًا ، وأن تقوم بتجزئة شبكتك وإدارة امتيازات المستخدم".

أشار بيسكاتور إلى أنه في حوالي عام 2004 ، قدمت منظمة أمنية انتهت صلاحيتها الآن تدعى "منتدى أريحا" أفكارًا مماثلة لأفكار "فورستر" فيما يتعلق بـ "الأمن المحيط بأقل" وأوصت بالسماح فقط بالاتصالات الموثوقة. وقال بيسكاتور: "هذا يشبه القول:" انتقل إلى مكان لا يوجد به مجرمون وطقس مثالي ، ولا تحتاج إلى سقف أو أبواب في منزلك ". "أعدت Zero Trust على الأقل بالمعنى العام للتجزئة - أنت دائمًا ما تنفصل عن الإنترنت باستخدام محيط".

• ما وراء المحيط: كيفية التعامل مع الأمن ذو الطبقات ما وراء المحيط: كيفية معالجة الأمن ذو الطبقات
• NYC Venture تسعى إلى تحفيز الوظائف والابتكار في الأمن السيبراني NYC Venture تسعى إلى تحفيز الوظائف والابتكار في الأمن السيبراني
• كيفية التحضير لخرق الأمان التالي كيفية الاستعداد لخرق الأمان التالي

كبديل لنموذج Zero Trust ، أوصى Pescatore باتباع مركز التحكم الأمني ​​في الأمان عبر الإنترنت. في النهاية ، يمكن أن تحقق Zero Trust فوائد بالتأكيد على الرغم من الضجيج. ولكن ، كما لاحظ Pescatore ، سواء كان يطلق عليه Zero Trust أو أي شيء آخر ، فإن هذا النوع من الإستراتيجية لا يزال يتطلب ضوابط أساسية.

وقال بيسكاتور: "لا يغير ذلك حقيقة أنه لحماية العمل ، يجب عليك تطوير عمليات وضوابط النظافة الأمنية الأساسية بالإضافة إلى وجود موظفين مهرة للحفاظ على سيرهم بفعالية وكفاءة". هذا أكثر من استثمار مالي لمعظم المؤسسات ، وهي شركة واحدة ستحتاج إلى التركيز عليها لتحقيق النجاح.