Από το 2010, όταν και εισήχθη από τον John Kindervag ως έννοια στον χώρο της Πληροφορικής, το «Zero Trust» αποτελεί θεμέλιο λίθο για την ανθεκτικότητα στον Κυβερνοχώρο. Δεν πρόκειται για ένα προϊόν ασφάλειας, μια τεχνολογία ή μια αρχιτεκτονική. Το Zero Trust, αφορά μια στρατηγική που διέπεται από ένα σύνολο διαδικασιών, οι οποίες με τη σειρά τους καθορίζουν τον τρόπο προσέγγισης της ασφάλειας μιας εταιρείας ή ενός οργανισμού, συνολικά.

 Γράφει ο Ανδρέας Καραντώνης,

Director of Marketing and Communications,
Cysoft Ltd –
www.cysoft.gr

 

 

Βασικές αρχές της στρατηγικής Zero Trust

Κύριος πυλώνας πάνω στο οποίο στηρίζεται το οικοδόμημα του μοντέλου Zero Trust, είναι το «ποτέ μην εμπιστεύεσαι, πάντα να επαληθεύεις». Υπό αυτό το πρίσμα και κάνοντας την παραδοχή ότι η περίμετρος μιας επιχείρησης νοείται πάντοτε ως μη ασφαλής και μη αξιόπιστη, η επιτυχία της εφαρμογής της στρατηγικής «μηδενικής εμπιστοσύνης», έγκειται σε τρεις βασικές αρχές: α) Να πραγματοποιείται πάντα έλεγχος ταυτότητας και εξουσιοδότηση των χρηστών που ζητούν πρόσβαση σε ένα εταιρικό δίκτυο, β) να παρέχονται τα ελάχιστα δυνατά δικαιώματα πρόσβασης που κρίνονται απαραίτητα για την ολοκλήρωση μιας συγκεκριμένης εργασίας και γ) να πραγματοποιείται διαρκής παρακολούθηση και ανάλογες προσαρμογές, όπου και όταν απαιτείται.

Η επιτυχία του Zero Trust είναι υπόθεση όλων

Οι πολιτικές μηδενικής εμπιστοσύνης πρέπει να ισχύουν για όλους, ακόμη και για όσους βρίσκονται στην κορυφή του οργανογράμματος μιας εταιρείας. Κι αυτή είναι μια κρίσιμη παράμετρος που εν πολλοίς αποτελεί το «κλειδί» για την επιτυχή εφαρμογή του μοντέλου Zero Trust. Βλέπετε, στην πλειοψηφία τους οι CxOs θεωρούν ότι πρέπει να έχουν προνομιακή και απεριόριστη πρόσβαση σε όλο το φάσμα των εταιρικών εφαρμογών και δεδομένων και δυσανασχετούν σε μια τέτοια προσέγγιση. Ωστόσο, θα πρέπει να καταστεί σαφές πως κατά την εφαρμογή μοντέλου Zero Trust και οι C-level χρήστες οφείλουν να έχουν την ίδια -αν όχι και πιο αυστηρή- αντιμετώπιση με όλους τους υπόλοιπους εργαζομένους μιας εταιρείας. Και υπάρχει μια πολύ λογική εξήγηση γι’ αυτό…

Τα C-Level στελέχη είναι οι πλέον ευάλωτοι στόχοι

Σε κάθε κακόβουλη απόπειρα προς μια επιχείρηση, τα υψηλόβαθμα στελέχη αποτελούν πρωταρχικό στόχο για τους κυβερνοεγκληματίες. Αυτό συμβαίνει διότι οι C-Level executives, έχουν συχνά λογαριασμούς με υψηλά προνόμια και οι ενέργειές τους μπορούν να οδηγήσουν σε μεγαλύτερες συνέπειες. Παράλληλα, τείνουν να εργάζονται πολλές ώρες, να λαμβάνουν σωρεία από ηλεκτρονικές επικοινωνίες και να διαθέτουν πολύτιμη φήμη. Όλα αυτά τα στοιχεία μαζί, συνιστούν την κορυφή του οργανογράμματος μιας επιχείρησης ως το πλέον τρωτό και ταυτόχρονα το καταλληλότερο σημείο εισόδου στο δίκτυό της, προκειμένου για να επιτευχθούν οι δόλιοι σκοποί επίδοξων κυβερνοεγκληματιών. Αναλογιστείτε απλώς ποιος είναι ο αντίκτυπος που θα έχει ένα ακούσιο «κλικ» ενός Διευθύνοντα Συμβούλου, σε έναν σύνδεσμο κακόβουλου λογισμικού. Λόγω των εγγενών υψηλών προνομίων του λογαριασμού του, το κακόβουλο λογισμικό θα τεθεί αμέσως σε ισχύ, με ό,τι αυτό συνεπάγεται για την ασφάλεια του οργανισμού.

Ο ρόλος των IT managers και η βοήθεια της τεχνολογίας

Το τελευταίο πράγμα που χρειάζονται οι οργανισμοί σήμερα, είναι η άρνηση των C-Level χρηστών να υιοθετήσουν το πλαίσιο μηδενικής εμπιστοσύνης και να ενεργούν σαν να μην ισχύουν για αυτούς οι ίδιοι κανόνες. Η χρήση της κατάλληλης τεχνολογίας, μπορεί να αποβεί καθοριστική ώστε ακόμα και τα πιο «δύσπιστα» στελέχη να πειστούν και να συνηγορήσουν στην κατάργηση της ανεξέλεγκτης πρόσβασης σε ευαίσθητες εταιρικές πληροφορίες. Κάπου εδώ, αναλαμβάνουν δράση οι IT managers με τη βοήθεια των τεχνολογικών εργαλείων.

Όλη η επικοινωνία που περνά μέσα από το εταιρικό δίκτυο πρέπει να είναι κρυπτογραφημένη και κάθε ασυνήθιστη δραστηριότητα θα πρέπει να επισημαίνεται. Με μια ενοποιημένη λύση διαχείρισης των endpoints, οι IT managers μπορούν να επαληθεύουν την ταυτότητα των χρηστών, καθώς και την «υγεία» των συσκευών τους. Επιπλέον, με την παρακολούθηση όλων των προνομιακών συνεδριών, μπορούν να εντοπίζουν οποιαδήποτε ανώμαλη συμπεριφορά ή αποτυχημένες προσπάθειες σύνδεσης από λογαριασμούς των C-Level χρηστών. Έχοντας επίγνωση του πλαισίου για το Zero Trust και με τη βοήθεια του monitoring και των αναλυτικών στοιχείων συμπεριφοράς χρηστών, προκύπτουν διαφωτιστικές συσχετίσεις που δεν αφήνουν περιθώριο αμφισβήτησης.

Το Zero Trust – οδηγός για το μέλλον της Κυβερνοασφάλειας

Η κουλτούρα της απομακρυσμένης εργασίας που νομοτελειακά έχει περάσει στο DNA των επιχειρήσεων, καθώς και η ταχεία υιοθέτηση ενός υβριδικού εργασιακού περιβάλλοντος, δημιουργεί νέες προκλήσεις ασφάλειας. Το τοπίο των απειλών αυξάνεται, ενώ δημιουργούνται περισσότερες ευπάθειες και πολυπλοκότητες στην εταιρική υποδομή. Έτσι, το μοντέλο ασφάλειας κάθε οργανισμού, οφείλει να εναρμονιστεί με τις σύγχρονες απαιτήσεις.

Ο σημαντικότερος παράγοντας επιτυχίας της εφαρμογής Zero Trust, είναι ο άνθρωπος. Κι όχι γιατί είναι ο «αδύναμος κρίκος» μιας επιχείρησης, αλλά γιατί πολύ απλά, είναι ο κύριος φορέας μιας επίθεσης. Γι’ αυτό και είναι επιτακτικός ο περιορισμός πρόσβασης στα εταιρικά δεδομένα, στο ελάχιστο δυνατό. Εξάλλου, το Zero Trust επιτρέπει στις επιχειρήσεις να λειτουργούν πιο αποτελεσματικά παρέχοντας καλύτερη ορατότητα και πρόσβαση σε αναλυτικό επίπεδο στους χρήστες, ενώ βοηθά στην ανάκληση της πρόσβασης σε οποιονδήποτε πόρο ανά πάσα στιγμή.

Σε κάθε περίπτωση, η εφαρμογή της στρατηγικής Zero Trust απαιτεί σκληρή δουλειά, με εντατική παρακολούθηση και διαχείριση. Είναι όμως μια απαραίτητη προεργασία για τη διασφάλιση και ανθεκτικότητα των οργανισμών στις αναδυόμενες προκλήσεις και ταυτόχρονα ένα εργαλείο για τον ψηφιακό μετασχηματισμό τους, εξισορροπώντας την ασφάλεια και την εμπειρία των εργαζομένων.