Для боротьби з новими ризиками, пов’язаними з поточним гібридним способом роботи, багато керівників і постачальників кібербезпеки тепер виявили «нульову довіру»: ця структура спрямована на забезпечення безпеки в ІТ-середовищі, одночасно підвищуючи продуктивність усієї компанії. збільшити.
Спосіб роботи людей кардинально змінився за останнє десятиліття. Працівники підприємств сьогодні працюють з будь-якого місця, використовуючи пристрої та мережі, які більше не знаходяться під їхнім контролем, щоб отримати доступ до корпоративних ресурсів у хмарі. Хоча це значно підвищило продуктивність, це також значно ускладнило захист бізнесу. Однак реалізація цього на практиці не без проблем, оскільки не існує єдиного визначення нульової довіри.
Сучасний підхід до безпеки
З деяких сторін чути, що багатофакторної автентифікації (MFA) має бути достатньо, тоді як інші рішення йдуть на крок далі та вимагають «найменш привілейованого доступу».
Загалом кажучи, нульова довіра — це ідея про те, що будь-який об’єкт, внутрішній чи зовнішній, має проходити періодичну автентифікацію та оцінку, перш ніж отримати доступ. Коли більшість користувачів, пристроїв, програм і даних більше не знаходяться в межах певного периметра безпеки, більше не може бути твердого припущення, що користувачеві або його пристрою слід довіряти.
Серед складнощів, пов’язаних із запровадженням таких технологій, як хмара та робота з будь-якого місця, органам безпеки складно визначити, з чого почати – і це включає Нульову довіру. Але ви повинні спочатку подумати про те, що важливо для вашої власної компанії. Використання рішення для виявлення кінцевої точки та реагування захищає ваші дані від ризиків кінцевої точки. Те саме стосується безпеки в хмарі: ви захищаєте свої дані в хмарі від ризикованого або зловмисного доступу та атак. Іншими словами, щоб ефективно використовувати Zero Trust, вам слід зосередитися на всіх векторах, у які вбудовані ваші дані.
дані як відправну точку
Коли більшість організацій вперше запроваджують нульову довіру, вони намагаються зосередитися на тому, як працівники виконують свою роботу, наприклад, вимагають від працівників використання віртуальних приватних мереж (VPN) із другим фактором автентифікації під час доступу до ресурсів компанії. Натомість я вважаю, що фокус має бути не на тому, що слід (не) робити, а на даних.
Співробітники постійно створюють і редагують дані. Оскільки кінцевою метою зловмисника на корпоративні ІТ є викрадення даних, просто автентифікації користувача під час доступу вже недостатньо. Натомість вам потрібно зосередитися на тому, якими типами даних ви володієте, як до них здійснюється доступ і як ними маніпулюють. Важливо також пам’ятати про постійні зміни рівня ризику для користувачів і пристроїв, які вони використовують.
Встановіть пріоритети
Дані всюди. Співробітники створюють дані щодня, незалежно від того, обмінюються ними електронною поштою, копіюють і вставляють вміст у програму обміну повідомленнями, створюють новий документ або завантажують його на свій смартфон. Усі ці види діяльності створюють і обробляють дані, і кожна з них має свій життєвий цикл. Було б надзвичайно стомлююче відстежувати місцезнаходження всіх цих даних і те, як вони обробляються.
Першим кроком у впровадженні Zero Trust Security є ранжування ваших даних за рівнями чутливості, щоб ви могли визначити пріоритетність даних, які потребують додаткового захисту. Нульова довіра може бути нескінченним процесом, тому що ви можете застосувати його до будь-чого. Замість того, щоб намагатися створити стратегію нульової довіри для всього підприємства, зосередьтеся на найважливіших програмах, які містять найбільш конфіденційні дані.
доступ до даних
Наступне, на що слід звернути увагу, це те, як дані розподіляються в організації та як до них здійснюється доступ. Чи працівники переважно обмінюються даними через хмару? Або документи та інформація надсилаються електронною поштою чи Slack?
Важливо розуміти, як інформація переміщується в організації. Якщо ви спочатку не зрозумієте, як дані переміщуються, ви не зможете їх ефективно захистити. Наприклад, якщо звичайна папка в хмарі компанії містить кілька вкладених папок, деякі з яких захищені, це здається безпечним методом. І це все до тих пір, поки хтось не надасть загальний доступ до основної папки іншій робочій групі і не усвідомить, що це змінить налаштування доступу до приватних вкладених папок. У результаті ваші особисті дані тепер доступні багатьом людям, які не повинні мати до них доступ.
Жодного готового рішення
Напевно, кожен чув фразу: «Для цього є додаток!». І загалом це правда. Здається, сьогодні для кожної сучасної проблеми існує програма чи програмне забезпечення. З іншого боку, ви бачите, що це не так із Zero Trust. Однак є багато постачальників, які хочуть продавати свої продукти як так звані «рішення» для впровадження Zero Trust Data Security. Але цей метод удавання просто не працює.
По суті, Zero Trust — це спосіб мислення та філософія, але її не слід плутати з проблемою, яку можна вирішити за допомогою програмного забезпечення. Якщо ви маєте намір прийняти Zero Trust як метод безпеки у своїй організації, вам потрібно зрозуміти, як працює цей підхід і як надійно впровадити його у вашій організації.
Роль співробітників
Друга частина впровадження даних із нульовою довірою — це залучення ваших співробітників. Ви можете купувати існуюче програмне забезпечення та рішення та встановлювати правила, але якщо ваші співробітники не розуміють, що ви робите або чому ви повинні щось використовувати, ви ставите під загрозу свій прогрес і успіх і, ймовірно, наражаєте свої дані на певні ризики.
На конференції RSA 2022 мій колега провів опитування та виявив, що 80 відсотків учасників все ще використовують традиційну електронну таблицю для запису та обчислення своїх даних. А згідно з опитуванням 2021 року, лише 22 відсотки користувачів Microsoft Azure використовують MFA. Ці цифри вказують на те, що ви повинні почати зі своїми співробітниками з самого початку. І ви повинні пояснити їм важливість безпеки даних і як це реалізувати на своїх пристроях.
Zero Trust не є продуктом
Одна з найважливіших речей, про яку слід пам’ятати, впроваджуючи Zero Trust Security у своїй організації, полягає в тому, що це філософія, а не просте рішення. Zero Trust — це не те, що можна випадково встановити за одну ніч. І це не готове програмне забезпечення, яке можна десь купити, щоб вирішити всі проблеми одразу. Нульова довіра – це скоріше фундаментальна ідея, яку потрібно реалізувати в довгостроковій перспективі.
Перш ніж інвестувати в універсальне рішення, яке просто не працює, важливо краще ознайомитись із наявними даними та зрозуміти, які особливо конфіденційні дані потребують пріоритету та захисту. Це також про те, як їх слід детально розглядати, щоб потім зосередитися на навчанні та подальшому навчанні своїх співробітників. «Нульова довіра» звучить як чудова ідея, але реалізація її працює, лише якщо ви розумієте, що це якась філософія чи структура, яку потрібно створювати поетапно та постійно вдосконалювати, а не лише одноразове фіксоване рішення.
Більше на Lookout.com
Про Lookout Співзасновники Lookout Джон Герінг, Кевін Махаффі та Джеймс Берджесс об’єдналися в 2007 році з метою захистити людей від загроз безпеці та конфіденційності, пов’язаних зі все більш зв’язаним світом. Ще до того, як смартфони були в кишені кожного, вони зрозуміли, що мобільність матиме глибокий вплив на те, як ми працюємо та живемо.
Статті по темі