การสร้างความไว้วางใจความปลอดภัย Zero-Trust

แม้ว่าจะพยายามต่อสู้กับภัยคุกคามภายในมาหลายปี แต่พฤติกรรมที่เป็นอันตรายในบางครั้งก็ยังระบุได้ยาก ในขณะที่องค์กรต่างๆ ทำงานเพื่อสร้างวัฒนธรรมการรักษาความปลอดภัยทางไซเบอร์ หลายที่ได้เริ่มมองหาสถาปัตยกรรมที่ไม่ไว้วางใจเพื่อให้ครอบคลุมการโจมตีให้ได้มากที่สุด

การดำเนินการนี้เป็นขั้นตอนในทิศทางที่ถูกต้อง แต่ก็มีศักยภาพที่จะทำให้เกิดความกลัวและสร้างการตอบสนองเชิงลบจากพนักงาน การรักษาความปลอดภัยแบบ Zero-Trust สามารถปลูกฝังการลดระดับและความขุ่นเคืองหากถูกมองว่าเป็นสัญญาณของความเชื่อที่ไม่ดีและความไม่ไว้วางใจ เร่งอัตราการหมุนเวียนและนำการลาออกครั้งใหญ่ไปสู่จุดสูงสุด

องค์กรจะสามารถนำทาง Zero-Trust ได้อย่างมีประสิทธิภาพโดยไม่สร้างความขัดแย้งระหว่างนายจ้างและลูกจ้างได้อย่างไร? นอกจากนี้ พวกเขาจะไปถึงจุดนั้นได้อย่างไรโดยไม่ต้องจัดแบบฝึกหัดการสร้างความไว้วางใจให้เป็นส่วนหนึ่งของสภาพแวดล้อมในสำนักงาน

เหตุใดความไว้วางใจจึงมีความสำคัญในสภาพแวดล้อมทางธุรกิจสมัยใหม่

ขอบเขตการรักษาความปลอดภัยของจุดเชื่อมต่อที่แยกย้ายกันไปและส่งจากคลาวด์ นอกเหนือจากข้อมูลประจำตัวแล้ว รูปแบบการให้สิทธิ์ควรคำนึงถึงความอ่อนไหวของข้อมูล ตำแหน่งต้นทางของคำขอ ความน่าเชื่อถือของจุดปลาย ฯลฯ การใช้แพลตฟอร์มคลาวด์หลายตัวและจำนวนจุดสิ้นสุดที่เพิ่มขึ้นสามารถขยายพื้นผิวการโจมตีได้อย่างมาก

รากฐานของการรักษาความปลอดภัยแบบ Zero-Trust เริ่มต้นด้วยการกำจัดคำว่า trust อาชญากรทุกวันนี้ไม่เจาะเครือข่าย พวกเขาเข้าสู่ระบบด้วยข้อมูลประจำตัวที่ถูกขโมย จากนั้นจึงเคลื่อนข้ามเครือข่ายไปด้านข้าง เพื่อค้นหาข้อมูลที่มีค่ามากขึ้น การปกป้องเส้นทางจากข้อมูลระบุตัวตนไปยังข้อมูลเป็นสิ่งสำคัญ – ซึ่งเป็นหัวใจสำคัญของสถาปัตยกรรม Zero-Trust ที่เน้น ID ในการดำเนินการดังกล่าว ทีมรักษาความปลอดภัยควร:

– ตรวจสอบผู้ใช้

– ตรวจสอบอุปกรณ์

– จำกัดการเข้าถึงและสิทธิพิเศษ

เลเยอร์ที่เชื่อมต่อข้อมูลประจำตัวกับข้อมูลมีบทบาทสำคัญในการแชร์บริบทและสนับสนุนการบังคับใช้นโยบาย สถาปัตยกรรม Zero-Trust จะรับรู้ถึงข้อมูลประจำตัวอย่างต่อเนื่องและติดตามการเปลี่ยนแปลงในบริบท

บันทึกข้อตกลงฉบับใหม่โดยสำนักงานการจัดการและงบประมาณของรัฐบาลสหรัฐอเมริกา (OBM) ระบุว่าเหตุใดสถาปัตยกรรมที่ไม่มีการเชื่อถือจึงมีความสำคัญต่อการรักษาความปลอดภัยเว็บแอปพลิเคชันที่ต้องพึ่งพารายวัน การโจมตีของ SolarWinds เตือนเราว่าความปลอดภัยของห่วงโซ่อุปทานมีความสำคัญ และเหตุการณ์ Log4Shell ล่าสุดยังเน้นย้ำว่าการตอบสนองต่อเหตุการณ์มีประสิทธิผลมีความสำคัญเพียงใด ดังนั้นการหาวิธีปรับปรุงมาตรการรักษาความปลอดภัยจึงมีความจำเป็น

อย่างไรก็ตาม Zero-Trust ไม่ได้หมายถึงการสนับสนุนให้เกิดความไม่ไว้วางใจผ่านเครือข่ายขององค์กร และบริษัทต่างๆ ไม่ควรพึ่งพาเทคโนโลยีเพียงอย่างเดียวในการป้องกัน เมื่อเป็นความพยายามของทีม การรักษาความปลอดภัยจะถูกนำมาใช้อย่างดีที่สุด และการไว้วางใจศูนย์ที่ประสบความสำเร็จนั้นขึ้นอยู่กับวัฒนธรรมของความโปร่งใส ความสม่ำเสมอ และการสื่อสารทั่วทั้งองค์กร แต่องค์กรต่างๆ จะบรรลุเป้าหมายนี้ได้อย่างไร

หลักของการสร้าง (Zero) Trust

เมื่อสร้างความไว้วางใจ Zero-Trust ในองค์กรใด ๆ จะต้องพิจารณาเสาหลัก – วัฒนธรรมและเครื่องมือ

เมื่อบริษัทต่างๆ เริ่มใช้ Zero-Trust ก็ต้องรวมเข้ากับวัฒนธรรมด้วย แจ้งให้พนักงานทราบถึงสิ่งที่เกิดขึ้น กระบวนการของการไม่ไว้วางใจ Zero trust  ผลกระทบและผลประโยชน์ต่อพวกเขาและบริษัทอย่างไร และจะสนับสนุนกระบวนการที่ไม่ไว้วางใจศูนย์ได้อย่างไร โดยการดึงดูดพนักงานและท้าทายให้พวกเขายอมรับความกังขาต่อภัยคุกคามที่อาจเกิดขึ้น ธุรกิจต่างๆ กำลังปลูกฝังเมล็ดพันธุ์แห่งการรักษาความปลอดภัยทั่วทั้งระบบนิเวศขององค์กร เมื่อพนักงานเข้าใจคุณค่าของ Zero-Trust ก็จะรู้สึกได้รับความไว้วางใจและเป็นส่วนหนึ่งของกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ในวงกว้าง

เมื่อมีการใช้ Zero-Trust ซึ่งเป็นแกนหลักของวัฒนธรรมความปลอดภัยทางไซเบอร์ขององค์กร ขั้นตอนต่อไปคือการใช้แนวทางปฏิบัติที่ดีที่สุดในการนำ Zero-Trust ไปใช้ มีหลายมาตรการที่องค์กรสามารถทำได้ ได้แก่:

– ใช้การตรวจสอบสิทธิ์ที่เข้มงวดเพื่อควบคุมการเข้าถึง

– ยกระดับการรับรองความถูกต้อง

– รวมการรับรองความถูกต้องโดยไม่ต้องใช้รหัสผ่าน

– (ไมโคร)เซ็กเมนต์เครือข่ายองค์กร

– รักษาความปลอดภัยอุปกรณ์ทั้งหมด

– แบ่งส่วนแอปพลิเคชันของคุณ

– กำหนดบทบาทและการควบคุมการเข้าถึง

แม้ว่า Zero-Trust จะไม่เชื่อเรื่องเทคโนโลยี แต่ก็มีการหยั่งรากลึกในการยืนยันตัวตน ขั้นตอนแรกอย่างหนึ่งคือการระบุข้อมูล แอปพลิเคชัน ทรัพย์สิน และบริการที่สำคัญและมีค่าที่สุดของเครือข่าย ขั้นตอนนี้จะช่วยจัดลำดับความสำคัญในการเริ่มต้นและเปิดใช้งานการสร้างนโยบายความปลอดภัยที่ไม่ไว้วางใจศูนย์ หากสามารถระบุสินทรัพย์ที่สำคัญที่สุดได้ องค์กรสามารถมุ่งเน้นความพยายามในการจัดลำดับความสำคัญและปกป้องทรัพย์สินเหล่านั้นซึ่งเป็นส่วนหนึ่งของเส้นทางที่ไม่ไว้วางใจ

การใช้การรับรองความถูกต้องแบบหลายปัจจัยเป็นสิ่งสำคัญที่นี่ ไม่ใช่กรณีของ if ที่จะใช้ แต่เมื่อใด MFA ที่ต้านทานฟิชชิ่งไม่สามารถถูกบุกรุกได้แม้จะเป็นการโจมตีแบบฟิชชิ่งที่ซับซ้อน ซึ่งหมายความว่าโซลูชัน MFA ไม่สามารถมีสิ่งใดๆ ที่สามารถใช้เป็นข้อมูลรับรองโดยผู้ที่ขโมยข้อมูลนั้นได้ ซึ่งรวมถึงรหัสผ่านแบบใช้ครั้งเดียว คำถามเพื่อความปลอดภัย และการแจ้งเตือนแบบพุชที่มองไม่เห็น

ความท้าทายของการดำเนินการ Zero-Trust

ปัญหาสำคัญประการหนึ่งที่องค์กรส่วนใหญ่กำลังเผชิญคือปัญหา IAM ที่กระจัดกระจาย ผลลัพธ์ที่ได้คือ การใช้งาน Zero-Trust จึงเต็มไปด้วยความซับซ้อน ความเสี่ยง และต้นทุนสูง

เหตุผลหลักที่อยู่เบื้องหลังปัญหานี้คือองค์กรต่างๆ ดำเนินการไซโลการรักษาความปลอดภัยข้อมูลประจำตัวหลายชุด อันที่จริง รายงานดัชนีการจัดการการเข้าถึงของ Thales 2021 ระบุว่า 33% ขององค์กรที่ทำการสำรวจได้ปรับใช้เครื่องมือ IAM สามตัวขึ้นไป การประสานงานว่าอย่างน้อยหลายระบบสามารถสร้างความซับซ้อนในการปฏิบัติงาน แต่ก็สามารถเพิ่มความเสี่ยงของนโยบายความปลอดภัยที่กระจัดกระจาย มุมมองแบบแยกส่วนของกิจกรรมของผู้ใช้ และการกักเก็บแบบแยกส่วน

วัฒนธรรม Zero-Trust ควรช่วยให้องค์กรที่มี IAM silos ก้าวไปสู่รูปแบบการรักษาความปลอดภัย Zero-Trust ที่ได้มาตรฐาน โดยมีนโยบายการรักษาความปลอดภัยที่เป็นมาตรฐานและการปรับปรุงที่ควบคุมจากแผงควบคุมส่วนกลางในไซโลพื้นฐาน กระบวนการควรให้ข้อมูลเชิงลึกเกี่ยวกับช่องว่างของนโยบายความปลอดภัยและความไม่สอดคล้องกัน และแนะนำการปรับนโยบายความปลอดภัยตามหลักการรักษาความปลอดภัยแบบ Zero-trust

บทสรุป

แนวทางการรักษาความปลอดภัยที่ไม่ไว้วางใจคือครอบคลุมทุกพื้นผิวการโจมตีและปกป้ององค์กร แต่จะไม่มีความหมายอะไรเลยหากไม่มีคนใช้อย่างเหมาะสม การปรับความสำเร็จและความปลอดภัยของบริษัทให้สอดคล้องกับความสำเร็จและความปลอดภัยของพนักงานเป็นสิ่งสำคัญ การปรับใช้โซลูชัน IAM แบบรวมศูนย์ที่ครอบคลุมพื้นผิวการโจมตีทั้งหมดช่วยให้มั่นใจได้ถึงการป้องกันที่ดีที่สุดและช่วยสร้างความมั่นใจในสภาพแวดล้อมทางธุรกิจและการประมวลผลที่ไม่ไว้วางใจ

Building trust in a Zero-Trust security environment