Ποιοι είναι οι 5 μύθοι για την προσέγγιση Zero Trust, που μπορούν να εμποδίσουν την υιοθέτηση της;
Όπως όλοι έχουμε αντιληφθεί, ζούμε πλέον σε μια ψηφιακή εποχή. Τα πάντα γίνονται με τη βοήθεια του διαδικτύου και των νέων τεχνολογιών. Γι΄αυτό το λόγο, οι κυβερνοεπιθέσεις αποτελούν πλέον καθημερινό φαινόμενο. Έρευνες έχουν δείξει ότι οι παγκόσμιες δαπάνες για τα προϊόντα πληροφορικής και τις υπηρεσίες ασφάλειας ξεπερνούν τα 124 δισεκατομμύρια δολάρια.
Στις μέρες μας, πολλές εταιρείες αξιοποιούν τις νέες τεχνολογίες, όπως τις cloud υπηρεσίες για την αποθήκευση ευαίσθητων πληροφοριών σε ηλεκτρονική μορφή. Ωστόσο, αυτή πρακτική αυξάνει τις πιθανότητες παραβίασης δεδομένων.
Η παραβίαση των συστημάτων εταιρειών είναι πια μια πολύ εύκολη διαδικασία. Παλιότερα, νομίζαμε ότι χρειάζονται εξελιγμένες τεχνικές αλλά η απόκτηση των credentials ενός υπαλλήλου είναι αρκετή για την απόκτηση πρόσβασης σε ολόκληρο το δίκτυο μιας εταιρείας.
Από τη στιγμή που θα αποκτηθεί πρόσβαση, οι hackers εξαπλώνονται σε όλα τα συστήματα και κλέβουν όσο το δυνατόν περισσότερα δεδομένα. Κάτι τέτοιο μπορεί να προκαλέσει τεράστιες οικονομικές απώλειες στα θύματα.
Μια πρόσφατη μελέτη της Centrify έδειξε ότι στο 74% των οργανισμών, που έχουν δεχτεί μια τέτοια επίθεση, η πρόσβαση των hackers επιτεύχθηκε μέσω κλεμμένων credentials. Νωρίτερα και η Forrester Research είχε καταλήξει στο ότι το 80% των παραβιάσεων δεδομένων συνδέονται με κλεμμένα credentials.
To 2010, o John Kindervag δημιούργησε, χάρη στη συνεργασία της Forrester με το National Institute of Standards and Technology, την προσέγγιση ασφαλείας Zero Trust. Η προσέγγιση Zero Trust θεωρείται ως το “αντίδοτο” για την καταπολέμηση των παραβιάσεων των δεδομένων που έχουν ξεκινήσει με κλεμμένα credentials.
Στην ουσία, αυτή η προσέγγιση απαιτεί από τους χρήστες να έχουν «μηδενική εμπιστοσύνη» (όπως λέει και το όνομά της). Δηλαδή να μην εμπιστεύονται κανέναν και να απαιτούν εξουσιοδότηση για οποιοδήποτε άτομο ή συσκευή προσπαθεί να συνδεθεί στο δίκτυο της εταιρείας.
Ωστόσο, κυκλοφορούν κάποιο μύθοι γύρω από την προσέγγιση Zero Trust, οι οποίοι αποτρέπουν πολλές εταιρείες να την υιοθετήσουν:
Μύθος 1: Η προσέγγιση Zero Trust δημιουργεί δυσπιστία μέσα στους οργανισμούς
Στις μέρες μας, όλοι οι εργαζόμενοι μιας εταιρείας (και όχι μόνο το IT προσωπικό) είναι υπεύθυνοι για την ασφάλεια των συστημάτων. Οι απειλές του κυβερνοχώρου είναι πολλές. Επομένως, όλοι πρέπει να είναι σε επιφυλακή και όλοι πρέπει να ελέγχονται.
Ο πρώτος μύθος λέει ότι αυτή η προσέγγιση δημιουργεί δυσπιστία, καθώς δείχνει ότι δεν πρέπει να υπάρχει εμπιστοσύνη στους υπαλλήλους. Αντίθετα, το Zero Trust ενισχύει την εμπιστοσύνη και εμποδίζει τους hackers να εκμεταλλευτούν κενά ασφαλείας, που προκύπτουν από την τυφλή εμπιστοσύνη.
Η προσέγγιση Zero Trust βασίζεται στην ιδέα ότι ολόκληρο το δίκτυο της εταιρείας μπορεί να είναι επικίνδυνο, συμπεριλαμβανομένων των χρηστών του, ανεξάρτητα από το αν είναι εσωτερικοί ή εξωτερικοί χρήστες. Οποιοσδήποτε έχει πρόσβαση στο δίκτυο πρέπει να ελέγχεται.
Χάρη σε αυτό το extra επίπεδο ασφάλειας, οι χρήστες μπορούν να έχουν πρόσβαση και σε πιο σημαντικά τμήματα του δικτύου γιατί όλοι αυτοί οι έλεγχοι ενισχύουν την εμπιστοσύνη και διασφαλίζουν ότι πρόκειται για μια ασφαλή πρόσβαση.
Μύθος 2: Η προσέγγιση Zero Trust εστιάζει μόνο στην τμηματοποίηση του δικτύου
Η προσέγγιση Zero Trust όντως επικεντρώνεται στα δίκτυα, αλλά τα τελευταία χρόνια έχει εξελιχθεί σε μια ολοκληρωμένη λύση ασφαλείας, που λαμβάνει υπόψη της πολλούς παράγοντες.
Τα τελευταία χρόνια το Zero Trust έχει εξελιχθεί σε έναν πρακτικό οδηγό που περιλαμβάνει και πιο σύγχρονες απειλές και στοιχεία και δεν επικεντρώνεται αποκλειστικά στην τμηματοποίηση του δικτύου. Πλέον, ασχολείται με:
- Δίκτυα
- Workloads
- Δεδομένα
- Συσκευές
- Ταυτότητα (Άτομα)
Μύθος 3: Η στρατηγική Zero Trust είναι πλέον λιγότερο ποιοτική
Όπως είπαμε και παραπάνω, η προσέγγιση αυτή έκανε την εμφάνισή της το 2010. Παρόλο που πρόσφερε μια νέα μέθοδο αποτροπής των κυβερνοεπιθέσεων, δεν γνώρισε μεγάλη ανταπόκριση.
Ωστόσο, τον τελευταίο καιρό όλο και περισσότεροι αναλυτές αναγνωρίζουν την αξία της και την προτείνουν μέσα από διάφορα δημοσιεύματά τους.
Πολλές μεγάλες εταιρείες έχουν υιοθετήσει την Zero Trust προσέγγιση και πιστεύουν ότι είναι πολύ βοηθητική.
Μύθος 4: Η προσέγγιση Zero Trust καταστρέφει την εμπειρία του χρήστη
Πολλές εταιρείες φοβούνται ότι η υιοθέτηση αυστηρών μέτρων ελέγχου και ασφάλειας μπορούν να επηρεάσουν αρνητικά την παραγωγικότητα των χρηστών.
Ωστόσο, αυτό δεν ισχύει. Οι στρατηγικές ασφαλείας, που βασίζονται στον έλεγχο ταυτότητας, όπως η Zero Trust, φέρνουν οφέλη στους χρήστες. Σε συνδυασμό και με τη μηχανική εκμάθηση, οι χρήστες μπορούν να αποκτήσουν πρόσβαση στο δίκτυο γρήγορα και με ασφάλεια, δημιουργώντας μια πιο θετική εμπειρία.
Μύθος 5: Η Η προσέγγιση Zero Trust δεν είναι πρακτική
Πολλοί πιστεύουν ότι αυτός ο συνεχής έλεγχος, που απαιτεί το Zero Trust, δεν είναι πρακτικός και ότι μειώνεται η παραγωγικότητα σε έναν οργανισμό.
Στην πραγματικότητα, όμως, δεν παρεμποδίζεται η πρόσβαση, αλλά ενισχύεται. Επιπλέον, γίνεται αξιολόγηση του κινδύνου που θέτει ένας χρήστης, μαζί με τον έλεγχο και την εφαρμογή των καθορισμένων μέτρων ασφαλείας για το το αίτημα που έχει υποβληθεί.
Συμπέρασμα
Η ασφάλεια στον κυβερνοχώρο είναι από τα πιο σημαντικά θέματα που απασχολούν και πρέπει να απασχολούν τους οργανισμούς. Είναι απαραίτητη η υιοθέτηση μέτρων ασφαλείας που θα αποτρέψουν αποτελεσματικά μια πιθανή επίθεση.
Η προσέγγιση Zero Trust είναι μια σύγχρονη προσέγγιση, που εμποδίζει του hackers να παραβιάσουν τα δίκτυα των εταιρειών μέσω κλεμμένων credentials.
