Zero Trust -tietoturvamalli ei ole uusi. Se on ollut olemassa siitä lähtien, kun John Kindervag Forrester Researchista kirjoitti artikkelinsa "No More Chewy Centers: Introducing the Zero Trust Model of Information Security" vuonna 2010.

Zero Trust -lähestymistapa keskittyy siihen uskomukseen, että yhteenkään käyttäjään tai sovellukseen ei pitäisi luottaa, edes niihin, jotka ovat jo verkon rajojen sisällä.

Suuret yritykset ja organisaatiot, kuten Google, Coca-Cola ja NSA, ovat jo omaksuneet tämän idean torjuakseen kasvavaa kyberhyökkäysten uhkaa. On kuitenkin edelleen olemassa esteitä, jotka estävät sen yleisen käyttöönoton.

Myytit nollaluottamuksesta

Organisaatioiden kiinnostuksen nollaluottamusmallia kohtaan on kasvanut, ja jotkut väärinkäsitykset viitekehyksen perusperiaatteista ovat haitanneet käyttöönottoa. Tässä on muutamia myyttejä, joita sinun ei pitäisi uskoa.

Myytti yksi: Zero Trust luo epäluottamuksen kulttuurin

Yleinen väärinkäsitys Zero Trustista on, että se edistää ajatusta siitä, ettet luota työntekijöihisi. Vaikka Zero Trust -kehys vaatii yrityksiä tarkastelemaan verkkoresursseihinsa pääseviä käyttäjiä, sitä ei pidä tulkita väärin henkilökohtaiseksi.

instagram viewer

Tosiasia on, että luottamus edustaa haavoittuvuutta, joka voi asettaa organisaatiosi hyökkäyksen vaaraan. Kyberrikolliset erityisesti hyödyntävät luottamusta kohdeyrityksiin, ja Zero Trust tarjoaa tavan lieventää tätä. Se vastaa sisäänpääsyä avainkortilla sen sijaan, että jokainen pääsisi sisään rakennukseen.

Tekijä: Vähimmän etuoikeuden periaatetta käyttäen (POLP), organisaatiot voivat mukauttaa kynnyskäytäntöjään niin, että käyttäjille myönnetään pääsy vain tarvitsemiinsa resursseihin ansaitsemansa luottamuksen perusteella.

Myytti kaksi: Nolla luottamusta on tuote

Zero Trust on strategia tai kehys, ei tuote. Se rakentuu ajatuksen ympärille, ettei koskaan luota ja aina varmista.

Myyjien tarjoamat erilaiset tuotteet voivat auttaa saavuttamaan nollaluottamuksen; ne eivät kuitenkaan ole Zero Trust -tuotteita. Ne ovat vain tuotteita, jotka toimivat hyvin Zero Trust -ympäristössä. Joten jos myyjä pyytää sinua ostamaan Zero Trust -tuotteensa, se on merkki siitä, että hän ei ymmärrä taustalla olevaa käsitettä.

Aiheeseen liittyvä: Mikä on nollaluottamusverkko ja kuinka se suojaa tietojasi?

Oikein integroituna Zero Trust -arkkitehtuuriin useat tuotteet voivat minimoida tehokkaasti hyökkäyspinnan ja rajoittaa räjähdyksen säteen rikkoontuessa. Täysin toteutettu Zero Trust -ratkaisu, jossa on jatkuva todentaminen, voi eliminoida hyökkäyspinnan kokonaan.

Myytti kolme: On vain yksi tapa toteuttaa nolla luottamus

Zero Trust on kokoelma tietoturvaperiaatteita, jotka sisältävät jatkuvan todentamisen, pienimmän etuoikeuden periaatteen ja hyökkäyspinnan lieventämisen.

Vuosien varrella on syntynyt kaksi lähestymistapaa Zero Trust -mallin aloittamiseen. Ensimmäinen lähestymistapa alkaa identiteetistä ja sisältää monitekijäisen todennuksen, joka tuottaa nopeita tuloksia.

Aiheeseen liittyvä: Mikä on kaksifaktorinen todennus? Tässä on miksi sinun pitäisi käyttää sitä

Toinen lähestymistapa on verkkokeskeinen ja alkaa verkon segmentoinnilla. Konsepti sisältää verkkosegmenttien luomisen liikenteen ohjaamiseksi segmenttien sisällä ja välillä. Verkkojärjestelmänvalvojat voivat sitten ylläpitää erillistä valtuutusta jokaiselle segmentille, mikä rajoittaa sivuttaisuhkien leviämistä järjestelmässä.

Myytti neljä: Nolla luottamus palvelee vain suuria yrityksiä

Google oli yksi ensimmäisistä yrityksistä, joka otti käyttöön Zero Trust -arkkitehtuurin vastauksena Operation Auroraan vuonna 2009. Tämä oli sarja hyökkäyksiä, jotka kohdistuivat suuriin yrityksiin, kuten Google, Yahoo, Morgan Stanley ja Adobe Systems.

Kun Google otti Zero Trust -mallin käyttöön välittömästi hyökkäysten jälkeen, monet yritykset ajattelivat (ja ajattelevat edelleen), että se koskee vain suuria organisaatioita. Tämä käsitys olisi totta vain, jos kyberhyökkäykset rajoittuisivat suuriin yrityksiin, mikä ei pidä paikkaansa. Todellisuudessa noin 46 prosenttia tietomurroista vuonna 2021 oli suunnattu pienille yrityksille.

Vaikka tiedotusvälineet yleensä käsittelevät suuria yrityksiä koskevia tietomurtoja, ei ole epäilystäkään siitä, että myös pienet yritykset tarvitsevat suojaa kyberhyökkäyksiä vastaan.

Hyvä uutinen on, että pienten organisaatioiden ei tarvitse rikkoa pankkia ottaakseen käyttöön Zero Trust -mallin. Koska se ei ole tuote, yritykset voivat ottaa sen käyttöön asteittain osoittamalla vaatimattoman vuosittaisen investoinnin Zero Trust -arkkitehtuuriin.

Viides myytti: Nolla luottamus haittaa käyttökokemusta

Yksi Zero Trustin käyttöönoton esteistä on havaittu vaikutus käyttökokemukseen. On ymmärrettävää olettaa, että käyttäjien tuottavuus ja ketteryys kärsii, kun käyttäjien henkilöllisyyttä tarkistetaan jatkuvasti. Oikein toteutettuina Zero Trust voi kuitenkin tarjota käyttäjäystävällisen kokemuksen.

Organisaatiot voivat arvioida käyttäjäprofiileja ja yhdistää riskiperusteisen todennuksen koneoppimiseen tunnistaakseen riskit ja tehdäkseen nopeita pääsypäätöksiä. Jos riski on suuri, järjestelmä voi vaatia lisätodennusvaiheen tai estää pääsyn kokonaan resurssien turvaamiseksi. Päinvastoin, se voi poistaa todennushaasteet, jos riski on pieni.

Zero Trust -lähestymistapa vähentää myös asioiden hallinnollisen puolen monimutkaisuutta. Urakoitsijat ja työntekijät eivät ole enää turvallisuusvastuussa, jos he lopettavat liiketoimintansa kanssasi. Tehokkaan Zero Trust -mallin mukaisesti järjestelmä katkaisee välittömästi heidän pääsynsä avainomaisuuteen ja eliminoi takaovet.

Kuudes myytti: Zero Trust on rajoitettu on-Prem-ympäristöön

Monet yritykset pitävät Zero Trustia edelleen mallina, jota voidaan hallita vain paikan päällä. Tästä tulee suuri ongelma, koska arkaluontoiset tiedot sijaitsevat nyt hybridi- ja pilviympäristöissä. Kyberhyökkäykset ja hakkerit, jotka vaikuttavat on-prem-arkkitehtuuriin, lisääntyvät, ja yhä useammat yritykset siirtyvät pilveen.

Hyvä uutinen on, että Zero Trust siirtyy nopeasti sen mukana.

Aiheeseen liittyvä: Suosituimmat pilviturvallisuustietomurrot viime vuosina

Luomalla Zero Trust -arkkitehtuurin pilveen yritykset voivat suojata arkaluonteisia tietoja ja vähentää haavoittuvien omaisuuserien altistumista verkossaan.

Lisäksi kun etätyökulttuuri voimistuu ja kyberrikolliset kehittävät uusia tapoja hyödyntää haavoittuvuuksia, paikalliseen infrastruktuuriin luottavat yritykset voivat vaurioitua.

Älä koskaan luota; Tarkista aina

Organisaatioihin kohdistuvien tietomurtojen lukumäärän perusteella on selvää, että vanhan koulun lähestymistapa tietoturvaan ei riitä. Vaikka monet uskovat, että Zero Trust on kallis ja aikaa vievä, se on loistava vastalääke tämän hetken tietoturvaongelmille.

Zero Trust -malli pyrkii poistamaan luottamuspohjaiset järjestelmät yksinkertaisesti siksi, että sitä hyödynnetään liian usein kyberhyökkäyksissä. Se toimii periaatteella, että kaikki ja kaikki tulee tarkistaa ennen pääsyä verkkoresursseihin. Tämä on arvokas harrastus yrityksille, jotka haluavat vähentää riskejä ja parantaa turva-asentoaan.

Kuinka Zero-Trust Security voi estää Ransomware-hyökkäykset?

Perinteinen suojausmalli on osoittautunut tehottomaksi lunnasohjelmia vastaan. Opi, miksi nolla luottamus on paras tapa voittaa kyberhyökkäykset.

Lue Seuraava

JaaTweetSähköposti
Liittyvät aiheet
  • Turvallisuus
  • Verkkoturvallisuus
  • Kyberturvallisuus
  • Tietosuoja verkossa
  • Business Technology
Kirjailijasta
Fawad Ali (25 artikkelia julkaistu)

Fawad on IT- ja viestintäinsinööri, yrittäjäksi pyrkivä ja kirjailija. Hän tuli sisällön kirjoittamisen areenalle vuonna 2017 ja on työskennellyt kahden digitaalisen markkinointitoimiston ja lukuisten B2B- ja B2C-asiakkaiden kanssa siitä lähtien. Hän kirjoittaa MUO: n turvallisuudesta ja tekniikasta tavoitteenaan kouluttaa, viihdyttää ja sitouttaa yleisöä.

Lisää Fawad Alilta

tilaa uutiskirjeemme

Liity uutiskirjeemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja eksklusiivisia tarjouksia!

Klikkaa tästä tilataksesi