אם ברצונך לצמצם באופן משמעותי את משטח ההתקפה ואת סיכוני פריצת המידע עבור הארגון שלך, ארכיטקטורת אמון אפס עשויה להיות התשובה. גישה זו הופכת לעדיפות עבור ארגונים גלובליים וענקיות טכנולוגיה כמו Microsoft השואפות להפחית את סיכוני אבטחת הסייבר בסביבות ה-IT שלהם. אין זה פלא אם כך של-10% מהארגונים הגדולים תהיה תוכנית אפס אמון מקיפה ובוגרת עד 2026, על פי התחזיות של גרטנר.
במאמר זה אנו חושפים את המרכיבים העיקריים של ארכיטקטורת רשת אפס אמון ומקרי השימוש המעשיים שלה. אתה תגלה את היתרונות והחסרונות העיקריים של גישת אבטחת סייבר זו ותלמד את הדרכים היעילות ביותר ליישם אותה.
אפס אמון (Zero Trust) בקצרה
לא ניתן לסמוך על אף אחד כברירת מחדל.
הוצג לראשונה על ידי בוגר פורסטר ג'ון קינדרוואג בשנת 2009, גישת האפס אמון מתמקדת ברעיון שאמון הוא פגיעות ועליך "לעולם לא לסמוך, תמיד לאמת"</em >. אפס אמון מניח שעליך להתייחס לכל המשתמשים כאל "לא מהימנים" כברירת מחדל ורק הענק גישה לנכסים היקרים שלך למשתמשים מאומתים ומאומתים – ורק במידה הדרושה לביצוע המשימות הספציפיות שלהם.
"אפס אמון הוא פרדיגמת אבטחה המזהה במפורש משתמשים ומכשירים ומעניקה להם בדיוק את הכמות הנכונה של גישה, כך שהעסק יוכל לפעול במינימום חיכוך תוך צמצום הסיכונים."
אפס אמון נועד לעצור הן התקפות חיצוניות והן איומים פנימיים, ובכך להגביל את הנזק הפוטנציאלי לארגון שלך.
כיצד עובד אפס אמון?
אפס אמון היא גישה ארכיטקטונית המחייבת את כל המשתמשים, בין אם בתוך הרשת של הארגון שלך או מחוצה לה, להיות מאומתים ומורשים. אתה יכול לעקוב אחר גישה זו על ידי יישום עקרון המינימום הזכויות, מיקרו-פילוח, ניטור פעילות משתמשים ועוד כמה טכנולוגיות ועקרונות נוספים.
מרכז אבטחת הסייבר הלאומי, לדוגמה, מציע את העקרונות הבאים להקמת ארכיטקטורת אמון אפס:
- הכר את הארכיטקטורה שלך, כולל משתמשים, מכשירים, שירותים ונתונים
- הערכת התנהגות המשתמש, תקינות המכשירים והשירותים
- השתמש במדיניות כדי לאשר בקשות
- אמת ואשר בכל מקום
- עקוב אחר משתמשים, מכשירים ושירותים
- לעולם אל תבטח בשום רשת, כולל שלך
- בחר שירותים ותוכנה המיועדים לאפס אמון.
יישום אפס אמון דורש גישה מקיפה, ולהלן, אנו מציעים את השיטות המומלצות לבניית מודל אפס אמון חזק.
מהי ארכיטקטורת אמון אפס?
יישום מודל אפס אמון: קח את זה צעד אחד בכל פעם.
ב-פרסום מיוחד (SP) 800- 207, המכון הלאומי לתקנים וטכנולוגיה (NIST); מתאר את התחומים שבהם יש להתמקד בעת בניית ארכיטקטורת אמון אפס (ZTA) ואת העקרונות שעליהם לבסס ארכיטקטורה כזו.
"ארכיטקטורת אמון אפס (ZTA) משתמשת בעקרונות אמון אפס כדי לתכנן תשתית וזרימות עבודה תעשייתיות וארגוניות."
NIST מציע לארגונים לבנות ארכיטקטורת אמון על שבעה עמודים:
על פי NIST, הארגון שלך יכול להקים ZTA ב מספר דרכים:
- על ידי התמקדות בהרשאות גישה למשתמש ואימות זהות מבוסס הקשר
- על ידי פיצול הרשת למקטעים נפרדים המוגנים במדיניות וכללי גישה שונים
- על ידי שימוש בגישות היקפיות המוגדרות בתוכנה
רכיבי ארכיטקטורת אפס אמון הבאים מהווים את הליבה שלו:
- מנוע מדיניות מעניק, מבטל או דוחה גישה של משתמש מסוים למשאבים ארגוניים מתבקשים
- נקודת אכיפת מדיניות (PEP) מאפשרת, מפסיקה ומנטרת חיבורים בין משתמש למשאבים של ארגון
- מנהל מדיניות שולח פקודות ל-PEP על סמך ההחלטה של מנוע המדיניות לאפשר או לדחות חיבור של משתמש למשאב מבוקש
רכיבים אלה אינם צריכים להיות מערכות נפרדות וייחודיות. בהתאם לצרכיו, ארגון עשוי לבחור לפרוס נכס אחד האחראי לביצוע המשימות של כל שלושת המרכיבים. לחלופין, ארגון יכול לשלב מספר כלים ומערכות כדי ליישם רכיב אחד.
דוגמה נוספת לארכיטקטורת אמון אפס מסופקת על ידי Microsoft. זה מבוסס על העקרונות הבאים:
- אימות ואבטחת זהויות עם אימות רב-גורמי (MFA) בכל מקום
- ניהול מכשירים ואימות תקינותם
- הקמת יכולות ביקורת, ניטור וטלמטריה חזקות וסטנדרטיות
- אכיפת גישת הגישה הפחות מועדפת.
שני המודלים הללו מבוססים על עקרונות הליבה של ארכיטקטורת אפס אמון: אימות זהות חזק לפני מתן גישה, הבטחת גישה מועדפת למשאבים הנדרשים וניטור מתמשך.
בניית ארכיטקטורת אמון אפס: עמודי ליבה
זה הכל על שבעה עקרונות.
כל ארגון שמאמץ ארכיטקטורת אמון אפס צריך לקבוע איזו גישה מתאימה ביותר לסביבה הייחודית שלו. עליך לאזן את פרופילי הסיכון שלך עם שיטות גישה ולהגדיר את היקף ההטמעה של אפס אמון בסביבה שלך. להגנה הטובה ביותר, NIST ב-פרסום מיוחד (SP) 800-207 [PDF] ממליץ לבנות מודל ארכיטקטורת אפס בוגר הנשען על שבעת עמודי התווך הללו:
1. משאבים – התייחס לכל הנתונים, שירותי המחשוב וההתקנים שלך כמשאבים שיש להגן עליהם. אם משתמשי רשת יכולים לגשת למשאבים של הארגון שלך ממכשירים אישיים, יש להתייחס למכשירים אלה כאל משאבים ארגוניים.
2. תקשורת – התייחסו לכל תקשורת, הן בתוך הרשת והן מחוצה לה, באותה מידה והגן עליה בשיטה המאובטחת ביותר שקיימת.
3. גישה לכל הפעלה – צור כל חיבור למשאבים הקריטיים שלך על בסיס של כל הפעלה בלבד.
4. מדיניות דינמית – הענק גישה למשאבים שלך בהתאם לכללי המדיניות שלך ולעקרון המינימום הדינמי. מדיניות כזו תקבע את המשאבים, המשתמשים והרשאות הגישה של הארגון שלך עבור משתמשים אלה.
5. ניטור — עקוב אחר כל המשאבים הארגוניים וכל הפעולות הננקטות איתם כדי להבטיח הגנה נאותה על נתונים ואבטחה.
6. אימות והרשאה – אכוף אימות והרשאה דינמיים לפני הענקת גישה לכל אחד ממשאבי החברה שלך.
7. שיפור מתמיד — אסוף מידע על המצב הנוכחי של נכסי הרשת, התשתית והחיבורים שלך כדי לשפר את עמדת האבטחה של הרשת.
שים לב שאינך צריך בהכרח ליישם את כל העקרונות הללו בבת אחת. אתה יכול להגביל את המאמצים שלך ליישום מספר עקרונות המתאימים ביותר לצרכים שלך.
"ZT אינו ארכיטקטורה אחת אלא קבוצה של עקרונות מנחים לזרימת עבודה, עיצוב מערכת ותפעול שניתן להשתמש בהם כדי לשפר את עמדת האבטחה של כל סיווג או רמת רגישות."
יתר על כן, גישת אפס אמון לאבטחת סייבר אינה דורשת החלפה מלאה של ארכיטקטורת רשת מבוססת היקפית מסורתית. במקום זאת, הוא מציע להגדיל את הרשת הקיימת על ידי הוספת מקטעי רשת מאובטחים בשערים, שיפור מדיניות וכללי גישה ושיפור אמצעי ניטור פעילות המשתמשים.
גם אם אתה מיישם רק חלק מהעקרונות הללו, אתה יכול לשפר את האבטחה שלך במידה משמעותית.
שימוש במקרים של אפס אמון
חקור יישומים מהחיים האמיתיים של אפס אמון.
ארגונים יכולים להפיק תועלת מאפס אמון בדרכים שונות בהתאם לצרכים שלהם. להלן הדוגמאות הנפוצות והיעילות ביותר כיצד אפס אמון יכול לחזק את עמדת האבטחה שלך.
צמצם את הסיכון לפרצות מידע
לפי מחקר של Forrester Consulting, אסטרטגיית אפס אמון יכולה לעזור לך להפחית את הסיכוי לפריצת מידע ב-50 %. על ידי הטמעת אמון אפס, אתה מקבל את ההזדמנות לבדוק כל בקשת גישה, לאמת כל משתמש ומכשיר ולהעריך את כל ההרשאות לפני הענקת גישה. מודל אפס האמון יכול גם לעזור לך לעצור מתוקפים חיצוניים שמצליחים להיכנס לרשת שלך מלהתעמק בתוכה וגם למנוע ממקורבים זדוניים הסלמה של הרשאות.
ה-2022 Cost of a Data Breach Report מאת IBM Security [PDF] חושף שארגונים עם ארכיטקטורת אמון אפס משלמים כמעט $1 מיליון פחות מאלה ללא אסטרטגיות אמון.
חסוך באבטחת סייבר
אימוץ אמון אפס יכול לשנות את כל הגישה שלך לאבטחה ולהפחית את עלויות התחזוקה. דוחות מיקרוסופט הפניות ל-Help Desk שלהם ירד ב-50% והזמן הממוצע לפתרון חקירה ירד ב-15% לעומת תקופה של שלוש שנים לאחר אימוץ אפס אמון.
אפס אמון מבטל את הצורך במערכות מדור קודם, ובכך אוטומציה של תהליכי אבטחת סייבר וחיסכון בעלויות בכל הארגון.
תמוך בציות לתקנות
אפס אמון עוזר לך לשמור ולהפגין תאימות עם PCI DSS , HIPAA, ISO 27001, ודרישות רגולטוריות, חוקים ותקנים אחרים. מאחר שמודל אפס האמון כולל נראות של בקשות גישה למשאבים הארגוניים שלך, הוא יכול לתרום לציות לרגולציה על ידי שיפור הגנת הנתונים, הפרטיות ומצב האבטחה הכולל.
נהל סיכונים של צד שלישי
גישה של ספקים לרשת הארגונית שלך מציגה את הסיכון להתקפות שרשרת האספקה. עם אבטחת אמון אפס במקום, אתה יכול להגביל את הגישה של צד שלישי למינימום הדרוש לביצוע תפקידם. לפיכך, אתה מפחית את הסיכון הפוטנציאלי להתקפת שרשרת אספקה ופעילות זדונית הנגרמת על ידי קבלני משנה.
עבודה מרחוק מאובטחת
מודלים של עבודה מרחוק והיברידית מהווים סיכוני אבטחת סייבר מוגברים לארגון שלך. מכיוון שעובדים מרוחקים עשויים להיות חסרים אותה הגנה כמו משתמשים מקומיים העובדים על מכשירי החברה, הם יכולים לפתוח את הדלת להדבקות תוכנות זדוניות או התקפות השתלטות על חשבון. אפס אמון ממזער את הסיכונים של פגיעה באישורים ותוכנות זדוניות.
שפר את אבטחת הענן
למרות שהעברת נתונים ויישומים לענן טומנת בחובה יתרונות רבים, היא גם מציגה סיכוני אבטחת סייבר נוספים. אחד האתגרים העיקריים הוא ניהול גישה בתוך סביבות ענן. על ידי אכיפת אפס אמון, אתה יכול לשפר ולתקן מדיניות ניהול גישה לענן.
הכיל אירועי אבטחה
מכיוון שאפס אמון מסתמך על חלוקת הרשת שלך למקטעים קטנים יותר ומבודדים (מיקרו-פילוח), אתה יכול למנוע תנועה לרוחב ולהגביל נזק פוטנציאלי במקרה של פריצה. 2022 עלות של דוח פריצת נתונים מאת IBM Security [PDF] חושף שארגונים שמיישמים אמון אפס ממזערים את העלות של פרצת נתונים ב-20%.
גלה את העוצמה של Ekran System!
בדוק כיצד Ekran System יכולה לעזור לך ליישם אפס אמון.
יתרונות וחסרונות של יישום אמון אפס
שקול את היתרונות והמגבלות הללו לפני בניית ארכיטקטורת אמון אפס.
כמו בכל גישה מבטיחה, לאפס אמון יש יתרונות וחסרונות. בואו נסתכל מקרוב על היתרונות והאתגרים העיקריים שעליכם לקחת בחשבון לפני המעבר לארכיטקטורת אבטחה אפס אמון.
יתרונות וחסרונות של ארכיטקטורה אפס אמון
יתרונות
- חשיפה מוגברת של גישה למשאבים
- ירידה במשטח ההתקפה< /span>
- ניטור משופר span>
חסרונות
-
- אתגרי תצורה</ span>
- איומים מבפנים
span>
- תלות במדיניות נקודת החלטה
היתרונות העיקריים של גישת אפס אמון כוללים:
- נראות מוגברת של גישה למשאבים — גישת האבטחה של אפס אמון מחייבת אותך לקבוע ולסווג את כל משאבי הרשת. זה מאפשר לארגונים לראות טוב יותר מי ניגש לאילו משאבים מאילו סיבות ולקבוע אילו אמצעים ליישם כדי לאבטח משאבים.
- ירידה במשטח ההתקפה – על ידי העברת המיקוד לאבטחת משאבים בודדים, ארגונים האוכפים ע}רונות אפס אמון מתמודדים עם סיכונים מופחתים של התקפות האקרים המכוונות למתחם הרשת.
- ניטור משופר – יישום אסטרטגיית אבטחה אפס משויכת לפריסת פתרון לניטור ורישום רציפים של מצבי נכסים ופעילות משתמש, כמו תוכנת keylogger. זה מאפשר לארגונים לזהות טוב יותר איומים פוטנציאליים ולהגיב אליהם באופן מיידי.
עם זאת, איננו יכולים להתעלם מכמה מהחסרונות של אפס אמון:
- אתגרי תצורה — מכיוון שלא ניתן להקים את ZTA עם פתרון אחד, ארגונים עשויים להיאבק בהגדרה נכונה של הכלים שהם כבר משתמשים בהם. לדוגמה, לא כל היישומים מספקים אמצעים לפריסת העיקרון של הרשאות הקטנות ביותר, שהוא הליבה ש פילוסופיית אפס האמון.
- איומים מבפנים — בעוד ש-ZTA משפרת משמעותית את ההגנה מפני התקפות חיצוניות, היא אינה חסינה לחלוטין מפני התקפות פנימיות. אם תוקף משיג אישורים לגיטימיים של משתמש או שמקורב זדוני מנצל לרעה את ההרשאות שלו, המשאבים הקריטיים של הארגון עלולים להיות בסכנת פשרה. עם זאת, ניתן לטפל בבעיה זו באופן חלקי באמצעות רק- גישה בזמן לניהול PAM, אימות רב-גורמי (MFA), אישור ידני של בקשות גישה וניטור פעילות המשתמש.
- תלות בנקודת ההחלטה על מדיניות — ZTA מסתמכת מאוד על מנועי מדיניות ומנהלי מערכת. ללא אישורם, לא ניתן ליצור קשר למשאבים ארגוניים. כתוצאה מכך, הביצועים של הרשת כולה יהיו תלויים בתצורה ובתחזוקה הנכונים של שני הרכיבים הללו.
עם זאת, היישום של ZTA יכול לשפר משמעותית את עמדת אבטחת הסייבר שלך. החדשות הטובות הן שאתה יכול לבנות ארכיטקטורת אמון אפס שלב אחר שלב, ו-Ekran System יכול לעזור לך עם זה.
יישום עקרונות אמון אפס עם Ekran System
תוכנה ייעודית היא המפתח.
פלטפורמת Ekran System מפשטת את היישום של עקרונות הליבה אפס אמון תוך שהיא עוזרת לך לזהות ולהפחית איומים פנימיים ביעילות.
Ekran System מספקת פונקציונליות איתנה לאימוץ מודל אבטחה אפס אמון:
- ניהול זהויות עוזר לך לאמת משתמשים ברשת שלך< strong>. אימות דו-גורמי מאפשר לך לאשר משתמשים ולבצע בטוח שהאנשים שניגשים לנכסים הקריטיים שלך הם אכן מי שהם טוענים שהם, ואילו אימות משני מאפשר לך לזהות משתמשים בחשבונות משותפים ומובנים.
- ניהול גישה פרטנית מאפשר לך להעניק הרשאות גישה מבוססות תפקידים, יצירת סיסמאות חד פעמיות עבור זכויות גישה זמניות ואישור גישה באופן ידני לפי בקשה.
- ניטור פעילות המשתמש ופונקציונליות הרישום מאפשרים לך לראות בבירור מי עושה מה עם הנתונים הרגישים והמערכות הקריטיות שלך. אתה יכול לצפות בהפעלות משתמשים בזמן אמת או לסקור את הפעלות המוקלטות.
Ekran System היא פתרון חוצה פלטפורמות שניתן לפרוס בכל מיני סביבות, ממערכות מקומיות והיברידיות ועד לענן. הודות לכך, אתה יכול לקבל נראות מלאה על כל הנכסים הקריטיים שלך.
מסקנה
בניית ארכיטקטורת אמון היא הכרח עבור ארגונים השואפים להשיג הגנה מקסימלית על סביבת ה-IT שלהם. החדשות הטובות הן שאינך צריך ליישם את כל עקרונות אפס האמון בבת אחת. אתה יכול לנקוט בצעדים קטנים לקראת הטמעת ארכיטקטורת אפס אמון: הגדירו וסווגו את כל המשאבים הרגישים של הארגון שלכם, פרסו מנגנוני אימות משתמשים חזקים והענקו למשתמשים רק את ההרשאות הדרושים להם כדי לבצע את תפקידיהם.
Ekran System יכולה לסייע לך במסע אפס האמון שלך. עם כלי אימות חזקים, יכולות ניהול גישה עשירות ופונקציונליות ניטור בזמן אמת, זה עוזר לבנות ארכיטקטורת אמון מקיפה ולמנוע איומים פנימיים.
רוצה לנסות את Ekran
System? בקש גישה
להדגמה המקוונת!
ראה מדוע לקוחות מ-70+ מדינות השתמש כבר במערכת Ekran.
גש לפורטל ההדגמה
</a שתף:
