• Login
  • Προφίλ
  • Συνδρομές
  • Διαφήμιση
    • Περιοδικό
    • NewsLetter
    • Site
  • Newsletter
  • Επικοινωνία
    • Τομέας Σύνταξης
    • Τομέας Διαφήμισης
    • Τομέας Συνδρομών
facebook
linkedin
youtube
  • ΑΡΧΙΚΗ
  • Articles
    • COVER ISSUE
    • ISSUE
    • PRACTICAL
    • REFERENCE
    • LAW
  • IT NEWS
  • SECURITY NEWS
  • BUSINESS IT
  • EVENTS
    • Συνέδρια
  • INTERVIEWS
  • REPORTS
  • ONLINE ΤΕΥΧΗ
    • IT Security Pro
    • Business IT

Τι είναι το μοντέλο ασφαλείας Zero Trust, και γιατί υιοθετείται από ολοένα και περισσότερους οργανισμούς

Posted On 27 Δεκ 2021
Tag: ESET, it issue 72

Η υιοθέτηση του μοντέλου ασφάλειας μηδενικής εμπιστοσύνης (Zero Trust) αρχίζει επιτέλους να αποκτά διαστάσεις.

ESET Hellas
www.eset.com/gr

 

 

 

Το Φεβρουάριο του 2020 – πριν την έξαρση της πανδημίας – έρευνα που πραγματοποιήθηκε από τους Cybersecurity Insiders και την Pulse Secure σε περισσότερους από 400 υπεύθυνους για την ασφάλεια της πληροφορικής αποκάλυψε ότι το 72% των οργανισμών, σχεδίαζαν είτε να αξιολογήσουν είτε να εφαρμόσουν το μοντέλο Zero Trust στη στρατηγική ασφαλείας τους κατά τη διάρκεια του έτους. Στη συνέχεια, το Μάιο του 2021, το Διάταγμα του προέδρου Μπάιντεν για τη Βελτίωση της Εθνικής Πολιτικής Κυβερνοασφάλειας αναγνώρισε την προβληματική κατάσταση του ομοσπονδιακού μοντέλου κυβερνοασφάλειας των ΗΠΑ και την ανάγκη εφαρμογής μιας Αρχιτεκτονικής Μηδενικής Εμπιστοσύνης (Zero Trust Architecture).

Όμως, τι είναι το μοντέλο Zero Trust, τι απαιτείται για την εφαρμογή του και γιατί το ενδιαφέρον γι’ αυτό είναι τόσο αυξημένο;

Τι είναι το Zero Trust

Σύμφωνα με τη Forrester, η οποία καθιέρωσε αυτόν τον όρο το 2010, σε αντίθεση με το παραδοσιακό, περιμετρικό μοντέλο ασφάλειας που βασίζεται στην παραδοχή “εμπιστεύσου αλλά επαλήθευσε”, το Zero Trust λέει ότι οι οργανισμοί δεν πρέπει ποτέ να εμπιστεύονται καμία οντότητα, είτε εσωτερική είτε εξωτερική. Με άλλα λόγια, “ποτέ μην εμπιστεύεσαι, πάντα να επαληθεύεις”. Το μοντέλο Zero Trust χτίζει την ασφάλεια γύρω από κάθε έναν από τους βασικούς πόρους και οντότητες ενός οργανισμού: δεδομένα, δίκτυα, συσκευές, workloads, και ανθρώπους.

Σχήμα 1. Το μοντέλο μηδενικής εμπιστοσύνης δημιουργεί ασφάλεια γύρω από κάθε έναν από τους βασικούς πόρους ενός οργανισμού

Στο παραδοσιακό μοντέλο ασφαλείας, ένας οργανισμός θεωρείται ουσιαστικά ένα κάστρο – που αντιπροσωπεύει το δίκτυο – το οποίο προστατεύεται από μια τάφρο. Σε μια τέτοια ρύθμιση, είναι δύσκολο να αποκτήσει κανείς πρόσβαση στους πόρους ενός οργανισμού από το εξωτερικό του δικτύου. Ταυτόχρονα, όλοι όσοι βρίσκονται μέσα στο δίκτυο θεωρούνται εξ ορισμού έμπιστοι. Το πρόβλημα με αυτή την προσέγγιση, ωστόσο, είναι ότι μόλις ένας επιτιθέμενος αποκτήσει πρόσβαση στο δίκτυο, και με αυτόν τον τρόπο γίνει εξ ορισμού έμπιστος, όλοι οι πόροι του οργανισμού είναι διαθέσιμοι να κατακτηθούν.

Αντίθετα, το μοντέλο μηδενικής εμπιστοσύνης υποθέτει ότι οι επιτιθέμενοι βρίσκονται τόσο μέσα στο δίκτυο όσο και έξω από αυτό. Για το λόγο αυτό, η εμπιστοσύνη δεν μπορεί να δίνεται αδιακρίτως σε χρήστες και συσκευές από προεπιλογή.

Σχήμα 2. Κινούμενο γράφημα που δίνει ένα παράδειγμα του παραδοσιακού μοντέλου ασφάλειας που βασίζεται στην περίμετρο

Σχήμα 3 . Κινούμενο γράφημα που δίνει ένα παράδειγμα του μοντέλου ασφάλειας μηδενικής εμπιστοσύνης

 Τι πρέπει να κάνει ένας οργανισμός για να εφαρμόσει το μοντέλο Zero Trust;

Υπάρχουν τρεις βασικοί τομείς ικανοτήτων που πρέπει να αναπτύξει ένας οργανισμός καθώς εφαρμόζει το μοντέλο μηδενικής εμπιστοσύνης:

  1. Ορατότητα: Πρέπει να προσδιορίσει τις συσκευές και τους πόρους που πρέπει να παρακολουθούνται και να προστατεύονται. Δεν είναι δυνατόν να προστατεύετε έναν πόρο τον οποίο δεν γνωρίζετε. Η δυνατότητα ορατότητας σε όλους τους πόρους και τα σημεία πρόσβασης είναι απαραίτητη.
  2. Πολιτικές: Πρέπει να καθιερώσει ελέγχους που επιτρέπουν μόνο σε συγκεκριμένα άτομα να έχουν πρόσβαση σε συγκεκριμένους πόρους υπό συγκεκριμένες συνθήκες. Με άλλα λόγια, πρέπει να αναπτύξει ένα λεπτομερές επίπεδο ελέγχων πολιτικής.
  3. Αυτοματισμός: Πρέπει να αυτοματοποιήσει τις διαδικασίες για να διασφαλίσει την ορθή εφαρμογή των πολιτικών και να μπορέσει ο οργανισμός να προσαρμοστεί γρήγορα σε τυχόν αποκλίσεις από τις τυποποιημένες διαδικασίες.

Με βάση τις θεμελιώδεις δυνατότητες που περιγράφονται εδώ, μπορούμε να ορίσουμε το Zero Trust ως ένα μοντέλο ασφάλειας που χτίζει άμυνες γύρω από κάθε μία από τις ακόλουθες οντότητες: δεδομένα, δίκτυα, συσκευές, φόρτοι εργασίας και ανθρώπινο δυναμικό.

Πού οφείλεται το ανανεωμένο ενδιαφέρον και η υιοθέτηση του μοντέλου Zero Trust;

Σε ένα περιβάλλον μηδενικής εμπιστοσύνης, όχι μόνο διατηρείτε τον έλεγχο και τη γνώση όλων των δεδομένων σας (συνεχώς), αλλά σε περίπτωση παραβίασης της ασφάλειας, μπορείτε να εντοπίσετε γρήγορα πότε και από πού οι επιτιθέμενοι μπορεί να έχουν κλέψει τα δεδομένα σας, όπως εξηγεί η Forrester.

Λαμβάνοντας υπόψη ότι η έκθεση 2020 Cost of a Data Breach Report της IBM και του Ponemon Institute αποκάλυψε ότι το μέσο κόστος από την παραβίαση δεδομένων παγκοσμίως ανέρχεται στα 3,86 εκατομμύρια δολάρια ΗΠΑ και ο μέσος χρόνος για τον εντοπισμό και τον περιορισμό μιας παραβίασης στις 280 ημέρες, το μοντέλο Zero Trust φαίνεται αν μη τι άλλο ελκυστικό.

Από την άλλη, με τη συνεχή ανάπτυξη του φαινομένου bring your own device (BYOD) και της απομακρυσμένης εργασίας, όλο και περισσότεροι εργαζόμενοι πρέπει να έχουν πρόσβαση στους εσωτερικούς πόρους του οργανισμού τους από παντού και ανά πάσα στιγμή. Αξίζει να τονιστεί ότι κατά την πανδημία παρατηρήθηκε γιγαντιαία αύξηση των προσπαθειών επίθεσης brute-force κατά του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP), γεγονός που καταδεικνύει το μεγάλο ενδιαφέρον των κυβερνοεγκληματιών να εκμεταλλευτούν την τρέχουσα κατάσταση της εφαρμογής της απομακρυσμένης εργασίας.

Ένας άλλος παράγοντας που οδηγεί στη μεγαλύτερη διείσδυση του μοντέλου Zero Trust στην αγορά είναι η ευρεία υιοθέτηση και χρήση υπηρεσιών αποθήκευσης στο cloud. Το cloud συχνά φιλοξενεί τα δεδομένα, τους πόρους, ακόμη και τις κρίσιμες υπηρεσίες των οργανισμών.

Τέλος, άλλοι παράγοντες που έχουν αποδειχθεί μοιραίοι για το μοντέλο ασφάλειας που βασίζεται στην περίμετρο είναι μεταξύ άλλων οι επιθέσεις στην αλυσίδα εφοδιασμού – όπως συνέβη με το NoxPlayer, έναν εξομοιωτή Android που χρησιμοποιούν οι παίκτες για να παίζουν παιχνίδια για κινητά στους υπολογιστές – η ανάθεση υπηρεσιών σε εξωτερικούς συνεργάτες (outsourcing) και βεβαίως, η εν δυνάμει απειλή που προέρχεται από τους ίδιους τους εργαζόμενους.

  • google-share
Previous Story

Ο ρόλος των C-Level στελεχών στην επιτυχή εφαρμογή μοντέλου Zero Trust

Next Story

Trust Issues

Σχετικά Άρθρα

off

Ευαισθητοποίηση και εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας: Τι είναι και πως λειτουργεί καλύτερα;

Posted On 30 Ιούν 2022
off

Shoulder surfing [σόλντερ σέρφιν]: Προσέξτε τους αδιάκριτους που κρυφοκοιτάζουν το τηλέφωνό σας

Posted On 27 Ιούν 2022
off

Νέα προϊόντα από την ESET για τηλεπικοινωνιακούς παρόχους και παρόχους υπηρεσιών διαδικτύου

Posted On 16 Ιούν 2022

ΤΕΛΕΥΤΑΙΟ ΤΕΥΧΟΣ

Περιεχόμενα τεύχους

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

Login

 
 
Forgot Password

Business IT

ΑΡΧΕΙΟ ΠΕΡΙΟΔΙΚΩΝ

Smart Press A.E. | Μάγερ 11, 10438, Αθήνα | Τηλ.: 210 5201500, Fax: 210 5241900
Το itsecuritypro.gr χρησιμοποιεί cookies. Προχωρώντας στο περιεχόμενο, συναινείτε με την αποδοχή τους.Αποδοχή Περισσότερα
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT
Posting....