8 أمور تقوض جهود عدم الثقة
إن الثقة الصفرية ضرورية في عالمنا المتصل للغاية اليوم، ولكن هناك العديد من التحديات التي تواجه الشركات عند تنفيذها، والتي تشمل الأشخاص والعمليات والتكنولوجيا.
إن التكنولوجيا تشكل تحديًا كبيرًا نظرًا لعدم وجود حل واحد لبنية الشبكة الخالية من الثقة (ZTNA). وبدلاً من ذلك، توجد حلول محددة تغطي الركائز الخمس لإطار عمل المعهد الوطني للمعايير والتكنولوجيا في الولايات المتحدة (NIST): تحديد المشكلة والحماية والكشف عنها والاستجابة لها والتعافي منها.
يقول مايك ليبورج، مدير أمن المعلومات في شركة أتمتة الأمان المعززة بالذكاء الاصطناعي: “أعتقد أن الجزء الذي يشعر الناس بالإحباط منه هو أنهم قد يذهبون لشراء منصة هوية جيدة حقًا ثم بعض أدوات EDR الجيدة حقًا، ولكن عندما يصلون إلى الشبكة والنقل، يصبح الأمر معقدًا للغاية”. مسار السباحة“أعتقد أن الشيء الكبير الذي نراه في جميع المجالات هو الضوابط الفنية لتقليل المخاطر التي تجعل [doing one’s job] “أكثر تعقيدًا. في النهاية، يتعلق الأمر بحماية البيانات.”
يجب تحديث العمليات الداخلية لتتماشى مع مبادئ عدم الثقة، ويحتاج الموظفون إلى تدريب مستمر على الأمن السيبراني للحفاظ على النظافة الجيدة في صدارة اهتماماتهم ولأن التكنولوجيا والتهديدات الجديدة تظهر باستمرار. وفي الوقت نفسه، يحتاج فريق الأمن السيبراني إلى البقاء سريعًا وواعيًا.
يقول كيفن كيركوود، مدير أمن المعلومات في شركة “إنتل”: “إذا تمكنت من فهم الفلسفة، يمكنك بناء البنية التحتية. وإذا تمكنت من بناء البنية التحتية، يمكنك تطبيق التكنولوجيا على الحل، ولكن لا يتم التفكير في الأمر بهذه الطريقة دائمًا”. إكسابيام“إن الأمر يتلخص في “سأقوم بتثبيت جدران الحماية”، ولكن هل قمت بتكوينها؟ هل تأكدت من إعداد قوائم التحكم في الوصول؟ هل تأكدت من تحديد المربع وإعطاء قائمة مسموح بها لعناوين IP التي يمكن استخدامها لأشياء من هذا القبيل؟ لا يفهم الناس هذه الفلسفة. يجب عليك التحقق من بيانات الاعتماد عند كل باب — كل تطبيق، في كل مرة تلمس فيها شبكة أو تقفز عبر شبكة VLAN مختلفة على شبكتك.”
وفيما يلي بعض القضايا الأخرى التي يمكن أن تعمل ضد الثقة الصفرية:
1. التركيز بشكل كبير على المحيط
لقد قامت بعض الشركات باستثمارات مذهلة في مجال الأمن السيبراني، ولكن ما يعمل بشكل أفضل قد تطور بالضرورة.
يقول جيريمي تورنر، رئيس قسم الأمن السيبراني والمخاطر في شركة “إيه بي سي”: “من المفترض أن تعمل أجهزة أمن الشبكات التقليدية، مثل جدران الحماية، على تأمين الشبكة، ولكنها بدلاً من ذلك أصبحت السبب الجذري لهجمات الفدية الضخمة أو خروقات البيانات”. المرونةفي مقابلة عبر البريد الإلكتروني، قال أحد المشاركين: “إن نقاط الضعف في هذه التقنيات يمكن استغلالها بسهولة. لذا، فأنت تلعب لعبة هل يمكنك إصلاح المشكلة بسرعة كافية ضد الخصم. إن جزءًا كبيرًا من التحول إلى الثقة الصفرية هو القضاء على سطح الهجوم حتى لا يكون هناك جدار حماية يمكنهم استهدافه”.
2. الديون الفنية
كانت المنظمات في حالة مستمرة من اقتناء أدوات الأمن السيبراني، وذلك لأن ظهور تقنيات وأساليب جديدة يتطلب إضافة المزيد من الأدوات.
يقول ولفجانج جورليش، عضو هيئة التدريس في شركة أبحاث واستشارات الأمن السيبراني المستقلة: “كلما زادت الرؤية لدينا، زادت الضوابط التي لدينا، وأدركنا أن هناك المزيد الذي يتعين علينا القيام به”. أبحاث IANS“إذا نظرت إلى الركائز الأساسية – جهاز الهوية، والتطبيقات، والشبكة، فإن أيًا منها لديه أربعة أو خمسة مالكين في المنظمة، لذا فإن محاولة إقناع الجميع بأننا بحاجة إلى تنسيق وتنفيذ الضوابط يستغرق وقتًا أطول مما كان يعتقد الكثير منا.”
3. عدم كفاية التواصل
يمكن لمسؤولي أمن المعلومات أن يجعلوا أنفسهم غير محبوبين للغاية من خلال تنفيذ الضوابط دون إعداد المستخدمين لها بشكل صحيح. أي شيء يعطل تجربة المستخدم يُنظر إليه عادةً على أنه مصدر إزعاج وعائق أمام إنجاز العمل. يساعد إعدادهم لما هو قادم ولماذا.
يقول كيركوود: “تتواصل معهم في البداية، وتتابع هذا التواصل عندما تنشر التكنولوجيا، ثم تقلب المفتاح وتعمل معهم بمرونة للقيام بذلك، وسيفهم الناس ذلك. ولكن في كثير من الأحيان، لا يتحدث خبراء تكنولوجيا المعلومات والأمن نفس اللغة التي يتحدث بها رجال الأعمال، لذا أقول، “سأضع مصادقة متعددة العوامل بين OLTP وODS — أشياء من هذا القبيل، لا يفهمها الناس”.
4. ممارسات حماية البيانات ضعيفة بشكل غير ضروري
لقد جمعت الشركات كميات هائلة من البيانات، ولكنها لا تفكر فيها دائمًا من وجهة نظر الأمن السيبراني.
“عندما يتعلق الأمر ببناء بنية الثقة الصفرية، يمكن معالجتها من خلال الجمع بين الممارسات القديمة والجديدة. على سبيل المثال، دعونا ننظر إلى مبدأ الوصول الأقل امتيازًا. يمكن تطبيق نفس المفهوم على البيانات – من المهم جمع أقل قدر من المعلومات الضرورية وحذفها عندما لا تكون هناك حاجة إليها،” كما يقول دانا سيمبركوف، كبير مسؤولي المخاطر والخصوصية وأمن المعلومات لدى مزود إدارة البيانات وحوكمة البيانات SaaS افيبوينت في مقابلة عبر البريد الإلكتروني، قال أحد المشاركين: “إن هذه ممارسة جيدة فيما يتعلق بالخصوصية والأمان وتكنولوجيا المعلومات، لأنك يجب أن تدفع مقابل هذا التخزين. إذا كان لديك معلومات زائدة عن الحاجة وغير صالحة للاستخدام، فأنت لا تدفع مقابل هذه البيانات فحسب، بل تخلق أيضًا مخاطر. إذا جمعت معلومات حساسة، فيجب عليك حمايتها. إن ممارسة إدارة دورة حياة البيانات الجيدة تضمن سلامة مساحات العمل التعاونية والمحتوى الخاص بك”.
5. الاعتقاد بأن الثقة الصفرية تتعلق بالتكنولوجيا
الثقة الصفرية هي منهجية ومبدأ للأمن السيبراني. وفقًا لستيف وينترفيلد، مستشار مسؤول أمن المعلومات في شركة السحابة والأمن أكامايعند التفكير في الأمر كطريقة للتنفيذ، يمكن للمرء أن يشير إلى بنية الثقة الصفرية NIST 800-207 حيث ستسرد مهام مثل التحكم في الوصول والتجزئة الدقيقة. عند التفكير في الأمر كمبدأ، يجب على المرء إزالة الثقة وجعل كل الأنشطة مصرحًا بها وموثقة (A&A).
يقول وينترفيلد في مقابلة عبر البريد الإلكتروني: “المثال الكابوسي هو عندما انضممت إلى شركة لأجد أنه بمجرد منحك حق الوصول، كان لديك حق الوصول غير المقيد إلى كل شيء. وهذا يعني أن المخاطر التي يقبلها شخص واحد كانت مشتركة بين الجميع”. “المشكلة هي أن A&A والتجزئة يمكن أن تسبب احتكاكًا وتضيف تعقيدًا وتكون مكلفة عادةً. معظم الشركات لديها أنظمة تحكم في الوصول لموظفيها ولكنها بحاجة إلى تحسين الإدارة القائمة على الدور وضوابط وصول المراجعين الخارجيين / الاستشاريين. المجال التالي الذي يمكنهم تحسينه بسهولة هو نشر MFA المتوافق مع FIDO2. المجال الأخير هو التجزئة، والذي له أيضًا أكبر عائد على تقليل المخاطر. الواقع أن معظم الشبكات سوف تتعرض للخطر لذا فإن الهدف هو الكشف السريع وتقليل التأثير ويمكن القيام بذلك من خلال التجزئة”.
6. تعقيد مجموعة التكنولوجيا
قد يكون تبني الثقة الصفرية أمرًا صعبًا بسبب الأنظمة القديمة وتعقيد التحقق المستمر من الوصول عبر بيئات مختلفة. وفقًا لإيدي أبو نعمة، مالك ومدير العمليات في شركة تقديم خدمات الأمن السيبراني وتكنولوجيا المعلومات المُدارة ريفنت أوتاوا، وتجد المؤسسات صعوبة في التحول من نماذج الأمن التقليدية، التي تركز على الدفاع عن المحيط الخارجي إلى نموذج يتم فيه التدقيق في كل تفاعل. كما أن الافتقار إلى الرؤية في جميع جوانب الشبكة والحاجة إلى أنظمة متقدمة لإدارة الهوية والوصول يزيد من الصعوبة.
يقول أبو نعمة في مقابلة عبر البريد الإلكتروني: “للتغلب على هذه العقبات، يجب على الشركات التركيز على تحديث البنية الأساسية لتكنولوجيا المعلومات لديها، والتي تشمل الاستثمار في أنظمة إدارة الهوية والوصول، وأمان نقاط النهاية، والأدوات التي تقسم الشبكات”. “على نطاق أوسع، تحتاج الصناعة إلى تحسين التقييس وضمان قدرة حلول الأمان المختلفة على العمل معًا بسلاسة في إطار الثقة الصفرية. نصيحتي للنظراء هي الاستفادة من الأتمتة والأدوات التي تعتمد على الذكاء الاصطناعي لتقليل الخطأ البشري ومراجعة وتحديث تدابير الأمان بانتظام لمواكبة التهديدات الجديدة”.
7. قد يؤدي خرق واحد إلى خرق آخر
مع استمرار الخصوم الرقميين في إزعاج الشركات والأفراد في جميع أنحاء العالم، يقع على عاتق المتخصصين في الأمن واجب كقادة في صناعة الأمن لتثقيف الصناعات والقادة والمنظمات الأخرى حول أهمية تأمين المعلومات الحساسة والسرية لحماية أنفسهم من هذه التهديدات، وفقًا لجوردان أفنايم، مدير أمن المعلومات في شركة أمن الهوية والبيانات. عهد.
يقول أفنايم في مقابلة عبر البريد الإلكتروني: “بصفتنا صناعة، نعمل جميعًا معًا لحماية أصولنا وحماية مؤسساتنا ومنع استمرار الحوادث الأمنية. غالبًا ما تُستخدم البيانات المستخرجة من حادث أمني لشركة ما لمهاجمة شركة أخرى”. “إن نشر بنيات الثقة الصفرية لا يساعد فقط في منع الهجوم الأولي وحدث تسرب البيانات، بل يساعد أيضًا في منع الشركات الأخرى من أن تكون أهدافًا وضحايا”.
8. إنهم يفكرون بشكل نقدي
وفقًا لكورتيس أرنولد، نائب الرئيس والرئيس العلمي في شركة كور4سي، وهي شركة مقاولات فيدرالية تتمتع بخبرة في البيانات والعمليات السيبرانية. يتم النظر إلى أجهزة الشبكة بطريقة غير مترابطة، مما يعني أن كل حل للشبكة يتم إدارته كحل فريد بدلاً من التوافق مع بنية أمان متكاملة أكبر مثل الثقة الصفرية. يتناقض هذا النهج التقليدي بشكل حاد مع مبادئ بنية الثقة الصفرية، والتي تؤكد على التحقق المستمر وتفترض أن التهديدات يمكن أن تأتي من داخل الشبكة وخارجها.
يقول أرنولد في مقابلة عبر البريد الإلكتروني: “إن التدريب الأولي وتوحيد معايير أمن أجهزة الشبكة سيساعدان في تحديد الأساس الذي يمكن البناء عليه. وسيكون التعديل الأكثر فائدة لقادة الأمن هو تحويل تفكيرهم من الحاجة إلى تغيير في التكنولوجيا إلى تغيير في أنواع البيانات والنماذج”. “إن ZT يتعلق أكثر بامتلاك عقلية بيانات أكثر من تنفيذ أداة أو تقنية معينة. ستكون عناصر البيانات الأساسية، مثل سجلات المصادقة أو صحة الجهاز، هي نفسها بين الحلول التقنية المختلفة. إن التركيز على التدريب في مجموعات البيانات هذه سيسمح للأفراد بدعم ZT بشكل أفضل عبر بيئات متعددة”.