لقد برزت بنية الثقة المعدومة باعتبارها طريقة الأمان الرائدة للمؤسسات بجميع أنواعها وأحجامها. تعمل سياسة انعدام الثقة على تحويل الدفاعات السيبرانية بعيدًا عن المحيط الثابت القائم على الشبكة للتركيز بشكل مباشر على حماية المستخدمين والأصول والموارد.
إن تجزئة الشبكة وأساليب المصادقة القوية تمنح مستخدمي الثقة المعدومة قوة قوية الطبقة 7 منع التهديد. ولهذا السبب فإن عدداً متزايداً من الشركات من جميع الأنواع والأحجام تتبنى هذا النهج. ولسوء الحظ، يواصل العديد من القادة الأمنيين نشر مبدأ الثقة المعدومة بشكل غير صحيح، مما يضعف قوته ويفتح الباب أمام جميع أنواع الجهات الفاعلة السيئة.
لمنع الأخطاء التي ترتكبها العديد من المؤسسات عند التخطيط للانتقال إلى أمان الثقة المعدومة، إليك نظرة على ستة مفاهيم خاطئة شائعة تحتاج إلى تجنبها.
الخطأ الأول: يمكن لمورد أمني واحد توفير كل شيء
لا يستطيع بائع واحد توفير كل ما تحتاجه مؤسستك لتنفيذ استراتيجية بنية الثقة المعدومة، كما يحذر تيم مورو، المدير الفني للوعي الظرفي في قسم CERT بمعهد هندسة البرمجيات بجامعة كارنيجي ميلون.
يقول مورو في مقابلة عبر البريد الإلكتروني: “من الخطير قبول المواد التسويقية ومعلومات المنتج الخاصة ببائعي بنية الثقة المعدومة دون النظر فيما إذا كانت ستلبي احتياجات الأولوية الأمنية لمؤسستك وقدرتها على تنفيذ البنية وصيانتها”.
الخطأ الثاني: تطبيق مبدأ الثقة المعدومة مكلف للغاية
بصرف النظر عن التكاليف التي يتم توفيرها عن طريق تقليل مخاطر الاختراق، يمكن أن تساعد الثقة المعدومة في توفير النفقات طويلة المدى من خلال تحسين استخدام الأصول والفعالية التشغيلية وتقليل تكاليف الامتثال، كما يقول ديمبل أهلواليا، نائب الرئيس والشريك الإداري للاستشارات الأمنية وتكامل الأنظمة. في IBM عبر البريد الإلكتروني.
الخطأ الثالث: الاستهانة بالتحديات التقنية
غالبًا ما يتجاهل قادة تكنولوجيا المعلومات والأمن الحاجة إلى تنفيذ وإدارة الممارسات الأمنية الأساسية قبل إنشاء بنية الثقة المعدومة، كما يقول كريج زيجلر، أحد كبار مديري الاستجابة للحوادث في شركة Crowe للمحاسبة واستشارات الأعمال، في مقابلة عبر الإنترنت. وقد يفشلون أيضًا في تحديد الثغرات المحتملة، مثل المشكلات المتعلقة بالبائعين، والتأكد من أن الحل المختار لا يتوافق فقط مع احتياجاتهم المحددة ولكنه مزود أيضًا بالضوابط المناسبة لتوفير أمان متساوٍ أو أكبر. “في جوهر الأمر، بدون أن يكون لدى قادة الأمن فهم شامل لفريقهم ونقاط النهاية الخاصة بهم، يصبح تنفيذ الثقة المعدومة مهمة شاقة.”
الخطأ الرابع: الفشل في مواءمة استراتيجية بنية الثقة المعدومة مع أصول المؤسسة واحتياجاتها بشكل عام
تتزايد الهجمات السيبرانية من حيث العدد والشدة. ويقول مورو: “يجب الحفاظ على اليقظة المستمرة فيما يتعلق بالعمليات الأمنية للمنظمة…”. يجب أن تتناغم بنية الثقة المعدومة بشكل كامل مع العمليات والأهداف التجارية.
ينصح مورو بفهم الأصول الحالية لمؤسستك – البيانات والتطبيقات والبنية التحتية وسير العمل – وإعداد إجراء لتحديث هذه المعلومات بشكل دوري. “التحديثات السنوية لأصول مؤسستك لن تكون كافية بالتأكيد.”
ويقول مورو إن المؤسسات تحتاج أيضًا إلى أن تتذكر أن أعمالها وسمعتها على المحك كل يوم. “إن عدم بذل قصارى جهدك لتقليل المخاطر التي تتعرض لها مؤسستك للتهديدات السيبرانية يمكن أن يكون مكلفًا للغاية.”
الخطأ الخامس: النظر إلى انعدام الثقة كحل وليس كاستراتيجية مستمرة
من الضروري أن يفهم قادة الأمن أن انعدام الثقة ليس هدفًا ثابتًا، ولكنه استراتيجية ديناميكية ومتطورة، كما يقول ريكي سيمبسون، مدير الحلول في Quorum Cyber، أحد شركاء Microsoft للأمن السيبراني. ويشير عبر البريد الإلكتروني إلى أن “بناء ثقافة تعطي الأولوية للأمن على كل المستويات، بدءًا من القيادة التنفيذية وحتى الموظفين الأفراد، يعد أمرًا بالغ الأهمية لنجاح مبادرات الثقة المعدومة”.
يشعر سيمبسون أن التعليم المستمر والتقييمات المنتظمة والاستعداد للتكيف مع التهديدات والتقنيات الجديدة هي مكونات أساسية ضمن إطار الثقة المعدومة المستدام. “من خلال تعزيز التعاون والحفاظ على موقف يقظ، يمكن لقادة الأمن حماية مؤسساتهم بشكل أفضل في بيئة رقمية متزايدة التعقيد والعدائية.”
الخطأ السادس: الاعتقاد بأن تطبيق مبدأ الثقة المعدومة هو ببساطة مشروع يتم تنفيذه مرة واحدة
الثقة المعدومة هي في الواقع نهج شامل واستراتيجي للأمن يتطلب تقييمات مستمرة للثقة والتهديدات. يقول شين أودونيل، نائب رئيس ممارسة الأمن السيبراني في شركة Centric Consulting: “إنه ليس حلاً سريعًا ولكنه تحول طويل المدى في الإستراتيجية”.
يشير أودونيل في مقابلة عبر البريد الإلكتروني إلى أن التقليل من أهمية تطبيق مبدأ الثقة المعدومة يشكل خطرين رئيسيين. أولاً، يمكن للجداول الزمنية والتوقعات غير الواقعية أن تعرقل تخطيط المشاريع، وتستنفد الميزانيات، وتستنزف الموارد. ثانيًا، قد يؤدي التنفيذ المتسرع أو المعيب إلى إنشاء ثغرات أمنية جديدة، مما يؤدي إلى إحباط الغرض الأساسي من بنية الثقة المعدومة.
يقول أودونيل إن هذا المفهوم الخاطئ يمكن معالجته من خلال التعليم والفهم المستمر. ويقول: “من الضروري أن يدرك قادة الأمن أن الانتقال إلى بنية الثقة المعدومة يعني تغييرات تكنولوجية وتنظيمية كبيرة”. “يجب التعامل مع هذه الإستراتيجية على أنها التزام مستمر يستمر إلى ما بعد مرحلة الإعداد الأولية.”
