تعمل Zero Trust على تحسين الأمن السيبراني وفقًا لـ 99٪ من الشركات التي تتبناها

نشرت: 2022-08-18

يقول 99٪ ممن أجمعوا على نحو شبه إجماعي ممن تبنوا عدم الثقة إن ذلك أدى إلى تحسين الأمن السيبراني لشركاتهم. إليك ما تحتاج إلى معرفته لبدء رحلة انعدام الثقة في شركتك.

الثقة المعدومة هي استراتيجية أمنية - لكنها أيضًا عقلية. لا يعني ذلك عدم الثقة ، لكنه لا يعني عدم الثقة الضمنية . صافي؟ رقم؟ حسنًا ، دعنا نتعمق فيه.

يكشف استطلاع الثقة المعدومة (Zero Trust) لعام 2022 [*] أن 84٪ من الشركات قررت اعتماد استراتيجيات انعدام الثقة . إذا كانت شركتك مهتمة بتزايد التهديدات الأمنية ، فتابع القراءة للتعرف على فوائد التحول إلى انعدام الثقة ، وكيفية التعامل مع التحديات التي تأتي معها.

ما هو انعدام الثقة ولماذا أسمع عنه باستمرار؟

الثقة المعدومة هي إستراتيجية تسهل تحسين الأمان لعملك من خلال تحديد المستخدمين بشكل صريح ومنحهم المقدار المناسب من الوصول إلى شبكتك.

تحل الثقة المعدومة محل شعار الثقة الضمني المتواضع المتمثل في " الثقة ، ولكن تحقق " بمبدأ لا يرحم " لا تثق أبدًا ، تحقق دائمًا. "إذا كان يبدو ساخرًا ، فيجب أن يكون. يعمل أمان الثقة الصفرية وفقًا لعقلية أن الخرق إما حتمي أو قد حدث بالفعل.

وفقًا لذلك ، يعمل أمان الثقة الصفرية كبديل مباشر لأمن الثقة الضمني ، والذي كان تاريخيًا هو الخيار الافتراضي للبنية التحتية لتكنولوجيا المعلومات. مع الثقة الضمنية ، بمجرد دخول شخص ما داخل محيط الأمان الخاص بك ، فإنك تثق به ضمنيًا دون أي مزيد من التدقيق. أثبتت هذه الإستراتيجية أنها غير مناسبة لبيئة التهديد الحديثة المستهدفة.

إن التحسينات الأمنية لعدم الثقة ، والتي سنناقشها أدناه ، كثيرة ومتنوعة. استراتيجيات الثقة الصفرية موصى بها بالفعل من قبل منظمات مثل CISA [1] و NIST [2] ، ويتم تفويضها الآن للوكالات الفيدرالية بموجب أمر الرئيس بايدن بشأن تحسين الأمن السيبراني للأمة [3] .

ولإظهار المزيد من التحرك الذي يلوح في الأفق نحو انعدام الثقة ، فإن 44٪ من الشركات التي شملها الاستطلاع قد بدأت بالفعل في تنفيذ الثقة الصفرية و 40٪ أخرى تخطط لاعتمادها في وقت ما في المستقبل - 16٪ فقط لم تفكر في ذلك أو لم تتخذ قرارًا ضده. ومن بين أولئك الذين يخططون لاعتماده في المستقبل ، يعتزم 72٪ البدء في تنفيذه خلال العام المقبل.

رسم يوضح مراحل اعتماد أمان الثقة الصفرية.

ولكن على الرغم من التبني الجماعي الحتمي لعدم الثقة ، وجد استطلاعنا أن ما يقرب من نصف محترفي تكنولوجيا المعلومات الذين شملهم الاستطلاع (47٪) يقولون إن قيادة شركاتهم لا تفهم انعدام الثقة بالأمان. ومما زاد الطين بلة ، أن 40٪ من المجيبين يقولون إنهم يواجهون تحديات في الحصول على ميزانية للتكنولوجيا الجديدة اللازمة لتطبيق أمان الثقة الصفري.

وعلى الرغم من أن هذه المشكلات قد تعقد رحلة انعدام الثقة في مؤسستك ، إلا أنه لا يمكنك ببساطة الحفاظ على أمان كافٍ باستخدام استراتيجيات أمان الثقة الضمنية في بيئة التهديد المتصاعدة بسرعة اليوم.

ما الخطأ في نهج الأمان الذي نستخدمه بالفعل (أي الثقة الضمنية)؟

تم تصميم نموذج أمان الثقة الضمني لعصر مضى ولم يعد مناسبًا لتهديدات الأمن السيبراني الحديثة. في الماضي ، عندما كان يتم إنجاز معظم الأعمال داخل شبكة مغلقة مع اتصال ضئيل بالتهديدات الخارجية ، بدا اسم المستخدم وكلمة المرور كافيين ، وكان من السهل افتراض أنه يمكن الوثوق بأي شخص يعمل داخل محيط الأمان الخاص بك.

تقدم سريعًا إلى يومنا هذا ، وترتبط الشركات بالعديد من الأنظمة الأساسية للبرامج كخدمة (SaaS) ، والتي تعتمد على حلول تخزين البيانات المستندة إلى السحابة ، وتستضيف بشكل متزايد العمال عن بُعد في جميع أنحاء العالم. بعبارة أخرى ، اتسعت الحدود الأمنية ونمت أسطح الهجوم.

علاوة على ذلك ، فقد تحولت تهديدات الأمن السيبراني نفسها من الإصابات بالبرامج الضارة السلبية بشكل عام إلى الهجمات الموجهة والمدمرة بشكل متزايد والتي تستهدف شركات أو أفراد معينين ، والتي غالبًا ما تطلقها منظمات إجرامية عالية التنظيم. لهذه الأسباب ، تحتاج الشركات إلى استراتيجيات أمنية تتحقق باستمرار من الهويات وتقلل من تأثير الهجوم المحتمل.

إذن ، هل انعدام الثقة أفضل من الثقة الضمنية؟ أفاد 99٪ ممن أجمعوا تقريبًا بالإجماع ممن بدأوا أو أكملوا تبني الثقة الصفرية أن هذا قد أدى إلى تحسين الأمن السيبراني لشركتهم - ويقول 78٪ منهم إنه أدى إلى تحسين الأمن السيبراني بشكل كبير.

يُظهر الرسم أن 99٪ من الشركات التي تبنت ثقة معدومة تقول إنها حسنت الأمن السيبراني.

ما هي القيمة التجارية لعدم الثقة؟

تم تصميم الثقة المعدومة لزيادة مرونة البنية التحتية لتكنولوجيا المعلومات لديك وتقليل تعطل الأعمال. هذا مهم لأن استطلاع تأثير برامج الفدية (Ransomware Impacts Survey) الذي أجريناه مؤخرًا [**] وجد أن أكبر تأثير منفرد للهجوم هو على الإنتاجية مع أكثر من هجوم واحد من كل أربع هجمات تستمر لمدة تزيد عن 24 ساعة (بما في ذلك 8٪ تستمر لمدة أسبوع أو أكثر). ليس من المستغرب إذن أنه في هجمات برامج الفدية حيث لا يدفع الضحية الفدية ، لا يزال واحد من كل ثلاثة ضحايا (34٪) يتكبد أكثر من 50000 دولار من الخسائر.

تقلل الثقة المعدومة من خطر الهجمات الإلكترونية مثل برامج الفدية ليس فقط من خلال منعها في المقام الأول ولكن أيضًا عن طريق الحد من قدرتها على التحرك في جميع أنحاء شبكتك إذا تعرضت للهجوم. يتم تحقيق ذلك باستخدام استراتيجيات مثل تصنيف البيانات وامتيازات الوصول المقيد وتجزئة الشبكة بحيث لا يعني الوصول إلى جزء من شبكتك الوصول إليها كلها.

توصل بحثنا إلى أن السبب الرئيسي لعدم تبني الثقة هو تعزيز أمان البيانات (72٪) ، تليها الحاجة إلى تحسين إدارة الهوية والوصول (63٪). تتضمن معظم الهجمات الإلكترونية بيانات اعتماد مخترقة أو كلمات مرور مخترقة بينما دفعت قائمة متزايدة من لوائح خصوصية البيانات الشركات إلى تعزيز ممارسات أمان البيانات ، وكلها تتم معالجتها بعدم الثقة.

علاوة على ذلك ، يجب أن تكون بيئة العمل الهجينة الحديثة مرنة بدرجة كافية لدعم العمال عن بُعد مع منع الوصول غير المصرح به. يدعم الوصول إلى شبكة الثقة الصفرية (ZTNA) أمان العمل عن بُعد عن طريق استبدال تقنية الشبكة المعرضة للخطر مثل شبكات VPN.

ما هي تحديات تطبيق عدم الثقة؟

وفقًا لمسح Zero Trust الذي أجريناه ، فإن تقييد الوصول إلى البيانات دون التأثير على سير العمل هو التحدي الأكبر الذي تواجهه الشركات التي نفذت بالفعل ثقة معدومة (49٪) ، يليها عن كثب تطوير سياسات أمان جديدة (47٪) ، واختيار البائعين الذين لا يثقون بهم (46) ٪). دعونا نلقي نظرة على كل من هؤلاء.

يظهر الرسم أن التحديات من انعدام الثقة في التنفيذ.

تقييد الوصول إلى البيانات دون التأثير على سير العمل

عند عدم اعتماد الثقة الصفرية ، يجب على الشركات التأكد من أن الموظفين والمتعاقدين وشركاء الأعمال قادرين على الوصول إلى البيانات التي يحتاجون إليها مع تقييد الوصول إلى البيانات التي لا يحتاجونها.

من المهم أن ندرك أن إزالة الوصول إلى الأنظمة أو البيانات المتوفرة سابقًا قد تسبب الإحباط إذا تم التعامل معها بشكل عشوائي. لهذا السبب يجب أن تكون الثقة المعدومة جزءًا من ثقافة شركتك إذا كان لها أن تكون ناجحة. يجب أن يفهم الموظفون أن انعدام الثقة لا يعني أنهم غير موثوق بهم وأنه يهدف ببساطة إلى تمكين الشركة من النجاح في بيئة التهديد الحديثة.

كيفية التغلب عليها: من الضروري تحديد الأنظمة والأجهزة والمستخدمين الذين يصلون إلى شبكتك. من هناك ، يمكنك تطوير إستراتيجية لتعيين كيفية تدفق البيانات عبر شبكتك والتحرك لتقييد الوصول إلى أولئك الذين يحتاجون إليها مع رفض الوصول إلى أي شخص وكل شيء آخر.

تطوير سياسات أمنية جديدة

تتطلب الثقة المعدومة عادةً تطوير سياسات أكثر شمولاً لإدارة الهوية والوصول جنبًا إلى جنب مع تجزئة الشبكة الدقيقة التي تتكيف مع أعباء العمل المحددة. من المحتمل أن يتم استبدال الضوابط الأمنية الحالية شيئًا فشيئًا ، بسبب التكلفة وفترة الانتقال الضرورية. وفي الوقت نفسه ، غالبًا ما يكون موظفو تكنولوجيا المعلومات مسؤولين عن الحفاظ على المعايير المتداخلة.

كيفية التغلب عليها: إذا لم تكن متأكدًا من أين تبدأ ، فابدأ في حل مشكلة معينة ، مثل تحسين إدارة الهوية ، عن طريق التحول إلى عناصر تحكم جديدة تتحقق باستمرار من المستخدمين بناءً على الدور والسلوك. بعد ذلك ، انتقل إلى مشاريع التجزئة المصغرة التي تربط الهويات بأحمال العمل المناسبة (مثل التطبيقات والحاويات والآلات الافتراضية).

اختيار البائعين الذين لا يثقون بهم

الثقة المعدومة هي كلمة طنانة وقد تمت إضافتها كميزة لمنتجات لا حصر لها من بائعي البرامج. هنا في Capterra ، يتميز الكتالوج الخاص بنا بأكثر من 1000 منتج تدعي ميزات عدم الثقة. وعلى الرغم من أن ذلك قد يكون كذلك ، فمن الواضح أن الثقة المعدومة أصبحت أداة تسويقية بقدر ما أصبحت أداة أمنية ، مما زاد من إرباك معناها وتعقيد عملية الاختيار.

كيفية التغلب عليها: اختيار البرنامج ليس بالمهمة السهلة ، خاصةً عندما يتضمن تغييرًا جذريًا في الاستراتيجيات. استخدم إستراتيجياتنا لاختيار البرنامج المناسب لشركتك من خلال تكتيكاتنا الخمسة لزيادة فرصك في الحصول على تطابق برامج رائع.

الثقة المعدومة هي رحلة وليست وجهة

تعد هجمات برامج الفدية والعاملين عن بُعد وكل شيء مستند إلى السحابة مجرد عدد قليل من الأسباب التي تدفع الشركات إلى البدء في التخطيط لانتقالها النهائي إلى أمان انعدام الثقة. مع ذلك ، من غير المحتمل أن تتمكن معظم الشركات من الانتقال بشكل كامل إلى بنية انعدام الثقة في أي وقت قريب - ولا بأس بذلك. أي وجميع المعالم التي حققتها شركتك في رحلتها نحو انعدام الثقة تجعلها أكثر أمانًا.

هل تريد معرفة المزيد عن الحماية المستقبلية لأمان شركتك؟ اقرأ تقريرنا إن كلمات المرور هي W0r $ T! - لقد حان الوقت لاعتماد المصادقة بدون كلمة مرور

منهجية المسح

* تم إجراء استبيان كابتيرا لعام 2022 Zero Trust في يونيو 2022 بين 235 مشاركًا في الولايات المتحدة لمعرفة المزيد عن اتجاهات تبني الثقة الصفرية. تم تحديد جميع المستجيبين على أنهم إما متخصصون في تكنولوجيا المعلومات أو مديرين تنفيذيين أو مالكي شركاتهم.

** تم إجراء استبيان Capterra لعام 2022 لتأثيرات برامج الفدية في مايو 2022 بين 300 من قادة الأعمال الأمريكية الذين تعرضوا لهجوم برامج الفدية. كان جميع المستجيبين جزءًا من فريق الاستجابة أو كانوا على دراية كاملة باستجابة الشركة.

مصادر

  1. نموذج نضج الثقة الصفرية ، CISA
  2. Zero Trust Architecture ، NIST
  3. الأمر التنفيذي بشأن تحسين الأمن السيبراني للأمة ، البيت الأبيض