نکاتی برای دستیابی به اعتماد صفر
اعتماد صفر از سازمانها میخواهد که کاربرانی که دارای امتیازات و ویژگیهای مناسب هستند را نیز به طور مداوم نظارت و احراز هویت کنند. این امر مستلزم آن است که سازمان کلیه خدمات و حسابهای ممتاز خود را بداند و بتواند کنترلهایی را در مورد چگومگی اتصال آنها انجام دهند. تأیید اعتبار یکبار کافی نیست، زیرا تهدیدها و ویژگیهای کاربر همه در معرض تغییر هستند. اگرچه نیازهای هر سازمان منحصر به فرد است، اما سافت یاب توصیههای زیر را برای توسعه و استقرار مدل Zero Trust ارائه میدهد:
1. سازمان را ارزیابی کنید.
سطح حمله را مشخص کرده و دادههای حساس، داراییها، برنامهها و خدمات (DAAS) را در این چارچوب شناسایی کنید. هر یک از اعتبارنامههای فعال در سازمان خود را شناسایی و ممیزی کنید و حسابهای قدیمی را بیش از 30 روز بدون استفاده حذف کنید و همه امتیازات مربوط به ریسک و تأثیر را مرور کنید. ابزارهای امنیتی فعلی سازمان را ارزیابی کرده و هرگونه شکاف در زیرساختها را شناسایی کنید. اطمینان حاصل کنید که مهمترین داراییها دارای بالاترین سطح حفاظت در معماری امنیتی هستند.
2. یک فهرست از همه داراییها ایجاد کرده و جریان تراکنشها را ترسیم کنید.
تعیین کنید که اطلاعات حساس در کجا هستند و کدام کاربران نیاز به دسترسی به آنها را دارند. نحوه تعامل اجزای مختلف DAAS را در نظر بگیرید و از سازگاری در کنترلهای دسترسی امنیتی بین این منابع اطمینان حاصل کنید. بدانید چند حساب خدمات دارید و کجا باید به آنها متصل شوند. همه پروتکلهای احراز هویت را مرور کرده و چالشهای اتصال را در هر سیستم قدیمی یا ضعیفتر (LDAP ،NTLM) (اغلب سیستم های قدیمی محلی) حذف یا افزایش دهید. لیستی از کلیه خدمات ابری تحریم شده دریافت کرده و دسترسی به خدمات کم خطر را اجباری کنید. حذف حسابهای قدیمی و اعمال تغییر اجباری گذرواژه را در نظر بگیرید.
3. ایجاد انواع اقدامات پیشگیرانه
از انواع اقدامات پیشگیرانه زیر برای جلوگیری از هکرها و جلوگیری از دسترسی آنها در صورت نقض استفاده کنید:
احراز هویت چند عاملی: MFA ،2FA یا احراز هویت عامل سوم برای دستیابی به Zero Trust ضروری هستند. این کنترلها لایه دیگری از تأیید را برای هر کاربر در داخل و خارج از شرکت ارائه میدهد و باید با افزایش ریسک یا ترافیک غیرعادی ایجاد شود.
حداقل اصول امتیاز: هنگامی که سازمان محل زندگی دادههای حساس را تعیین کرد، به کاربران کمترین میزان دسترسی را که برای نقش آنها ضروری است، اعطا کنید. به طور مرتب حسابهای ممتاز را مرور کنید و ارزیابی کنید که آیا این امتیازات بالا هنگام حرکت کاربر از گروهی به گروه دیگر مورد نیاز است یا خیر.
ریز تقسیم بندی: محیطهای خرد به عنوان کنترل مرزی در سیستم، هویت/اعتبار و جلوگیری از هرگونه حرکت جانبی غیرمجاز عمل میکنند. سازمان میتواند بر اساس گروه کاربر، مکان یا برنامههای منطقی گروه بندی شده تقسیم بندی شود.
4. نظارت مداوم بر شبکه
مشخص کنید که فعالیت غیرعادی در کجا اتفاق میافتد و تمام فعالیتهای اطراف را زیر نظر بگیرید. تمام ترافیک و دادهها را بدون وقفه بررسی، تحلیل و ثبت کنید.
جهت افزایش و ذخیره گزارشهای احراز هویت برای ترافیک و فعالیتهای غیرعادی یا مشکوک، یک برنامه عملی واضح برای حساب سرویس و سایر ناهنجاری های مهم منابع منابع داشته باشید.
چالشهای اعتماد صفر
برای درک واقعی Zero Trust در سطح دانه ای، باید چالشهایی را که شرکتها با اجرای چارچوب Zero Trust با آن روبرو هستند درک کنیم. در اینجا چند مثال وجود دارد:
1. برنامههای قدیمی، منابع شبکه قدیمی، پروتکلهای احراز هویت قدیمی، ابزارهای اداری، بخشی از عملیات شبکه و سازمان هستند. به عنوان مثال ، Mainframe ،HR Systems ،Powershell ،PSexec اغلب از معماری Zero Trust حذف میشوند. پروتکل دسکتاپ از راه دور (RDP) در حال استفاده برای کار از کارکنان منزل است ، و DevOps به RPC از VM ها و نمونه های ابری در چندین مکان نیاز دارد. با این حال ، آنها می توانند ابزارهای ضروری برای عملیات باشند. مانند پروتکلهای احراز هویت مانند LDAP و NTLM که میتوانند از ارتقاء استفاده کنند اما برای سیستم های قدیمی لازم هستند. شاید هزینه توسعه به طور مداوم به نفع پروژههای جدید به تعویق افتاده است.
به طور سنتی، اینها با تأیید هویت محافظت نمیشوند و مانعی از نظر هزینه محسوب میشود (معماری مجدد این سیستمها اغلب بسیار گران است). بسیاری از اوقات این سیستمهای قدیمی از رویکرد حذف میشوند، که آنها را ضعیفترین حلقه میکند. در موارد دیگر، تیمهای امنیتی یک تجربه کاربر ناسازگار ایجاد میکنند، یا در صورت امکان (به عنوان مثال PSexec)، استفاده از ابزارها را ممنوع میکند، که باعث کاهش بهره وری کارکنان میشود. ابزارهای دسترسی تطبیقی یا مشروط میتوانند احراز هویت مرحلهای را از طریق MFA یا SSO به سیستمهای قدیمی گسترش دهند و یک تجربه بدون اصطکاک Zero Trust را ارائه دهند که مانع فعالیتهای روزانه و در عین حال نظارت بر آنچه در حال انجام است، شود.
2. قانون هنوز مدل Zero Trust را تصویب نکرده اند، به این معنی که سازمانهای تحت تطبیق ممکن است در گذراندن ممیزی با مشکل مواجه شوند. اگر PCI-DSS نیاز به استفاده از فایروالها و تقسیم بندی دادههای حساس دارد، در صورت عدم وجود فایروال، چگونه ممیزی میکنید؟ آیا چنین اقدامی کل محیط را تحت نظارت قرار میدهد؟ مفاهیم مقررات درباره تقسیم بندی چیست و اعتماد صفر چنین نیست؟ قبل از اینکه بتوانیم به طور کامل از این مدل استفاده کنیم، مقررات باید تغییر کند.
علاوه بر این، معماری Zero Trust را می توان بیشتر با موفقیت (عدم نقض موفقیت آمیز) اندازه گیری کرد که اندازه گیری آن در برابر یافتههای اصلی سختتر است. بنابراین، به بهترین معنا، اعتماد صفر را میتوان با سادگی قطعات ترکیبی آن اندازه گیری کرد، و اینکه چگونه همه آنها از نظر قابلیت همکاری و یکپارچگی با هم خوب بازی میکنند بدون این که بار امنیتی ناخواستهای را بر کاربر نهایی وارد کنند.
3. ممیزیها در مقابل تست نفوذ/مشارکتها: در حالی که گذراندن ممیزیها در ذهن هر CISO است، باید تلاشهای یکسانی در مورد مشارکتهای “تیم قرمز” انجام شود که در آن TTPها و حوادث فعلی در برابر محیط شبیه سازی شدهاند تا ببینند حفرههای امنیتی واقعی در کجا نهفته است. هر دو منبع تغذیه چارچوب ATT & CK و امنیت اطلاعات میتوانند به سازمان ها کمک کنند تا بفهمند گروههای اصلی به صنعت/منافع خود حمله میکنند و کدام اقدامات را میتوان برای به حداقل رساندن مهاجمان احتمالی انجام داد.
4- قابلیت مشاهده و کنترل در شبکه اغلب یکی از عوامل اصلی به چالش کشیدن اجرای شبکه های Zero Trust توسط شرکتها است. اکثر سازمانها دیدگاه جامعی در مورد توانایی تنظیم پروتکلها، حسابهای خدمات، کاربران جداگانه و امتیازات هر یک در شبکه خود ندارند. بنابراین، در برابر تهدیدهای ناشی از دستگاههای وصله نشده، سیستمها قدیمی و بیشتر آسیب پذیر هستند.
در حالی که نمونههای بیشتری وجود دارد، این نکات اصلی این واقعیت را نشان میدهد که تا سازگاریصد در صدی سازمانها با Zero Trust فاصله زیادی داریم وهمچنین میتواند نمایانگر تجدید نظر در زیرساختهای فناوری اطلاعات و همچنین ترکیب امنیت با معماری در تصمیم گیریها و برنامه ریزیها باشد.
منبع: crowdstrike
مقاله فوق را به رایگان دانلود کنید
انتخاب آنتی ویروس مناسب خود با این شماره 09224971053 تماس بگیرید.
مارو در شبکه های اجتماعی خودتان به اشتراک بگذارید.