אפס אמון: מה זה אומר?

עולם האבטחה מתפתח כל הזמן ואיתו גם השפה בה משתמשים הטכנאים ותעשיית האבטחה וטכנולוגיות חדשות.

אחד המונחים שנוכחים יותר ויותר בשנה האחרונה הוא "אפס אמון". אבל האם אנחנו בטוחים שאנחנו יודעים מה זה?

כמו שאני תמיד עושה במקרים אלו רצוי להתקדם מההתחלה, כלומר מההגדרה.

כדי להבין מה זה אומר אפס אמון כדאי למצוא פרסום עזר ובמקרה זה הוא NIST 800-207. כפי שהוזכר פעמים רבות, ה-NIST (המכון הלאומי לתקנים וטכנולוגיות של מחלקת המסחר של ארצות הברית של אמריקה) הוא מקור בלתי נדלה של מידע.

פרסום 800-207 במיוחד עוסק במסגרת אפס אמון. 

כרגע זהו תקן הייחוס הן עבור ארגוני ממשל אמריקאיים (חובה ממאי 2021 בעקבות הוראת ביצוע מהנשיא ביידן) והן עבור כל אלה שקשורים בדרך כלשהי למודל העבודה המבוזר והענן. . לפי גרטנר עד 2025 לפחות 60% מהארגונים (ציבוריים ופרטיים) יעסיקו את המסגרת אפס אמון.

עקרונות המפתח של מסגרת 800-207 הם בעצם שלושה:

- אימות מתמשך. כלומר, לעולם אל תסמוך על שום דבר או מישהו;

- הגבלת טווח העניין במקרה של תאונה. ליישם שורה של נהלים ואמצעים טכניים להגבלת הנזק שנגרם כתוצאה מתאונה אפשרית;

- איסוף אוטומטי ורציף של נתוני הקשר והתנהגות כדי להבטיח תגובה מדויקת.

דֶגֶם אפס אמון מתבססת על ההנחה כי האימות החד-פעמי של המשתמש, הרשאותיו והמכשירים והשירותים בהם נעשה שימוש אינו מספיק כדי להבטיח את אבטחתה של מערכת המתפתחת כל הזמן, בה גם טכנולוגיות וסיכונים מתפתחים ללא הרף.

המונח "אפס אמון" הוצג על ידי ג'ון קינדרוואג (אנליסט מחקר פורסטר) במשמעות של לעולם אל תסמוך ותמיד תבדוק!

כמובן, המשמעות היא איסוף נתונים ומידע רב, אשר בעת עיבודם מאפשרים לך לקבל מושג מדויק על מצב המשתמשים (הרשאות, זמנים, מקומות סבירים לחיבור וכו'), מכשירים, שירותים וסיכונים אליו כפוף הארגון שלנו.

כפי שאתם יכולים לנחש, זו עבודה לא קלה, אבל בהתחשב ברמת הסיכון הנוכחית, היא כנראה הכרחית. 

המעבר לארגון "אפס אמון" אינו קל מכיוון שהוא משפיע על הדרך שבה אנשים עובדים ולכן יכול לגרום להתנגדות טבעית לשינוי, וזו הסיבה שהמשימה של CISO הופכת מורכבת עוד יותר לפחות בשלבי הגדרת הפרויקט ועוד. בדרך כלל בשלבי היישום הראשונים.

בשווקים מסוימים, פירוש הדבר עשוי להיות שחברות יצטרכו לצפות גידול בדמי הייעוץ בטווח המיידי.

במבט מעמיק יותר יהיה צורך ליישם את העיקרון אפס אמון גם ברמת פיתוח תוכנה ואינטראקציה בין המרכיבים השונים של תשתית. למעשה, התקפות רבות מבוססות על היעדר או חולשה של כלי אימות ואימות תקינות מתמשך בין המודולים השונים. דֶגֶם אפס אמון הוא מוצא ישימות הן ברמת המיקרו (חומרה, מערכת הפעלה, רכיבי תוכנה...) והן ברמת המאקרו (אינטראקציה בין מערכות, ארגון עסקי...).

באופן כללי, להצלחת תוכנית כזו, תקשורת פנימית והיכולת לתמוך בצרכי המשתמש אך מעל הכל הכשרה פנימית של הצוות חשובה ביותר, הן להעלאת רמת המודעות לסיכוני הסייבר, והן כדי למזער את ההתנגדות לשינוי. 

ה-NIST 800-207 הוא מסגרת ההתייחסות, כפי שאמרנו, אבל כמובן שלחתימות האבטחה העיקריות יש נטייה משלהן למושג "אפס אמון", שמתייחס לרוב למוצרים שלהם. 

זה אומר, כמו תמיד, סיכונים של נעילת ספק, זה יש להעריך אותם בקפידה לפני יישום תוכנית כלשהי, אבל זה תמיד המצב.  

אלסנדרו רוגולו, מאוריציו ד'אמאטו, ג'ורג'יו ג'יאצינטו

_{להעמיק:}

_{- מה זה Zero Trust Security? עקרונות של מודל אפס אמון (crowdstrike.com)}

_{- מה זה אפס אמון? | IBM}

_{- מודל אפס אמון - ארכיטקטורת אבטחה מודרנית | אבטחת מיקרוסופט}

_{- הגדרת אפס אמון בעקבות ההוראה המבצעת לאבטחת סייבר של ממשל ביידן | כוח פוינט}

_{- צו ביצוע על שיפור אבטחת הסייבר של המדינה - הבית הלבן}

_{- אוניברסלי ZTNA הוא היסוד לאסטרטגיית אפס האמון שלך | SecurityWeek.Com}