Fortinet zaprezentował dokument Global State of Zero Trust Report zawierający wyniki badania dotyczącego aktualnego stanu wdrażania modelu Zero Trust w przedsiębiorstwach. Ujawniają one, że chociaż większość firm ma wizję dotyczącą zastosowania tego podejścia we własnej infrastrukturze lub wręcz jest w trakcie jego wdrażania, ponad połowa nie jest w stanie przekuć tej wizji na proces implementacji, ponieważ brakuje im podstawowej wiedzy dotyczącej tego zagadnienia. Poniżej znajduje się podsumowanie najważniejszych punktów raportu, a jego pełne opracowanie można przeczytać na blogu.
W raporcie dotyczącym krajobrazu cyberzagrożeń jego autorzy – eksperci z FortiGuard Labs – wykazali wzrost liczby i stopnia wyrafinowania ataków skierowanych przeciwko osobom prywatnym, przedsiębiorstwom oraz krytycznej infrastrukturze. Firmy poszukują rozwiązań chroniących przed tymi nieustannie rozwijanymi zagrożeniami, a model Zero Trust staje się dla nich najważniejszy z wielu powodów. Dodatkowo, masowe przechodzenie na pracę zdalną z dowolnego miejsca wymusiło konieczność położenia szczególnego nacisku na objęcie tym modelem także sieci (Zero Trust Network Access, ZTNA), ponieważ przedsiębiorstwa muszą chronić ważne zasoby przed pracownikami łączącymi się z firmową infrastrukturą za pośrednictwem słabo chronionych sieci domowych.
Niejasności wokół definicji strategii Zero-Trust
Wyniki badania wykazały często występujące nieporozumienia dotyczące zakresu strategii uwzględniającej model Zero Trust. Respondenci wskazali, że znają założenia modelu Zero Trust (77%) i ZTNA (75%), a ponad 80% stwierdziło, że ma już strategię uwzględniającą jeden lub oba te modele, albo jest w trakcie jej opracowywania. Jednak ponad 50% ankietowanych przyznało, że nie jest w stanie wdrożyć kluczowych funkcji składających się na model Zero Trust. Blisko 60% twierdzi, że nie ma możliwości ciągłego uwierzytelniania użytkowników i urządzeń, a 54% ma trudności z monitorowaniem działalności użytkowników po uwierzytelnieniu.
Obecność tak dużej luki jest niepokojąca, ponieważ wymienione przez ankietowanych funkcje, z których implementacją mają problemy, są kluczowymi w kontekście przyjęcia modelu Zero Trust i ich brak stawia pod znakiem zapytania rzeczywistą możliwość ich wdrożenia. Dodatkowym powodem zamieszania jest fakt używania zamiennie terminów „Zero Trust Access” i „Zero Trust Network Access”, których znaczenie jest zbliżone, ale różne.
Priorytety dotyczące wdrażania modelu Zero Trust są zróżnicowane
Najważniejszym priorytetem podczas wdrażania modelu Zero Trust jest „zminimalizowanie skutków naruszenia systemu bezpieczeństwa”, a zaraz za nim „zabezpieczenie zdalnego dostępu” i „zapewnienie ciągłości działania”. „Poprawa komfortu pracy użytkowników” oraz „uzyskanie elastyczności umożliwiającej zapewnienie bezpieczeństwa w dowolnym miejscu” również znalazły się w czołówce.
„Zabezpieczenie wszystkich potencjalnych celów ataku” było najważniejszą korzyścią wymienianą przez respondentów, kolejną zaś „większy komfort pracy użytkowników podczas pracy zdalnej (VPN)”.
Zdecydowana większość respondentów uważa, że rozwiązania ochronne typu Zero Trust powinny być zintegrowane z istniejącą infrastrukturą, działać w środowiskach chmurowych i lokalnych oraz zabezpieczać warstwę aplikacyjną. Jednak ponad 80% ankietowanych stwierdziło, że wdrożenie strategii Zero Trust w całej rozległej sieci jest wyzwaniem. W przypadku firm, które nie mają zaimplementowanej lub wdrażanej strategii, przeszkodą jest brak wykwalifikowanych zasobów, zaś 35% przedsiębiorstw stosuje inne strategie IT w celu rozwiązania problemów związanych z uwierzytelnianiem.
Raport powstał na podstawie globalnego badania, przeprowadzonego wśród decydentów IT. Jego celem jest lepsze zrozumienie, na jakim etapie rozwoju jest implementacja modelu Zero Trust w firmach. Badanie miało na celu lepsze zrozumienie następujących kwestii:
· Jak dobrze rozumiane są pojęcia Zero Trust i ZTNA
· Dostrzegane korzyści i wyzwania związane z wdrażaniem strategii Zero Trust
· Przyjmowanie strategii zerowego zaufania oraz elementy w niej zawarte
Badanie zostało przeprowadzone we wrześniu 2021 roku wśród 472 menedżerów odpowiedzialnych za IT i bezpieczeństwo z 24 różnych krajów, którzy reprezentowali niemal wszystkie branże, w tym sektor publiczny.
„Przejście od stosowania domniemanego zaufania do modelu Zero Trust jest dla przedsiębiorstw kwestią najwyższej wagi w kontekście nieustannie rosnącej liczby rodzajów zagrożeń, popularyzacji modelu pracy z dowolnego miejsca oraz potrzeby bezpiecznego zarządzania aplikacjami w chmurze. Nasze badanie pokazuje, że chociaż większość firm korzysta w jakimś stopniu z modelu Zero Trust, to brakuje im całościowej strategii i z trudem przychodzi im zaimplementowanie kilku podstawowych zasad bezpieczeństwa. Aby jej wdrożenie było skuteczne, konieczne jest zastosowanie siatkowej platformy cyberochronnej, która ułatwi wprowadzenie podstawowych zasad modelu Zero Trust w całej infrastrukturze, w tym na urządzeniach końcowych, w chmurze i w środowisku serwerowym w siedzibie firmy. Konsekwencją jej braku będzie przymus korzystania z fragmentarycznych, niezintegrowanych rozwiązań, które nie zapewniają szerokiej widzialności.” – mówi John Maddison, EVP of Products and CMO, Fortinet