Zero to ciekawa liczba. Jest odporna na dzielenie i bywa często źródłem błędów obliczeniowych. Jakakolwiek bowiem próba określenia wyniku operacji 0/0 zawsze wywołuje sprzeczność z którymś z praw arytmetyki.
Mnie osobiście zero kojarzy się z bezpieczeństwem. I nie dlatego, że ma ono okrągły i zamknięty kształt. W cybersecurity zero automatycznie łączy się z zaufaniem. A zero zaufania, czyli polityka Zero Trust, jest aktualnie jednym z najskuteczniejszych podejść do budowania strategii bezpieczeństwa w firmach i organizacjach.
W Barracuda intensywnie pracujemy nad zwiększeniem świadomości na temat Zero Trust. Edukujemy, że w realiach, kiedy naruszenia bezpieczeństwa przynoszą coraz większe straty finansowe i wizerunkowe, niezbędna jest natychmiastowa zmiana podejścia do bezpieczeństwa IT. Przekonujemy, że nie wrócą już czasy, kiedy można było polegać na rozwiązaniach tymczasowych. Tłumaczymy, że przyszła pora, by prowizoryczne poprawki bezpieczeństwa zostały zastąpione trwałymi, skalowalnymi metodami ochrony.
Co to oznacza w praktyce i jak zacząć wdrażanie polityki Zero Trust w firmie?
Myślę, że warto zacząć od VPN-ów, bo to właśnie kwestia odpowiedniego zabezpieczenia dostępu zdalnego z ich pomocą wciąż pozostaje dla działów IT wyzwaniem. Źle zabezpieczony i skonfigurowany może działać zarówno, jako drzwi wejściowe, jak i tylne do krytycznych danych i aplikacji. W takiej sytuacji organizacja staje się łatwym celem dla hakerów.
W czasach powszechnej pracy zdalnej potrzebujemy rozwiązań, które dają bezpieczny i uprzywilejowany dostęp do sieci korporacyjnej wielu zdalnym użytkownikom. Takich, które podchodzą do tematu całościowo i nie ignorują żadnych grup w łańcuchu zabezpieczeń. Celem intruzów bowiem stają się nie tylko tzw. łakome kąski, czyli administratorzy IT posiadający często niemal nieograniczony dostęp do zasobów. Przestępcy wiedzą doskonale, że najłatwiej kradnie się dane uwierzytelniające osób nietechnicznych lub pracowników zdalnych, które mają słabe mechanizmy kontrolne lub nie mają ich wcale.
Nie ufaj i sprawdzaj wszystko
Odpowiedzią na te problemy jest polityka Zero Trust, która zakłada ciągłą weryfikację tego, kto, skąd, kiedy, do czego i dlaczego posiada dostęp. Aby dobrze to wytłumaczyć, lubię wykorzystywać analogię lotniska, bo prawie każdy może sobie taką sytuację łatwo wyobrazić.
Kiedy pasażer przychodzi do stanowiska odprawy, potwierdza swoją tożsamość za pomocą paszportu. Można uznać, że jest to zaliczenie pierwszego etapu podróży. Jednak, aby mógł wejść na pokład samolotu, musi mieć jeszcze kartę pokładową oraz za każdym razem musi przejść szczegółową kontrolę bezpieczeństwa. Bez tych elementów nie będzie mógł kontynuować podróży.
Jednak aby w ogóle ją zacząć, trzeba się dobrze do niej przygotować.
Zawsze więc zachęcam, by każda firma przed “podróżą do Zero Trust” zadała sobie trzy kluczowe pytania.
1. Co chcę chronić? Tutaj należy pomyśleć o ważnych dla organizacji danych, krytycznych aplikacjach i usługach, aktywach, urządzeniach i własności intelektualnej.
2. Kto, w jakim stopniu i na jak długi okres potrzebuje pozwolenia na dostęp do wyżej wymienionych elementów?
3. Co trzeba zrobić, żeby na każdym etapie mieć pewność, że użytkownicy, urządzenia i wszelkie działania w sieci są prawdziwe i stale monitorowane?
Później liczą się już tylko dobre wybory wpływające na łatwość i szybkość wdrożenia. To one pozwolą wejść organizacji na nowy poziom stałej – podlegającej weryfikacji i monitoringowi kontroli dostępu do wszystkich firmowych zasobów. Ja zachęcam do sprawdzenia darmowej wersji próbnej Barracuda CloudGen Access, która jest według mnie dobrym początkiem do wdrożenia polityki Zero Trust.