โมเดลความปลอดภัย Zero Trust ไม่ใช่เรื่องใหม่ มีมานานแล้วตั้งแต่ John Kindervag จาก Forrester Research เขียนบทความเรื่อง “No More Chewy Centers:Introducing the Zero Trust Model of Information Security” ในปี 2010
แนวทาง Zero Trust มีศูนย์กลางอยู่ที่ความเชื่อที่ว่าไม่มีผู้ใช้หรือแอปพลิเคชันใดควรได้รับความเชื่อถือโดยเนื้อแท้ แม้แต่ผู้ที่อยู่ภายในขอบเขตเครือข่ายแล้ว
แนวคิดนี้ได้รับการยอมรับจากบริษัทและองค์กรขนาดใหญ่ เช่น Google, Coca-Cola และ NSA เพื่อต่อสู้กับภัยคุกคามที่เพิ่มขึ้นของการโจมตีทางไซเบอร์ อย่างไรก็ตาม ยังมีสิ่งกีดขวางบนถนนที่ขัดขวางการยอมรับกระแสหลัก
ความเชื่อผิดๆ เกี่ยวกับ Zero Trust Security
เมื่อความสนใจขององค์กรในแนวทางโมเดล Zero-Trust เพิ่มขึ้น ความเข้าใจผิดบางประการเกี่ยวกับหลักการพื้นฐานของกรอบงานได้กลายเป็นอุปสรรคในการนำไปใช้ นี่คือตำนานสองสามเรื่องที่คุณไม่ควรเชื่อ
Myth One:Zero Trust สร้างวัฒนธรรมแห่งความไม่ไว้วางใจ
ความเข้าใจผิดที่พบบ่อยเกี่ยวกับ Zero Trust คือการส่งเสริมแนวคิดที่จะไม่ไว้วางใจพนักงานของคุณ แม้ว่าเฟรมเวิร์ก Zero Trust จะกำหนดให้บริษัทต่างๆ พิจารณาผู้ใช้ที่เข้าถึงทรัพยากรเครือข่ายของตนอย่างละเอียดถี่ถ้วน แต่ก็ไม่ควรตีความผิดว่าเป็นข้อมูลส่วนตัว
ความจริงก็คือความไว้วางใจนั้นแสดงถึงช่องโหว่ที่อาจทำให้องค์กรของคุณเสี่ยงต่อการถูกโจมตี อาชญากรไซเบอร์ใช้ประโยชน์จากความไว้วางใจกับบริษัทเป้าหมายโดยเฉพาะ และ Zero Trust เสนอวิธีการบรรเทาปัญหานี้ เทียบเท่ากับการเข้าใช้คีย์การ์ดแทนที่จะให้ทุกคนเข้าไปในอาคาร
ด้วยการใช้หลักการของสิทธิพิเศษน้อยที่สุด (POLP) องค์กรสามารถปรับแต่งนโยบายเกณฑ์ของตนเองได้ เพื่อให้ผู้ใช้ได้รับสิทธิ์เข้าถึงเฉพาะทรัพยากรที่พวกเขาต้องการตามความไว้วางใจที่ได้รับ
ตำนานที่สอง:Zero Trust เป็นผลิตภัณฑ์
Zero Trust เป็นกลยุทธ์หรือกรอบงาน ไม่ใช่ผลิตภัณฑ์ สร้างขึ้นจากแนวคิดที่ไม่ไว้วางใจและยืนยันอยู่เสมอ
ผลิตภัณฑ์ต่างๆ ที่ผู้ขายนำเสนอสามารถช่วยให้บรรลุ Zero Trust; อย่างไรก็ตามไม่ใช่ผลิตภัณฑ์ Zero Trust พวกเขาเป็นเพียงผลิตภัณฑ์ที่ทำงานได้ดีในสภาพแวดล้อม Zero Trust ดังนั้น หากผู้ขายขอให้คุณซื้อผลิตภัณฑ์ Zero Trust นั่นเป็นสัญญาณบ่งชี้ว่าพวกเขาไม่เข้าใจแนวคิดพื้นฐาน
เมื่อรวมเข้ากับสถาปัตยกรรม Zero Trust อย่างเหมาะสม ผลิตภัณฑ์ต่างๆ สามารถลดพื้นผิวการโจมตีได้อย่างมีประสิทธิภาพและมีรัศมีการระเบิดในกรณีที่เกิดการฝ่าฝืน เมื่อนำไปใช้อย่างสมบูรณ์แล้ว โซลูชัน Zero Trust ที่มีการตรวจสอบอย่างต่อเนื่องสามารถขจัดพื้นผิวการโจมตีได้อย่างสมบูรณ์
ตำนานที่สาม:มีเพียงวิธีเดียวในการทำให้ Zero Trust ใช้งานได้
Zero Trust คือชุดของหลักการด้านความปลอดภัยที่เกี่ยวข้องกับการตรวจสอบอย่างต่อเนื่อง หลักการเข้าถึงสิทธิ์น้อยที่สุด และการบรรเทาพื้นผิวการโจมตี
ในช่วงหลายปีที่ผ่านมา มีสองแนวทางในการเริ่มต้นใช้งานโมเดล Zero Trust วิธีแรกเริ่มต้นด้วยการระบุตัวตนและเกี่ยวข้องกับการตรวจสอบสิทธิ์แบบหลายปัจจัย ซึ่งให้ผลลัพธ์ที่รวดเร็ว
วิธีที่สองคือเครือข่ายเป็นศูนย์กลาง และเริ่มต้นด้วยการแบ่งส่วนเครือข่าย แนวคิดนี้เกี่ยวข้องกับการสร้างกลุ่มเครือข่ายเพื่อควบคุมการรับส่งข้อมูลภายในและระหว่างกลุ่มเหล่านั้น ผู้ดูแลระบบเครือข่ายสามารถคงการให้สิทธิ์แยกกันสำหรับแต่ละกลุ่ม ดังนั้นจึงจำกัดการแพร่กระจายของภัยคุกคามด้านข้างในระบบ
Myth Four:Zero Trust ให้บริการเฉพาะองค์กรขนาดใหญ่
Google เป็นหนึ่งในบริษัทแรกๆ ที่ปรับใช้สถาปัตยกรรม Zero Trust เพื่อตอบสนองต่อ Operation Aurora ในปี 2009 นี่เป็นชุดของการโจมตีที่มุ่งเป้าไปที่องค์กรขนาดใหญ่ เช่น Google, Yahoo, Morgan Stanley และ Adobe Systems
เมื่อ Google ใช้โมเดล Zero Trust ทันทีหลังจากการโจมตี ธุรกิจจำนวนมากคิด (และยังคงคิด) ว่าสิ่งนี้ใช้ได้กับองค์กรขนาดใหญ่เท่านั้น แนวคิดนี้จะเป็นจริงได้ก็ต่อเมื่อการโจมตีทางอินเทอร์เน็ตถูกจำกัดอยู่ในองค์กรขนาดใหญ่ ซึ่งไม่เป็นเช่นนั้น ในความเป็นจริง การละเมิดข้อมูลประมาณ 46 เปอร์เซ็นต์ในปี 2564 มุ่งเป้าไปที่ธุรกิจขนาดเล็ก
แม้ว่าสื่อมักจะปกปิดการละเมิดข้อมูลที่ส่งผลกระทบต่อองค์กรขนาดใหญ่ แต่ก็ไม่ต้องสงสัยเลยว่าธุรกิจขนาดเล็กจะต้องได้รับการปกป้องจากการโจมตีทางไซเบอร์ด้วย
ข่าวดีก็คือองค์กรขนาดเล็กไม่จำเป็นต้องหยุดธนาคารเพื่อใช้โมเดล Zero Trust เนื่องจากไม่ใช่ผลิตภัณฑ์ ธุรกิจต่างๆ สามารถแนะนำได้ทีละน้อยโดยจัดสรรการลงทุนรายปีเพียงเล็กน้อยในสถาปัตยกรรม Zero Trust
Myth Five:Zero Trust ขัดขวางประสบการณ์ของผู้ใช้
อุปสรรคประการหนึ่งของการนำ Zero Trust มาใช้คือผลกระทบที่รับรู้ต่อประสบการณ์ของผู้ใช้ เป็นที่เข้าใจได้หากจะสรุปว่าประสิทธิภาพและความคล่องตัวของผู้ใช้จะได้รับผลกระทบเมื่อตรวจสอบตัวตนของผู้ใช้อย่างต่อเนื่อง แต่เมื่อนำไปใช้อย่างเหมาะสม Zero Trust สามารถมอบประสบการณ์ที่เป็นมิตรกับผู้ใช้ได้
องค์กรสามารถประเมินโปรไฟล์ผู้ใช้และรวมการรับรองความถูกต้องตามความเสี่ยงเข้ากับการเรียนรู้ของเครื่องเพื่อระบุความเสี่ยงและตัดสินใจเข้าถึงได้อย่างรวดเร็ว หากมีความเสี่ยงสูง ระบบอาจต้องการขั้นตอนการตรวจสอบสิทธิ์เพิ่มเติมหรือบล็อกการเข้าถึงทั้งหมดเพื่อปกป้องทรัพยากร ในทางตรงกันข้าม มันสามารถขจัดความท้าทายในการตรวจสอบสิทธิ์ได้หากความเสี่ยงต่ำ
แนวทาง Zero Trust ยังช่วยลดความซับซ้อนในด้านการบริหารของสิ่งต่างๆ ผู้รับเหมาและพนักงานจะไม่รับผิดชอบในการรักษาความปลอดภัยอีกต่อไปในกรณีที่พวกเขาหยุดทำธุรกิจกับคุณ ภายใต้โมเดล Zero Trust ที่มีประสิทธิภาพ ระบบจะยุติการเข้าถึงสินทรัพย์หลักทันที ขจัดประตูหลัง
Myth Six:Zero Trust ถูกจำกัดเฉพาะสภาพแวดล้อมภายในองค์กร
ธุรกิจจำนวนมากยังคงมองว่า Zero Trust เป็นแบบจำลองที่สามารถจัดการได้ภายในองค์กรเท่านั้น สิ่งนี้กลายเป็นปัญหาใหญ่เนื่องจากขณะนี้ข้อมูลที่ละเอียดอ่อนอยู่ในสภาพแวดล้อมแบบไฮบริดและคลาวด์ ด้วยการโจมตีทางไซเบอร์และการแฮ็กที่ส่งผลกระทบต่อสถาปัตยกรรมภายในองค์กรที่เพิ่มขึ้น ธุรกิจต่างๆ ต่างย้ายไปยังระบบคลาวด์มากขึ้นเรื่อยๆ
ข่าวดีก็คือ Zero Trust กำลังดำเนินการอย่างรวดเร็ว
การสร้างสถาปัตยกรรม Zero Trust ในระบบคลาวด์ทำให้บริษัทสามารถปกป้องข้อมูลที่ละเอียดอ่อนและลดความเสี่ยงของสินทรัพย์ที่มีช่องโหว่ในเครือข่ายได้
นอกจากนี้ เนื่องจากวัฒนธรรมการทำงานระยะไกลทวีความรุนแรงขึ้น และอาชญากรไซเบอร์ได้พัฒนาวิธีการใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ ธุรกิจที่พึ่งพาโครงสร้างพื้นฐานในองค์กรมีความเสี่ยงจากการหยุดชะงัก
ไม่ไว้วางใจ; ตรวจสอบเสมอ
จากจำนวนการละเมิดข้อมูลที่กำหนดเป้าหมายไปยังองค์กร เห็นได้ชัดว่าแนวทางแบบเก่าในการรักษาความปลอดภัยไม่เพียงพอ ในขณะที่หลายคนเชื่อว่า Zero Trust มีราคาแพงและใช้เวลานาน แต่ก็เป็นยาแก้พิษที่ยอดเยี่ยมสำหรับปัญหาด้านความปลอดภัยในตอนนี้
โมเดล Zero Trust พยายามที่จะลบระบบที่เชื่อถือเพียงเพราะถูกโจมตีบ่อยเกินไปในการโจมตีทางอินเทอร์เน็ต มันทำงานบนหลักการที่ว่าทุกคนและทุกอย่างควรได้รับการตรวจสอบก่อนที่จะเข้าถึงทรัพยากรเครือข่าย นี่เป็นแนวทางที่คุ้มค่าสำหรับบริษัทที่ต้องการลดความเสี่ยงและปรับปรุงมาตรการรักษาความปลอดภัย
