Τι σημαίνει η μηδενική εμπιστοσύνη για τα συστήματα φυσικής ασφάλειας
Μπορεί ο αναλυτής της Forrester Research, John Kindervag, να έκανε γνωστό τον όρο το 2010, αλλά η μηδενική εμπιστοσύνη στην κυβερνοασφάλεια υπάρχει από τη δεκαετία του 1990. Προχωρώντας γρήγορα στο σήμερα, αντιμέτωπος με τις επίμονες και αυξανόμενες απειλές στον κυβερνοχώρο, ο Πρόεδρος Joe Biden εξέδωσε τον Μάιο του 2021 το εκτελεστικό διάταγμα για τη βελτίωση της κυβερνοασφάλειας του έθνους, μετατοπίζοντας ουσιαστικά τις κυβερνητικές υπηρεσίες των ΗΠΑ προς την κατεύθυνση της μηδενικής εμπιστοσύνης έως το 2027.
Αλλά μπορεί να υπάρχει ακόμη σύγχυση γύρω από το τι σημαίνει ο όρος στον ευρύτερο τομέα της φυσικής ασφάλειας.
Η έννοια της μηδενικής εμπιστοσύνης είναι η μετάβαση από τον έλεγχο πρόσβασης στην περίμετρο με ελεύθερη κίνηση εντός της ασφαλισμένης περιοχής (εμπιστοσύνη μετά από αυθεντικοποιημένη είσοδο) σε μια αρχιτεκτονική συνεχούς παρακολούθησης ανθρώπων και πόρων (δεδομένων στην προκειμένη περίπτωση), με περιορισμένη κίνηση μόνο σε ειδικά εξουσιοδοτημένες περιοχές (ποτέ μην εμπιστεύεσαι, πάντα επαληθεύεις).
Η μηδενική εμπιστοσύνη εξελίσσεται
Καθώς ο κανόνας για την κυβέρνηση αλλάζει, οι οργανισμοί και τα τμήματα αναπτύσσουν σχέδια και στρατηγικές για την επίτευξη του στόχου τα επόμενα χρόνια. Οι περισσότερες περιοχές βασίζονται στο Zero Trust Maturity Model 2.0 του Cybersecurity & Infrastructure Security Agency (CISA) και πηγάζουν από το National Institute of Standards Special Publication 800-207. Διατυπώνει τους πέντε πυλώνες για την επίτευξη της μηδενικής εμπιστοσύνης:
1. Ταυτότητα: Χαρακτηριστικό ή σύνολο χαρακτηριστικών που περιγράφει μοναδικά έναν χρήστη ή μια οντότητα του οργανισμού, συμπεριλαμβανομένων των μη προσωπικών οντοτήτων. Επιβολή της πρόσβασης των χρηστών και των οντοτήτων στους σωστούς πόρους τη σωστή στιγμή για το σωστό σκοπό, χωρίς να χορηγείται υπερβολική πρόσβαση. Ενσωμάτωση λύσεων διαχείρισης ταυτότητας, διαπιστευτηρίων και πρόσβασης, επιβολή ισχυρού ελέγχου ταυτότητας, χορήγηση προσαρμοσμένης εξουσιοδότησης βάσει πλαισίου και αξιολόγηση του κινδύνου ταυτότητας για τους χρήστες και τις οντότητες του οργανισμού.
2. Συσκευές: Οποιοδήποτε περιουσιακό στοιχείο, συμπεριλαμβανομένου του υλικού, του λογισμικού και του υλικολογισμικού του, το οποίο μπορεί να συνδεθεί σε ένα δίκτυο, συμπεριλαμβανομένων διακομιστών, επιτραπέζιων και φορητών υπολογιστών, εκτυπωτών, κινητών τηλεφώνων, συσκευών Internet of Things, εξοπλισμού δικτύωσης και άλλων. Ασφαλίστε όλες τις συσκευές και αποτρέψτε την πρόσβαση μη εξουσιοδοτημένων συσκευών σε πόρους. Η διαχείριση συσκευών περιλαμβάνει τη διατήρηση ενός δυναμικού καταλόγου όλων των περιουσιακών στοιχείων, συμπεριλαμβανομένου του υλικού, του λογισμικού και του υλικολογισμικού τους, μαζί με τις διαμορφώσεις τους και τις σχετικές ευπάθειες, όπως αυτές γίνονται γνωστές.
3. Δίκτυα: Ανοιχτό μέσο επικοινωνίας, συμπεριλαμβανομένων τυπικών καναλιών, όπως τα εσωτερικά δίκτυα του οργανισμού, τα ασύρματα δίκτυα και το Διαδίκτυο, καθώς και άλλων πιθανών καναλιών, όπως τα κυψελοειδή και τα κανάλια επιπέδου εφαρμογής που χρησιμοποιούνται για τη μεταφορά μηνυμάτων. Μετατόπιση από την ασφάλεια που επικεντρώνεται στην περίμετρο και επιτρέπει στις υπηρεσίες να διαχειρίζονται εσωτερικές και εξωτερικές ροές κυκλοφορίας, να απομονώνουν τους κεντρικούς υπολογιστές, να επιβάλλουν κρυπτογράφηση, να τμηματοποιούν τη δραστηριότητα και να ενισχύουν την ορατότητα του δικτύου σε ολόκληρη την επιχείρηση. Εφαρμογή ελέγχων ασφαλείας πιο κοντά στις εφαρμογές, τα δεδομένα και άλλους πόρους και ενίσχυση των παραδοσιακών δικτυοκεντρικών προστασιών για τη βελτίωση της άμυνας σε βάθος.
4. Εφαρμογές και φόρτοι εργασίας: Περιλαμβάνονται τα συστήματα, τα προγράμματα υπολογιστών και οι υπηρεσίες του οργανισμού που εκτελούνται στις εγκαταστάσεις, σε φορητές συσκευές και σε περιβάλλοντα νέφους. Συνεχής αδειοδότηση της πρόσβασης σε εφαρμογές, ενσωματώνοντας αναλύσεις κινδύνου σε πραγματικό χρόνο και παράγοντες όπως η συμπεριφορά ή τα πρότυπα χρήσης.
5. Δεδομένα: Όλα τα δομημένα και μη δομημένα αρχεία και θραύσματα που βρίσκονται ή έχουν βρεθεί σε ομοσπονδιακά συστήματα, συσκευές, δίκτυα, εφαρμογές, βάσεις δεδομένων, υποδομές και αντίγραφα ασφαλείας, συμπεριλαμβανομένων των επιτόπιων και εικονικών περιβαλλόντων, καθώς και τα σχετικά μεταδεδομένα. Σύμφωνα με τις ομοσπονδιακές απαιτήσεις, τα δεδομένα θα πρέπει να προστατεύονται σε συσκευές, εφαρμογές και δίκτυα. Οι οργανισμοί θα πρέπει να καταγράφουν, να κατηγοριοποιούν και να επισημαίνουν τα δεδομένα, να προστατεύουν τα δεδομένα σε κατάσταση ηρεμίας και διαμετακόμισης και να αναπτύσσουν μηχανισμούς για τον εντοπισμό και τη διακοπή της διαρροής δεδομένων.
Υπάρχουν επίσης τρία θεμελιώδη στοιχεία που πρέπει να λάβουν υπόψη τους οι επαγγελματίες κατά την εφαρμογή της στρατηγικής τους, όπως:
1. Ορατότητα και ανάλυση: Η ορατότητα αναφέρεται στα παρατηρήσιμα τεχνουργήματα που προκύπτουν από τα χαρακτηριστικά και τα γεγονότα εντός των επιχειρησιακών περιβαλλόντων. Η εστίαση στην ανάλυση δεδομένων που σχετίζονται με τον κυβερνοχώρο μπορεί να βοηθήσει στην ενημέρωση των αποφάσεων πολιτικής, στη διευκόλυνση των δραστηριοτήτων απόκρισης και στη δημιουργία ενός προφίλ κινδύνου για την ανάπτυξη προληπτικών μέτρων ασφαλείας πριν από την εκδήλωση ενός συμβάντος.
2. Αυτοματοποίηση και ενορχήστρωση: Η Zero Trust χρησιμοποιεί πλήρως αυτοματοποιημένα εργαλεία και ροές εργασίας που υποστηρίζουν τις λειτουργίες απόκρισης ασφαλείας σε όλα τα προϊόντα και τις υπηρεσίες, διατηρώντας παράλληλα την εποπτεία, την ασφάλεια και την αλληλεπίδραση της διαδικασίας ανάπτυξης των εν λόγω λειτουργιών, προϊόντων και υπηρεσιών.
3. Διακυβέρνηση: Η διακυβέρνηση αναφέρεται στον ορισμό και τη συναφή επιβολή των πολιτικών, διαδικασιών και διαδικασιών κυβερνοασφάλειας του οργανισμού, εντός και μεταξύ των πυλώνων, για τη διαχείριση της επιχείρησης ενός οργανισμού και τον μετριασμό των κινδύνων ασφαλείας για την υποστήριξη των αρχών της μηδενικής εμπιστοσύνης και την εκπλήρωση των ομοσπονδιακών απαιτήσεων.
Φτιάχοντας μια καλύτερη λύση
Τα συστήματα φυσικής ασφάλειας ενσωματώνουν ήδη τις αρχές της Μηδενικής Εμπιστοσύνης στο σχεδιασμό και την εφαρμογή τους, ιδίως στα συστήματα ύψιστης ασφάλειας των Υπουργείων Άμυνας και Ενέργειας.
Συστήματα κλειστού βρόχου χωρίς εξωτερικές συνδέσεις- σταθερός σχεδιασμός με δοκιμασμένα εξαρτήματα που συντονίζονται με ένα επικυρωμένο λογισμικό διαχείρισης πληροφοριών φυσικής ασφάλειας (PSIM), το οποίο χρησιμοποιείται από πλήρως ελεγμένους και ειδικά εξουσιοδοτημένους χρήστες. Τα συστήματα αυτά είναι ειδικά κατασκευασμένα “ξύλινα παπούτσια”, τα οποία αποκτώνται με μια χρονοβόρα διαδικασία και λειτουργούν για χρόνια πριν αναβαθμιστούν με πλήρη ανανέωση του συστήματος.
Αν και αποτελεσματικά, τα συστήματα αυτά έχουν σημαντικούς περιορισμούς σε ένα διαρκώς εξελισσόμενο τοπίο απειλών. Είναι ως επί το πλείστον αντιδραστικά, μόνο “plug and play” με τα στοιχεία με τα οποία έχουν αναπτυχθεί και πιστοποιηθεί. Η ενσωμάτωση νέων τεχνολογιών είναι δύσκολη, αφήνοντας συχνά αυτές τις λύσεις χρόνια πίσω από την κατάσταση του κλάδου σε πολλές περιπτώσεις. Ο κλειστός βρόχος αποκλείει τη δυνατότητα εύκολης ανταλλαγής δεδομένων με μεγαλύτερα συγκροτήματα, εγκαταστάσεις ή επιχειρήσεις. Τα δεδομένα είναι ο τομέας όπου μπορεί να κερδηθεί ανταγωνισμός και πλεονέκτημα στις επιχειρήσεις ασφαλείας, στον πόλεμο και στα συστήματα φυσικής ασφάλειας.
