מהי ארכיטקטורת 'אפס אמון'?

ככל שאיומי הסייבר נעשים מתוחכמים ונחושים יותר, מודלי אבטחה מסורתיים הופכים לפחות יעילים. עם זאת, תוכל ליישם גישה חזקה וגמישה לאבטחת סייבר על-ידי פעולה מתוך ההנחה שאין לסמוך על שום גורם כברירת מחדל.

גלה את העקרונות המרכזיים שהופכים את ארכיטקטורת אפס אמון למסגרת חיונית לעסק שלך.

אמת באופן מפורש
אפס אמון מתייחס לכל ניסיון לגשת למשאבים עסקיים כאילו הבקשה מגיעה מרשת פתוחה. במקום לאמת את האישורים פעם אחת בעת הכניסה, אפס אמון מעריך באופן שוטף ומקיף נקודות נתונים—כמו זהות המשתמש, מיקומו והמכשיר שברשותו—בזמן אמת, כדי לזהות סימני אזהרה ולעזור לוודא שרק משתמשים והתקנים מורשים יכולים לגשת לרשת שלך.

שימוש בגישה עם הרשאות מינימליות
אפס אמון מקצה לכל משתמש רק את רמת הגישה המינימלית הנדרשת לביצוע משימותיו. הגבלת הרשאות גישה בצורה זו מסייעת לעסק שלך לצמצם את הנזק שעלול להיגרם מחשבון שנפרץ.

צא מנקודת הנחה שבוצעה הפרה
אפס אמון פועל מתוך ההנחה שפריצות הן בלתי נמנעות. במקום להתמקד רק במניעתן, גישה זו גם צופה מראש מתקפות סייבר על-ידי הנחה שמשתמשים, התקנים ומערכות ברחבי העסק שלך כבר נפרצו.

אפס אמון משנה באופן מהותי את האופן שבו ארגונים ניגשים לאבטחת סייבר, על-ידי כך שכל בקשת גישה נבחנת בקפידה, ללא קשר למקורה, ותוך צמצום סיכונים באופן יזום. גלה את הרכיבים המרכזיים שהופכים את אפס אמון למסגרת חשובה כל כך לעסק שלך.

ניהול זהויות וגישה (IAM)
אפס אמון מאמת תמיד את האותנטיות של משתמשים והתקנים לפני הקצאת גישה למשאבים. המסגרת הזו משתמשת במיוחד באסטרטגיות IAM—כגון אימות רב-גורמי, כניסה יחידה (SSO) ובקרת גישה מבוססת תפקידים—כדי לסייע במניעת פריצות הקשורות לזהויות. יכולות אלו עשויות גם לשפר את חוויית המשתמשים על-ידי פישוט תהליך ההתחברות וצמצום הצורך לזכור סיסמאות רבות.

חלוקת רשת למקטעים
אפס אמון מחלק את הרשת שלך למקטעים קטנים ומבודדים שמגבילים את התנועה הרוחבית של מתקפות סייבר פוטנציאליות. כל מקטע מתפקד כאזור מאובטח שעוזר לעסק שלך להכיל פריצות ולמנוע מאיומים להתפשט לחלקים אחרים בתשתית שלך. אם מתרחשת פרצת נתונים, ניתן לבודד אותה בקלות לאזור מסוים ולהפחית משמעותית את הנזק שייגרם.

הפרדת הרשת למקטעים גם מאפשרת לעסק שלך להחיל מדיניות אבטחה מותאמת אישית על כל אזור ברשת. לדוגמה, ניתן להחיל בקרות קפדניות יותר על מקטעים המכילים נתונים רגישים, בעוד שמקטעים פחות קריטיים יוכלו לפעול תחת מדיניות גמישה יותר. הגמישות הזו מאפשרת לעסק שלך למטב את מצב האבטחה הכולל שלו מבלי לפגוע ביעילות התפעולית.

אבטחת נקודות קצה
ארכיטקטורת אפס אמון מגנה על מכשירי נקודת קצה—כגון מחשבים ניידים, סמארטפונים וטאבלטים—ברחבי העסק שלך כדי למנוע איומי סייבר כמו תוכנות זדוניות מלחדור לרשת שלך. אבטחת נקודות קצה חיונית מכיוון שמכשירים אלה הם לעיתים קרובות יעד ראשוני של מתקפות סייבר שמטרתן לחדור לרשת ולגרום לשיבוש. אפס אמון מספק יכולות מתקדמות לזיהוי ותגובה לאיומים, הצפנה מקצה-לקצה ועדכונים שוטפים למכשירים כדי לשמור על תקינות הפעילות העסקית שלך.

אבטחת נתונים
מסגרות אפס אמון מציעות בקרות גישה חזקות, הצפנה מקצה-לקצה ויכולות להסוואת נתונים, המסייעות במניעת פרצות נתונים וגישה לא מורשית למידע רגיש. באמצעות אמצעים יעילים של אבטחת נתונים, תוכל לעמוד בדרישות רגולציה באופן עקבי ולשמר את אמון הלקוחות. ZTA כולל גם אסטרטגיות מניעת אובדן נתונים (DLP) כדי למנוע דליפה או גניבה של נתוני העסק שלך.

ניהול מידע ואירועים של אבטחה (SIEM)
ZTA משתמש במערכות SIEM כדי לנתח התרעות אבטחה בזמן אמת, כפי שנוצרות על-ידי יישומים עסקיים וחומרת רשת. הדבר מאפשר לעסק שלך לזהות במהירות איומי סייבר פוטנציאליים ולפעול נגדם לפני שיגרמו נזק.

מערכות SIEM בארכיטקטורת אפס אמון מסייעות לך גם להבין טוב יותר את נוף האיומים באמצעות תובנות חשובות על מגמות ודפוסי אבטחה. על-ידי ניתוח נתונים היסטוריים, ארגונים יכולים לזהות בעיות חוזרות ולנקוט צעדים יזומים לטיפול בהן. אימוץ תהליך של שיפור מתמיד חיוני כדי שהעסק שלך יישאר צעד אחד לפני איומי סייבר מתפתחים וישמור על מצב אבטחה כולל חזק.

יכולות בינה מלאכותית
אפס אמון משתמש בבינה מלאכותית לאבטחת סייבר כדי לזהות איומים בדיוק ולפעול נגדם ביעילות. מודלים של בינה מלאכותית מנתחים במהירות כמויות גדולות של נתונים, ומאפשרים לעסק שלך לזהות דפוסים מורכבים וחריגות שעשויות להעיד על פריצה או מתקפה. אפס אמון מספק גם יכולות אוטומציה שמסייעות לצוותי אבטחה לחסוך בזמן ולתעדף איומים מתקדמים. שקול ליישם את ZTA כדי לחדש את מסגרת האבטחה שלך, לקצר את זמני התגובה ולהקדים את איומי הסייבר המתפתחים.

ארכיטקטורת אפס אמון התפתחה לאורך כמה עשורים בתגובה למגבלות של מודלי אבטחה מסורתיים ולתחכום ההולך וגובר של איומי סייבר. בתחילת שנות ה- 2000, קבוצה של מומחי אבטחה—שנקראת Jericho Forum—החלה לקדם את הרעיון של הסרת ההיקף (De-perimeterization), כלומר שימוש בשכבות אבטחה מרובות ללא קשר למיקום. הרעיון של מעבר מעבר לבקרות אבטחה מבוססות היקף הניח את התשתית למודלים של אפס אמון כפי שהם מוכרים כיום.

גלה את אבני הדרך המרכזיות בהתפתחות האבטחה של אפס אמון.
 

• 2010: האנליסט ג'ון קינדרוואג טבע רשמית את המונח 'אפס אמון' במאמר שכתב עבור קבוצת המחקר Forrester, תוך הדגשת הצורך לאמת כל בקשת גישה, ללא קשר למקורה.
• 2017: חברת Gartner מציגה את מסגרת Continuous Adaptive Risk and Trust Assessment‏ (CARTA) - גישת אבטחה שמתמקדת בהערכה והתאמה רציפה של סיכונים.
• 2020: המכון הלאומי לתקנים ולטכנולוגיה (NIST) מפרסם את המסמך Special Publication 800-207, שמגדיר קווים מנחים ומיטב שיטות ליישום ארכיטקטורת אפס אמון.
• 2022: ממשלת ארצות הברית מחייבת את כלל הסוכנויות הפדרליות לאמץ עקרונות של אפס אמון עד 2024, מה שמדגיש את חשיבותה של גישה זו באבטחת סייבר מודרנית.

 

ארכיטקטורת אבטחה מסורתית מאפשרת למשתמשים גישה לרשת הארגונית כולה לאחר שנכנסו למערכת במקום העבודה. אף על פי שגישה זו מגינה על היקף הארגון, היא תלויה במשרד הפיזי ואינה תומכת בעבודה מרחוק או בעבודה היברידית. בנוסף, מסגרות אבטחה מסורתיות חושפות עסקים לסיכון, כי אם מישהו גונב סיסמה, תהיה לו גישה לכל דבר.

במקום להגן רק על ההיקף של הארגון, ארכיטקטורת רשת אפס אמון מגנה על כל הקבצים, ההודעות והנתונים שלך על-ידי אימות שוטף של כל משתמש ומכשיר. ארכיטקטורת אפס אמון מסייעת גם באבטחת גישה מרחוק, מכשירים אישיים ואפליקציות צד שלישי, כדי לאפשר גמישות רבה יותר, לתמוך בעבודה מרחוק ולקדם מודלים עסקיים של הבא את המכשיר שלך (BYOD).

אפס אמון משלב מגוון טכניקות של אימות, ניטור רשת, הצפנה וטכניקות של בקרת גישה כדי לחזק באופן מקיף את מצב האבטחה הכולל שלך.

אימות ומתן הרשאות
כל המשתמשים והמכשירים עוברים אימות והרשאה לפני קבלת גישה למשאבים. גישה לרשת אפס אמון (ZTNA) כוללת לעיתים קרובות אימות רב-גורמי ובקרת גישה מבוססת תפקידים.

ניטור רשת וניתוח נתונים
תעבורת רשת ודפוסי התנהגות של משתמשים מנוטרים באופן רציף כדי לזהות חריגות, פעילות חשודה ואיומים פוטנציאליים.

הצפנה מקצה לקצה
נתונים עסקיים ברחבי הארגון מוגנים, כך שגם אם יירטו את הנתונים, לא ניתן יהיה לקרוא אותם ללא הרשאה.

מנגנוני בקרת גישה
הגישה למשאבים נקבעת על סמך זהות המשתמש והמכשיר, ובנוסף לפי גורמים הקשריים אחרים כמו מיקום והתנהגות.

המעבר למודל אפס אמון עשוי להיות תהליך מאתגר בשל המורכבות של סביבות טכנולוגיות מידע קיימות. לדוגמה, שילוב הטכנולוגיות הקיימות שלך במסגרת אפס אמון חדשה הוא משימה קשה כאשר מערכות מדור קודם אינן תואמות לאמצעי אבטחה מודרניים. שקול להשקיע בפתרונות תואמים או לתכנן יישום הדרגתי כדי להתגבר על אתגרים מסוג זה הקשורים לטכנולוגיות מידע.

פעל לפי שלבים אלה ושיטות עבודה מומלצות כדי לאמץ את ארכיטקטורת אפס אמון לעסק שלך:

1. צור אימות זהויות חזק

התחל באימות הגישה לכל אפליקציה, שירות ומשאב שבהם הארגון משתמש, החל מהרגישים ביותר. תן למנהלי המערכת את הכלים לבצע הערכות סיכונים ולהגיב בזמן אמת אם קיימת זהות עם סימני אזהרה, כמו יותר מדי ניסיונות כניסה שנכשלו.

2. נהל את הגישה למכשירים ולרשתות

ודא שכל נקודות הקצה, בין אם אישיות ובין אם ארגוניות, עומדות בדרישות האבטחה של הארגון שלך. הצפן רשתות ובדוק שכל החיבורים מאובטחים, כולל חיבורים מרוחקים ומקומיים. חלק את הרשתות שלך למקטעים כדי להגביל גישה לא מורשית.

3. שפר את הנראות של האפליקציות

Shadow IT הוא כל יישום או מערכת בלתי מאושרים שהעובדים משתמשים בהם, והם עלולים להכניס איומי סייבר. בדוק אילו אפליקציות הותקנו כדי שתוכל להגדיר הרשאות, לנטר אחריהן לאיתור סימני אזהרה ולוודא שהן עומדות בדרישות.

4. קבע הרשאות נתונים

הקצה רמות סיווג לנתוני הארגון, החל ממסמכים ועד הודעות דואר אלקטרוני. הצפן נתונים רגישים וספק גישה עם הרשאות מינימליות.

5. נטר את התשתית

בצע הערכות, עדכונים והגדרות של כל רכיב תשתית, כמו שרתים ומחשבים וירטואליים, כדי להגביל גישה בלתי מורשית. עקוב אחר מדדים כדי לזהות בקלות אופני פעולה חשודים.

בכל התעשיות, עסקים מיישמים ארכיטקטורת אפס אמון כדי לתת מענה מדויק ויעיל יותר לצורכי האבטחה הייחודיים והמתפתחים שלהם. לדוגמה, הקונצרן הטכנולוגי הרב-לאומי Siemens יישמה ארכיטקטורת אפס אמון כדי לחזק את מצב האבטחה הכולל שלו באמצעות עקרונות של "לעולם אל תסמוך, תמיד אמת". ללא קשר לענף, ארגונים יכולים ליישם ZTA במגוון מקרי שימוש, כגון:
 

• תמיכה בסביבות ענן מרובות.
• תגובה לניסיונות דיוג, גניבת פרטי כניסה או שימוש בתוכנות כופר.
• הצעת גישה מאובטחת ומוגבלת בזמן לעובדים זמניים.
• הגנה על הגישה לאפליקציות של צד שלישי וניטור הגישה.
• תמיכה בעובדים בחזית העסק המשתמשים במגוון מכשירים.
• הקפדה על תאימות לדרישות רגולטוריות.
  
  

עם זאת, אפס אמון יכול גם להעניק לעסק שלך יתרונות מותאמים לפי תחום פעילות, ובכלל זה:
 

• פיננסים. חזק את מצב האבטחה הכולל באמצעות גישה עם הרשאות מינימליות, וכן נטר באופן רציף התנהגות ברשת כדי לזהות במהירות פעילות זדונית ולפעול נגדה.
• שירותי בריאות. הגן על מערכת הרשומות הרפואיות האלקטרוניות שלך באמצעות MFA—וצמצם את הסיכון לפרצות נתונים על-ידי חלוקת הרשת למקטעים.
• המגזר הממשלתי. מנע גישה לא מורשית למידע מסווג על-ידי הצפנת הנתונים שלך והטמעת בקרות גישה מחמירות. 
• קמעונאות. הגן על נתוני לקוחות ואבטח את פלטפורמת המסחר האלקטרוני שלך באמצעות אימות מתמשך ומדיניות מבוססת הקשר.
• חינוך. אבטח מכשירים אישיים, אפליקציות צד שלישי וגישה מרחוק לסביבות הלמידה הדיגיטליות שלך כדי לתמוך בלמידה מרחוק ולשפר את הגמישות.

 

אימוץ גישת אפס אמון בעסק שלך הופך חשוב יותר מיום ליום. ככל שסביבות העבודה הופכות דינמיות יותר ואיומי הסייבר ממשיכים להתפתח, ארגונים חייבים לאמת כל בקשת גישה ולהטמיע בקרות אבטחה מקיפות כדי להבטיח שכל הרשת שלהם מוגנת. פתרונות אפס אמון משתנים מאוד בהיקפם ובמידת מורכבותם—הנה כמה דוגמאות:

משתמשים פרטיים יכולים להפעיל אימות רב-גורמי (MFA) כדי לקבל קוד חד-פעמי לפני גישה לאפליקציה או לאתר. ניתן גם להתחיל להיכנס למערכת בעזרת נתונים ביומטריים כמו טביעת אצבע או קריאת פנים.

בתי ספר וגם קהילות יכולים לוותר על סיסמאות על-ידי שימוש מפתחות, מאחר שסיסמאות קל לאבד. הם גם יכולים לשפר את אבטחת נקודות הקצה כדי לתמוך בעבודה מרחוק ומבית הספר, וכן להפריד את הגישה במקרה שמכשיר כלשהו הולך לאיבוד או נגנב.

ארגונים יכולים לאמץ את ארכיטקטורת אפס אמון על-ידי זיהוי כל נקודות הגישה והטמעת מדיניות לגישה מאובטחת יותר. מכיוון שאפס אמון הוא גישה ארוכת טווח, ארגונים צריכים להתחייב לניטור מתמשך לזיהוי איומים חדשים.

שקול ליישם פתרונות אפס אמון בעסק שלך.