การปรับนโยบายเพื่อตอบสนองความต้องการของผู้ใช้ในกรอบการทำงานที่ไม่ไว้วางใจ

การปรับนโยบายเพื่อตอบสนองความต้องการของผู้ใช้ในกรอบการทำงานที่ไม่ไว้วางใจ

มีการถกเถียงกันมากมายเกี่ยวกับความไม่ไว้วางใจเป็นศูนย์ในช่วงปีที่ผ่านมาหรือมากกว่านั้น ในการพิจารณาคดีของวุฒิสภาเมื่อเร็วๆ นี้ Chris DeRusha หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลาง และ Brandon Wales รักษาการผู้อำนวยการของ Cybersecurity and Infrastructure Security Agency (CISA) ต่างก็กล่าวถึงความจำเป็นในการผลักดันการนำเทคนิคและสถาปัตยกรรมเหล่านี้ไปใช้DeRusha กล่าวว่า OMB เป็นผู้นำหน่วยงานไปสู่กระบวนทัศน์แบบไม่มีความไว้วางใจ 

ซึ่งหมายถึงการตรวจสอบสิทธิ์ตามเวลาจริง การทดสอบผู้ใช้

 การบล็อกกิจกรรมที่น่าสงสัย และป้องกันศัตรูจากการข้ามเครือข่ายที่เราพบเห็นครั้งแล้วครั้งเล่าในการโจมตีครั้งใหญ่วลีสำคัญที่หลายคนมองข้ามคือการทดสอบผู้ใช้พนักงานต้องเป็นศูนย์กลางของความไว้วางใจเป็นศูนย์และพยายามรักษาความปลอดภัยทางไซเบอร์ในวงกว้าง

Bryan Rosensteel สถาปนิกด้านความปลอดภัยทางไซเบอร์สำหรับภาครัฐที่ Duo Security ของ Cisco กล่าวว่าหากเครื่องมือด้านความปลอดภัยทางไซเบอร์ทำให้เทคโนโลยีใช้งานยาก พนักงานจะไม่ใช้มัน และนั่นจะทำให้หน่วยงานและองค์กรต่างๆ มีความเสี่ยงสูงที่จะถูกเจาะระบบ เนื่องจากพวกเขาคิดหาวิธีที่จะหลีกเลี่ยงเครื่องมือทางไซเบอร์

“เราพูดว่า ‘จะเกิดอะไรขึ้นเมื่อคุณกำหนดกลยุทธ์ที่รวบรวมจากแง่มุมของวัฒนธรรม’ องค์กรและพนักงานทุกคนมีส่วนร่วม” Rosensteel กล่าวในการอภิปรายModern Authentication Strategies to Embrace Zero Trustสนับสนุนโดย Duo Security “เราต้องค้นหาระบบที่ดีกว่านี้ เพราะนโยบายของเราสร้างขึ้นจากกรณีการใช้งานที่เฉพาะเจาะจงและเป็นรูปธรรมมาก

 และความยืดหยุ่นนั้นไม่ได้มีอยู่จริง ตอนนี้เรากำลังเห็นการเปลี่ยนแปลงนั้น

 เรากำลังเห็นความยืดหยุ่นมากขึ้น

 ฉันมักจะบอกคนอื่นเสมอว่า ‘เฮ้ ไม่กี่ปีที่ผ่านมาในชุมชนอัตลักษณ์ของรัฐบาลกลางเป็นช่วงที่น่าตื่นเต้นที่สุด’ เราเห็นการเปลี่ยนแปลงต่างๆ มากมายเข้ามา และแนวปฏิบัติที่ดีที่สุดที่เราเคยเรียกร้องจากบนยอดเขามาสักระยะหนึ่ง ไม่เพียงแต่มาจากคำแนะนำจาก NIST เท่านั้น แต่ยังรวมถึงนโยบายด้วย เรากำลังเห็นว่าทุกอย่างดำเนินไปในทิศทางที่ถูกต้อง”

เหตุผลส่วนหนึ่งสำหรับการเคลื่อนไหวนี้คือการแพร่ระบาด แต่ยังรวมถึงความเข้าใจในกรอบการทำงานที่ไม่ไว้วางใจ

Rosensteel กล่าวว่า ความจำเป็นในการตรวจสอบไม่ใช่แค่คนเท่านั้น แต่อุปกรณ์และข้อมูลกำลังขับเคลื่อนการเคลื่อนไหวนี้ไปสู่ความเชื่อถือเป็นศูนย์

“Zero trust จะพิจารณาตัวตนของผู้ใช้ปลายทางจากเอนทิตี และเอนทิตีนั้นแตกต่างจากตัวบุคคล เอนทิตีเป็นมุมมองแบบองค์รวมของตัวตน มันคือส่วนประกอบต่างๆ ทั้งหมดที่เข้าสู่การรับรองความถูกต้อง มันคือตัวตนของฉันจากมุมมองของตัวตนดิจิทัล และเปลี่ยนแปลงตามเวลาและวัน แม้กระทั่งในเวิร์กสเตชัน ซึ่งทั้งหมดนี้สามารถนำเสนอความท้าทายด้านความปลอดภัยที่แตกต่างกันได้” เขากล่าว “ด้วยการเพิ่มขึ้นของการทำงานทางไกล ซึ่งในหลายๆ ด้าน เป็นเพียงการคงอยู่อย่างถาวร มันเปลี่ยนไปตลอดกาล แม้แต่แนวคิดในการออกแล็ปท็อปและโทรศัพท์ให้กับผู้คนก็ยังเป็นปัญหาอยู่ แนวคิดเรื่องอุปกรณ์ที่มีการจัดการเต็มรูปแบบสำหรับปลายทางทั้งหมดของคุณเป็นสิ่งที่คุณไม่สามารถมองข้ามได้อีกต่อไป แต่คุณไม่ควรทำจริงๆ ดังนั้นคุณอาจยังมีอุปกรณ์ที่มีการจัดการ

การรับรองความถูกต้องตามแนวคิดยังเปลี่ยนไปภายใต้ความไว้วางใจเป็นศูนย์

Rosensteel กล่าวว่าหน่วยงานด้านความปลอดภัยและผู้นำด้านเทคโนโลยีต่างตระหนักดีว่าความแข็งแกร่งของเครื่องตรวจสอบความถูกต้องนั้นไม่เท่ากับความแข็งแกร่งของการรับรองความถูกต้อง

credit : ฝากถอนไม่มีขั้นต่ำ