מודל פופולרי לצמצום סיכוני סייבר מתחזק ומאומץ על ידי ארגונים בכל העולם בשל הנחיצות בעולם, בו יש יותר גמישות לעובדים ובמקביל מתקפות כופר שרק משתכללות
הקורונה שהגיעה לחיינו גרמה לארגונים לעבור למודל עבודה מרחוק. ארגונים שבמשך שנים עומלים על טרנספורמציה דיגיטלית, נאלצו להקדיש משאבים מרובים לקידום ויישום המעבר לעבודה מלאה מהבית ממש בן לילה.
בחלק משמעותי מהארגונים החלו להגביר את השימוש בטכנולוגיות דיגיטליות כדי לתמוך בפרקטיקות עבודה גמישות יותר. למרות שענקיות טכנולוגיה כמו טוויטר ופייסבוק הגיעו לכותרות העיתונים בעקבות הבטחתם לאפשר לחלק מהעובדים לעבוד מהבית לתמיד, המציאות היא שרוב המעסיקים מעדיפים להיות מעט יותר מתונים ולנהל מודל שהוא משולב עבודה מהבית ומהמשרד.
יותר מ-60% מהעסקים מתכננים לתמוך במרחב עבודה היברידי, בו העובדים יעבדו מהבית בחלק מסוים של השבוע אך יעבדו במשרד בזמן הנותר. האפשרות הזו עם התועלות הרבות שלה, מביאה איתה גם לא מעט סיכוני סייבר חדשים.
מודל ה-Zero Trust תוכנן בדיוק למצב הזה. המודל, שכבר עכשיו מוגדר כחובה בסוכנויות הפדרליות של ממשלת ארה"ב בעקבות צו נשיאותי חדש מציע דרך לצמצם את סיכוני הסייבר בעולם של ענן היברידי, עבודה גמישה ועברייני רשת שלא מפסיקים לנסות ולתקוף, והדרך הזו הופכת לפופולרית יותר ויותר עם הזמן.
מה זה מודל Zero-trust?
לפי Forrester, שטבעו את המונח הזה עוד ב-2010, בניגוד למודל האבטחה המסורתי, שמתבסס על הנחת היסוד של לסמוך אבל תמיד לבדוק (Trust but verify) במודל Zero Trust הגישה היא שארגונים לעולם לא צריכים לבטוח באף ישות, בין אם פנימית או חיצונית. במילים אחרות, 'לעולם אל תסמוך, תמיד תוודא'. (never trust, always verify)
במודל Zero Trust הגישה היא לייצר אבטחה מקיפה סביב כל אחד מהמשאבים והישויות המרכזיות של ארגון: נתונים, רשתות, מכשירים ועוד כמו בתמונה הבאה
במודל האבטחה המסורתי, הארגון צריך להיות מוגן כמו מבצר עם תעלה חפורה מסביבו המייצגת את רשת הארגון. במערך כזה, קשה לקבל גישה למשאבים של ארגון מחוץ לרשת. יחד עם זאת, כל מי שנמצא בתוך הרשת נחשב לאמין כברירת מחדל. הבעיה בגישה זו היא שברגע שתוקף מקבל גישה לרשת, ובכך הופך לאמין כברירת מחדל, כל המשאבים של הארגון בסיכון עצום.
אתגרי ההגנה על מרחב העבודה ההיברידי
מנהלי אבטחת המידע של ימינו עומדים בלחץ אדיר כשהם עושים כמיטב יכולתם כדי להגן על מידע רגיש מפני גניבה ועל מערכות קריטיות לארגון מפני אירועי אבטחה. למרות הוצאות האבטחה הגדלות, מספר מקרי הדלפת הנתונים רק הולך וגדל. העלות הממוצעת של תקרית הדלפת נתונים עומדת בימים אלה על 3.9 מיליון דולר, ובמרבית המקרים הארגונים מגלים את המתקפה ומכילים אותה רק לאחר מאות ימים.
המגמה ההולכת וגדלה של עבודה מהבית ושל עבודה היברידית נותנת לתוקפים הזדמנויות לתקיפה.
• הסביבה הביתית גורמת לעובדים להיות פחות דרוכים וערניים. ייתכן ודעתם של העובדים מהבית מוסחת לעיתים יותר קרובות,
כך שהסיכוי שילחצו על קישורי פישינג גדל משמעותית
• בחלק מהמקרים העובדים מהבית משתמשים במחשבים אישיים, מכשירים ניידים, רשתות ומכשירי בית חכם שאינם
מאובטחים בצורה מספקת.
• רשתות VPN פגיעות ותוכנות לא מעודכנות אחרות מופעלות על המערכות הביתיות.
• נקודות RDP שלא הוגדרו כהלכה, שאותן ניתן לפרוץ בקלות או שכבר נפרצו בעבר בשל סיסמאות קלות לפריצה. חברת
ESET מדווחת על עלייה של 140% במתקפות RDP ברבעון השלישי של שנת 2020
• שירותי ענן עם כלי בקרת גישה חלשים (סיסמאות חלשות והיעדר אימות רב-שלבי)
מדוע לבחור ב-Zero Trust?
מודל האבטחה המסורתי תוכנן עבור העולם הישן. העולם בו אנו חיים כיום, הודות לגמישות של עבודה מכל מקום והשימוש בשירותי ענן מחייב אותנו לחשוב כל הזמן צעד אחד קדימה לפני התוקפים ולדאוג להגנה מקסימלית יותר עבור הארגון.
ישנם שלושה עקרונות העומדים בבסיס המודל:
• יש להתייחס לכל הרשתות כרשתות לא בטוחות - הכוונה היא לרשתות ביתיות, רשתות אלחוטיות ציבוריות (למשל, בנמלי
תעופה ובבתי קפה) ואפילו לרשתות עסקיות שנמצאות בתוך בית העסק. התוקפים נחושים מאוד, ולא יהיה נכון להניח שיש
מרחב כלשהו שהוא בטוח במאה אחוזים.
• הרשאות נמוכות ככל האפשר - אם אי אפשר לסמוך על כל הרשתות, ודאי שאי אפשר לסמוך על כל המשתמשים. אחרי הכול,
אי אפשר להיות בטוח שחשבון מסוים לא נפרץ, או שמשתמש מסוים אינו בעל מניעים זדוניים. המשמעות של עיקרון זה הוא
שיש לתת לכל אחד מהעובדים רק את ההרשאות הנחוצות לו כדי לבצע את עבודתו, ולאחר מכן לבצע בקרה באופן קבוע על
ההרשאות האלה ולהסיר את אלו שאינן רלוונטיות יותר. וכמובן לא לשכוח להסיר הרשאות מעובדים שעזבו.
• הניחו שהפריצה כבר קרתה - בכל יום אנו שומעים על פריצה חדשה. אם הארגונים ישמרו על מנטליות של דריכות גבוהה,
הם יהיו ערניים וימשיכו לשפר את מערכי ההגנה שלהם באמצעות חשיבה על פי מודל Zero Trust. אי אפשר למנוע פריצות –
הרעיון הוא לצמצם את ההשפעה שלהן.
כיצד התפתח מודל ה-Zero Trust
כאשר מודל ה-Zero Trust נוצר לראשונה בשנת 2010, הוא היה מודל שהתמקד ברשתות עצמן. עם השנים הוא הפך לאקוסיסטם שלם. במרכזו נמצאים הנתונים או ההליכים העסקיים הקריטיים, שעליהם מוכרחים להגן. סביב המרכז הזה נמצאים ארבעה אלמנטים:
1. האנשים שיכולים לגשת לנתונים
2. ההתקן עליו הם מאוחסנים
3. הרשת שבה הנתונים עוברים
4. האמצעים שמעבדים אותו
כעת, Forrester הוסיפה שכבה קריטית נוספת: אוטומציה ותזמון, וכן שקיפות ואנליזה. השכבה הזו משלבת את כל אמצעי הבקרה על ההגנה הפנימית הנחוצים לתמיכה במודל ה-Zero Trust.
גרסה זו של מודל Zero Trust היא הדרך המושלמת לצמצום הסיכונים של מרחב עבודה היברידי – סביבה בה השטח ההיקפי של מרחב העבודה מאובטח בצורה חלשה יחסית, העובדים מרחוק חייבים לעבור אימות באופן מתמשך, והרשתות מפוצלות במטרה למנוע את ההתפשטות הפוטנציאלית של איומים וגישה לא מורשית.
במהלך תקופת המגפה, נהיה יותר ויותר ברור שרשתות VPN אינן מסוגלות לעמוד בעומס של מספר גדול של עובדים מהבית – גם מבחינת תנועת הנתונים הנכנסת וגם מבחינת הפצת תיקוני אבטחה. עם הזמן הרשתות האלה הופכות למטרות עצמן, במיוחד אם אינן עוברות עדכוני אבטחה ואינן מאובטחות מספיק. מודל ה-Zero Trust הוא אפשרות שמתאימה יותר לטווח הארוך.
איך להתחיל ליישם את מודל ה-Zero Trust
הנתונים האחרונים מראים שכמעט שלושה רבעים (72%) מהארגונים מתכננים (40%) להחיל את מודל Zero Trust או כבר יישמו אותו (32%). החדשות הטובות הן שמעבר למודל, לא נדרש מאמץ גדול מדי בכל הנוגע להסרת אמצעי הגנה קיימים והחלפתם בחדשים.
למעשה, ייתכן וכבר עכשיו אתם משתמשים בחלק מהכלים והטכניקות הדרושים כדי להתחיל:
• משתמשים: אמצעי בקרת גישה מבוססי תפקידים, אימות רב-שלבי, הפרדה בין חשבונות.
• התקנים: ניהול נכסים יסייע לכם להבין אילו התקנים נמצאים ברשותכם. לאחר מכן השתמשו בכלי לזיהוי ותגובה עבור
נקודות-קצה (EDR), חומות אש מבוססות-שרת ואמצעים אחרים כדי להגן על הנכסים האלה ולמנוע תנועה זדונית או לא
מורשית בין התקנים.
• אמצעי עיבוד הנתונים: מרבית ספקי שירותי הענן מציעים שירותי בקרה מובנים משלהם. על הארגונים להשתמש בהם כדי
להגביל את הגישה לאמצעי עיבוד נתונים שונים וכדי לאכוף מדיניות טובה ומועילה.
• רשתות: המפתח העיקרי הוא פיצול-מיקרו. השתמשו בהתקני רשת כמו נתבים ומתגים יחד עם רשימות בקרת גישה (ACL) כדי
להגביל את התקשורת בין התקנים שונים – מי יכול לדבר עם מי ומה הוא יכול להגיד. חשוב להשתמש גם בניהול פרצות
אבטחה.
• נתונים: סווגו את הנתונים שברשותכם ולאחר מכן הצפינו את סוגי הנתונים החשובים ביותר – גם באחסון וגם בהעברה שלהם
בין התקנים. כלים לבדיקת שלמות הקבצים ואובדן מידע יכולים לסייע גם הם בהגנה על נתונים ולמנוע את גניבתם.
בסופו של דבר, המטרה העיקרית היא הוספה של תזמון מדויק, אוטומציות ויכולות ניתוח נתונים למערך האבטחה. זה מייצר ערנות גבוהה מצד צוותי האבטחה, שמאפשרת להם לעשות את עבודתם כראוי.