Na pytania Jasona Garbis, Chief Product Officer of Appgate, odpowiadał gość z firmy Forrester – David Holmes.
Jakie są logiczne fazy osiągania dojrzałości Zero Trust i rola Zero Trust Network Access (ZTNA) podczas całej podróży? Zaproszony mówca David Holmes, starszy analityk firmy Forrester i Hason Garbis, niedawno poruszyliśmy ten temat podczas webinaru na żywo. W tym szczegółowym podsumowaniu pytań i odpowiedzi David udziela dodatkowych wskazówek tym, którzy rozpoczęli lub myślą o rozpoczęciu podróży w zakresie bezpieczeństwa Zero Trust.
Podobnie jak lody neapolitańskie, webinar miał coś dla każdego zainteresowanego Zero Trust, niezależnie od tego, gdzie jesteś na swojej drodze. Waniliowy dla myślących o rozpoczęciu, czekoladowy dla tych, którzy już zaczęli i truskawkowy dla każdego, kto jest na dobrej drodze do wdrożenia bezpieczeństwa Zero Trust i chce osiągnąć wyższy poziom dojrzałości. Rozmawialiśmy z Davidem o:
- Bądź przygotowany na odkrycie, klasyfikację i inwentaryzację
- Kontrolowanie tożsamości dla użytkowników i urządzeń
- Zapewnienie dostępu Zero Trust do aplikacji
- Poprawa widoczności, automatyzacji i orkiestracji
- Stosowanie zabezpieczeń Zero Trust w sieci
Cały webinar można obejrzeć tutaj.
P: Jakie są kluczowe cechy dojrzałego programu bezpieczeństwa Zero Trust?
Odp.: Jeśli Twoja organizacja zamierza poważnie podejść do Zero Trust, zainwestujesz czas w procesy, które pomogą Ci gromadzić i utrzymywać informacje, a następnie automatyzację, aby reagować na zagrożenia w zautomatyzowany sposób. Informacje, które będziesz musiał gromadzić, przeglądać i przechowywać, obejmują śledzenie danych Twojej firmy i utrzymywanie programu klasyfikacji danych. Podobnie zbudujesz i utrzymasz inwentarz urządzeń, który obejmuje nie tylko komputery stacjonarne, laptopy i telefony komórkowe użytkowników, ale także urządzenia infrastruktury sieciowej oraz urządzenia IOT i OT. Żadne z powyższych nie jest łatwe.
Dojrzały program bezpieczeństwa Zero Trust będzie obejmował gromadzenie i utrzymywanie wiodących, opóźnionych i zbieżnych wskaźników. Metryki te będą obejmować liczbę źródeł danych i aplikacji, które osiągnęły izolację z całości, oraz ile z tych, które nie są izolowane, podlega zdyscyplinowanemu programowi zarządzania lukami w zabezpieczeniach. Program będzie również gromadził i utrzymywał wskaźniki związane z uprawnieniami użytkowników i ich zmianami wraz ze zmianą ról personelu.
Automatyzacja reagowania na zagrożenia jest świętym Graalem cyberbezpieczeństwa, ale większość organizacji ma problemy nawet z najbardziej podstawową automatyzacją, co jest niefortunne, ponieważ niedobór umiejętności w zakresie cyberbezpieczeństwa nie słabnie, a chwiejna gospodarka światowa będzie tylko tworzyć więcej atakujących.
P: Dlaczego dostęp Zero Trust ma kluczowe znaczenie dla dojrzałości ogólnej architektury bezpieczeństwa Zero Trust?
Odp.: Dostęp Zero Trust to pierwszy i najskuteczniejszy sposób, w jaki organizacje mogą naprawdę zacząć budować dojrzałą strategię bezpieczeństwa Zero Trust. Rozwiązania dostępowe Zero Trust zapewniają zarówno korzyści w zakresie bezpieczeństwa (lepsze bezpieczeństwo, zastąpienie VPN), jak i korzyści biznesowe (lepsze rozwiązania do pracy zdalnej). Można je również wdrażać aplikacja po aplikacji, aby organizacje mogły odgryźć tylko to, co mogą przeżuć. Ostatecznie, kompleksowe rozwiązanie dostępu Zero Trust zmniejszy powierzchnie ataków, zastępując otwarte porty; egzekwować zasadę najmniejszych uprawnień, udzielając dostępu tylko do zasobów mikrosegmentowanych; upraszczaj dostęp dzięki ujednoliconemu mechanizmowi zasad i oferując integracje oparte na interfejsach API, które współpracują z istniejącymi architekturami korporacyjnymi.
P: Jakie są najczęstsze nieporozumienia podczas budowania strategii Zero Trust?
Odp.: Najczęstszym nieporozumieniem, które dobrze znają CIO jest to, że ponieważ zawarli umowę z 800-funtowym sprzedawcą goryli, są teraz „zgodni z zasadą Zero Trust”. Jest to błąd z kilku powodów. Po pierwsze, nie ma (jeszcze) sankcjonowanego systemu zgodności dla Zero Trust. Po drugie, żaden pojedynczy sprzedawca, nawet wart bilion dolarów, nie oferuje całej technologii potrzebnej do zerowego zaufania. A nawet gdyby tak było, nadal pozostaje główna praca polegająca na zbieraniu informacji, takich jak źródła danych, oraz klasyfikowaniu i kategoryzowaniu tych danych a także dopasowywaniu ich do ról w organizacji.
P: Jakie są korzyści operacyjne z dostępu Zero Trust?
Odp.: Podczas gdy ulepszone cyberbezpieczeństwo jest główną wartością zapewnianą przez dostęp Zero Trust, istnieją również drugorzędne korzyści operacyjne, takie jak:
- Zastąpienie VPN w codziennej pracy zwykłego użytkownika może poprawić jakość pracy zdalnej.
- Strony trzecie i kontrahenci mogą uzyskać dostęp Zero Trust do określonych aplikacji, których potrzebują (i tylko tych aplikacji) i nie wymaga pobrania oprogramowania. W czasie pandemii organizacje takie jak uniwersytety wykorzystywały dostęp Zero Trust właśnie w ten sposób. Dzięki dostępowi Zero Trust mogliby zapewnić swoim studentom (będącym stronami trzecimi) dostęp do aparatury testowej bez udostępniania tych aplikacji w Internecie lub zapewniania uczniom dostępu do całej sieci wewnętrznej przez VPN.
- Dostęp Zero Trust ma interesujące zastosowanie w przejęciach. Zamiast łączyć ze sobą dwie sieci i tym samym narażać obie sieci na potencjalne APT i luki w zabezpieczeniach drugiej, kupujący może po prostu użyć punktów egzekwowania polityki dostępu Zero Trust i serwerów proxy, aby uzyskać dostęp do aplikacji docelowych. Jest to znacznie bezpieczniejszy przypadek, a organizacje, które rozwijają się głównie dzięki częstym przejęciom, mądrze byłoby skopiować swoich konkurentów, którzy już to robią.
P: Jakie masz wskazówki lub sugestie, aby pomóc przedsiębiorstwom uniknąć typowych błędów na drodze do zerowego zaufania?
Odp .: Trzeba uważać… wiele maszyn marketingowych dostawców przesadza i próbuje przerobić swoją istniejącą, czasem starożytną technologię na Zero Trust. Jeśli znasz dostawcę i sprzedaje on dobrze znaną technologię od dziesięcioleci, możesz założyć się, że nie jest to Zero Trust. Ponieważ gdyby to działało w ten sposób, nie mielibyśmy dziś nawet koncepcji Zero Trust, ponieważ nie byłoby to konieczne. Jeśli chodzi o wdrażanie technologii w celu bezpośredniego wdrożenia Zero Trust, powinieneś szukać technologii zaprojektowanej i zbudowanej najwcześniej po około 2012 roku. Jasne, istnieje wiele fundamentalnych technologii, które wspierają bezpieczeństwo Zero Trust, ale dla samego Zero Trust będziesz szukać rozwiązań dostępu Zero Trust, rozwiązań do mikrosegmentacji i zarządzania uprawnieniami.
Jeszcze raz dziękuję, David… Rozmowa z Tobą to zawsze przyjemność!
Oryginał został zamieszczony na stronie Appgate.