ผู้บริหารความปลอดภัยทางไซเบอร์ของประธานาธิบดีโจ ไบเดนซึ่งลงนามเมื่อวันที่ 12 พฤษภาคม พ.ศ. 2564 เรียกร้องให้รัฐบาลกลางนำ “สถาปัตยกรรมที่ไว้วางใจเป็นศูนย์” มาใช้
สิ่งนี้ทำให้เกิดคำถามสองสามข้อ การรักษาความปลอดภัยศูนย์ความเชื่อถือคืออะไร? และหากความเชื่อใจส่งผลเสียต่อความมั่นคงปลอดภัยทางไซเบอร์ ทำไมองค์กรส่วนใหญ่ในภาครัฐและเอกชนถึงทำอย่างนั้น?
ผลที่ตามมาอย่างหนึ่งของความไว้วางใจทางออนไลน์มากเกินไปคือการแพร่ระบาดของแรนซัมแวร์ ซึ่งเป็นปัญหาระดับโลกที่กำลังเติบโตซึ่งส่งผลกระทบต่อองค์กรทั้งขนาดใหญ่และขนาดเล็ก รอยรั่วที่มีรายละเอียดสูงเช่นที่เคยพบโดยโคโลเนียลไปป์ไลน์เป็นเพียงส่วนเล็กสุดของภูเขาน้ำแข็ง
มีการโจมตีแรนซัมแวร์อย่างน้อย 2,354 ครั้งในรัฐบาลท้องถิ่น สถานพยาบาล และโรงเรียนในสหรัฐอเมริกาเมื่อปีที่แล้ว แม้ว่าการประมาณการจะแตกต่างกันไป แต่การสูญเสีย ransomware ดูเหมือนจะเพิ่มขึ้นสามเท่าในปี 2020เป็นมากกว่า 300,000 เหรียญสหรัฐต่อเหตุการณ์ และการโจมตีของแรนซัมแวร์ก็มีความซับซ้อนมากขึ้นเรื่อยๆ
ประเด็นที่เกิดซ้ำในการละเมิดจำนวนมากเหล่านี้คือความไว้วางใจที่หายไป – ในผู้ขาย พนักงาน ซอฟต์แวร์และฮาร์ดแวร์ ในฐานะนักวิชาการด้านนโยบายความปลอดภัยทางไซเบอร์ที่มีรายงานล่าสุดเกี่ยวกับหัวข้อนี้ฉันสนใจคำถามเกี่ยวกับความไว้วางใจ ฉันยังเป็นกรรมการบริหารของOstrom Workshop โปรแกรมการประชุมเชิงปฏิบัติการเรื่องความปลอดภัยทางไซเบอร์และการกำกับดูแลทางอินเทอร์เน็ตมุ่งเน้นไปที่หลักการของการรักษาความปลอดภัยที่ไม่น่าเชื่อถือโดยพิจารณาจากการเปรียบเทียบ รวมถึงการสาธารณสุขและการพัฒนาที่ยั่งยืน เพื่อสร้างความยืดหยุ่นในระบบแบบกระจาย
ปลอดภัยไร้ความไว้วางใจ
ความเชื่อถือในบริบทของเครือข่ายคอมพิวเตอร์หมายถึงระบบที่อนุญาตให้บุคคลหรือคอมพิวเตอร์เครื่องอื่นๆ เข้าถึงได้โดยไม่ต้องมีการพิสูจน์ว่าพวกเขาเป็นใครหรือไม่ และบุคคลเหล่านั้นได้รับอนุญาตให้เข้าถึงหรือไม่ Zero Trustเป็นรูปแบบความปลอดภัยที่ยอมรับได้ว่าภัยคุกคามมีอยู่ทั่วไปทุกหนทุกแห่งทั้งในและนอกเครือข่าย Zero trust แทนที่จะอาศัยการตรวจสอบอย่างต่อเนื่องผ่านข้อมูลจากหลายแหล่ง ในการทำเช่นนั้น วิธีการนี้จะถือว่าหลีกเลี่ยงไม่ได้ของการละเมิดข้อมูล แทนที่จะมุ่งเน้นเฉพาะในการป้องกันการละเมิด การรักษาความปลอดภัยแบบ Zero-trust ช่วยให้มั่นใจได้ว่าความเสียหายจะถูกจำกัด และระบบจะมีความยืดหยุ่นและสามารถกู้คืนได้อย่างรวดเร็ว
การใช้การเปรียบเทียบด้านสาธารณสุขแนวทาง Zero-trust ในการรักษาความปลอดภัยทางไซเบอร์สันนิษฐานว่าการติดเชื้อเป็นเพียงอาการไอหรือในกรณีนี้ให้คลิก – ออกไปและมุ่งเน้นไปที่การสร้างระบบภูมิคุ้มกันที่สามารถจัดการกับไวรัสชนิดใหม่ ๆ ที่อาจเกิดขึ้นได้ . กล่าวอีกนัยหนึ่ง แทนที่จะปกป้องปราสาท โมเดลนี้ถือว่าผู้บุกรุกอยู่ภายในกำแพงแล้ว
ไม่ใช่เรื่องยากที่จะเห็นประโยชน์ของโมเดล Zero-Trust ตัวอย่างเช่น หากบริษัทโคโลเนียลไปป์ไลน์นำมันมาใช้ เช่น การโจมตีของแรนซัมแวร์น่าจะล้มเหลว และผู้คนจะไม่ตื่นตระหนกในการซื้อน้ำมันในช่วงไม่กี่วันที่ผ่านมา และถ้าการรักษาความปลอดภัยแบบ zero-trust แพร่หลาย การระบาดของแรนซัมแวร์จะกัดน้อยลงมาก
อุปสรรค 4 ประการในการปลดเปลื้องความไว้วางใจ
แต่มีอุปสรรคหลักอย่างน้อยสี่ประการในการบรรลุความไว้วางใจในระบบคอมพิวเตอร์ของรัฐบาลและเอกชน เป็นศูนย์
ประการแรก ระบบและโครงสร้างพื้นฐานแบบเดิมมักเป็นไปไม่ได้ที่จะอัปเกรดเพื่อให้กลายเป็นศูนย์ การได้รับความปลอดภัยเป็นศูนย์ต้องมีการป้องกันหลายชั้นซึ่งเกี่ยวข้องกับการสร้างการรักษาความปลอดภัยหลายชั้น ซึ่งไม่ต่างจากชีสสวิสกองหนึ่ง แต่นี่เป็นความท้าทายในระบบที่ไม่ได้สร้างขึ้นโดยมีเป้าหมายในใจ เนื่องจากต้องมีการตรวจสอบอย่างอิสระในทุกชั้น
ประการที่สอง แม้ว่าจะสามารถอัปเกรดได้ แต่คุณจะต้องเสียค่าใช้จ่าย การออกแบบและปรับใช้ระบบใหม่นั้นมีค่าใช้จ่ายสูง ใช้เวลานาน และอาจก่อกวนได้ โดยเฉพาะอย่างยิ่งหากระบบสร้างขึ้นเอง กระทรวงกลาโหมสหรัฐเพียงแห่งเดียวดำเนินการเครือข่ายมากกว่า 15,000 เครือข่ายในการติดตั้ง 4,000 แห่งซึ่งกระจายอยู่ใน 88 ประเทศ
ประการที่สามเทคโนโลยีเพียร์ทูเพียร์ เช่นเดียวกับคอมพิวเตอร์ที่ใช้ Windows 10 บนเครือข่ายท้องถิ่น ทำงานแบบเคาน์เตอร์เพื่อความเชื่อถือเป็นศูนย์ เนื่องจากส่วนใหญ่อาศัยรหัสผ่าน ไม่ใช่การตรวจสอบแบบเรียลไทม์แบบหลายปัจจัย คอมพิวเตอร์สามารถถอดรหัสรหัสผ่านได้อย่างรวดเร็วโดยตรวจสอบรหัสผ่านที่เป็นไปได้จำนวนมาก – การโจมตีแบบเดรัจฉาน – ในขณะที่การตรวจสอบสิทธิ์แบบหลายปัจจัยแบบเรียลไทม์ต้องใช้รหัสผ่านและรูปแบบการตรวจสอบเพิ่มเติมอย่างน้อยหนึ่งรูปแบบ ซึ่งโดยทั่วไปแล้วจะเป็นรหัสที่ส่งโดยอีเมลหรือข้อความ Google เพิ่งประกาศการตัดสินใจให้การรับรองความถูกต้องแบบหลายปัจจัยสำหรับผู้ใช้ทั้งหมด
ประการที่สี่ การย้ายระบบข้อมูลขององค์กรจากคอมพิวเตอร์ภายในองค์กรไปยังบริการคลาวด์สามารถเพิ่มความน่าเชื่อถือเป็นศูนย์ แต่ถ้าทำถูกต้องเท่านั้น สิ่งนี้เรียกร้องให้สร้างแอปพลิเคชันใหม่ในคลาวด์แทนที่จะย้ายแอปพลิเคชันที่มีอยู่ไปยังคลาวด์ แต่องค์กรต้องรู้ในการวางแผนการรักษาความปลอดภัยแบบ Zero-trust เมื่อย้ายไปยังระบบคลาวด์ ตัวอย่างเช่น DoD Cloud Strategyประจำปี 2018 ไม่ได้อ้างอิงถึง “zero trust”
เข้าสู่การบริหารของไบเดน
คำสั่งบริหารของฝ่ายบริหารของ Biden พยายามที่จะส่งเสริมการป้องกันแบบเลเยอร์เพื่อจัดการกับปัญหาด้านความปลอดภัยทางไซเบอร์ของประเทศ คำสั่งของผู้บริหารปฏิบัติตามคำแนะนำหลายประการจาก คณะกรรมาธิการ Cyberspace Solarium 2020 ซึ่งเป็นคณะกรรมาธิการที่จัดตั้งขึ้นโดยรัฐสภาเพื่อพัฒนาแนวทางเชิงกลยุทธ์ในการปกป้องสหรัฐฯ ในไซเบอร์สเปซ
เหนือสิ่งอื่นใด มันสร้างจากกรอบการไม่ไว้วางใจที่เสนอโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ นอกจากนี้ยังแตะกระทรวงความมั่นคงแห่งมาตุภูมิเพื่อเป็นผู้นำในการใช้เทคนิค Zero-trust เหล่านี้รวมถึงในโปรแกรมบนคลาวด์
ฉันเชื่อว่าเมื่อรวมกับความคิดริเริ่มอื่น ๆ ที่สะกดออกมาในคำสั่งของผู้บริหาร – เช่นการสร้างคณะกรรมการความปลอดภัยทางไซเบอร์และการกำหนดข้อกำหนดใหม่สำหรับการรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์สำหรับผู้ขายของรัฐบาลกลาง – การรักษาความปลอดภัยที่ไว้วางใจไม่ได้นำสหรัฐอเมริกาไปในทิศทางที่ถูกต้อง
อย่างไรก็ตาม คำสั่งผู้บริหารใช้เฉพาะกับระบบราชการเท่านั้น มันจะไม่หยุดการโจมตี ransomware ของ Colonial Pipeline เป็นต้น การทำให้ประเทศโดยรวมมีความมั่นคงมากขึ้น จำเป็นต้องช่วยให้ภาคเอกชนนำแนวปฏิบัติด้านความปลอดภัยเหล่านี้มาใช้ และนั่นจะต้องได้ รับ การดำเนินการจากสภาคองเกรส
Credit : fairytalefavors.net buycoachfactoryoutlets.net jackpinebobcary.net embracingeveryday.net everythingdi.net
