مرکز آپا دانشگاه کردستان

ترویج رویکرد Zero Trust در زمینه امنیت سایبری توسط NSA و Microsoft

آژانس امنیت ملی (NSA) و مایکروسافت از مدل امنیتی Zero Trust به عنوان راهی کارآمدتر برای دفاع از شرکت‌ها در برابر تهدیدات پیچیده امروزی حمایت می‌کنند. مفهوم آن بر این فرض است که یک متجاوز ممکن است از قبل در شبکه باشد، بنابراین هرگز نباید به طور ضمنی و خودکار به دستگاه‌ها و اتصالات محلی اعتماد کرد و اعتبارسنجی همیشه ضروری است. شرکت‌های امنیت سایبری سالهاست که مدل Zero Trust را بعنوان یک گذار از طرح امنیتی سنتی که فقط تهدیدات خارجی را در نظر می‌گرفت، ترویج میدهند. این مدل اولین بار در سال 2010 توسط جان کیندرواگ که در آن زمان تحلیلگر اصلی شرکت تحقیقات فارستر بود، ایجاد شد. چند سال بعد گوگل اعلام کرد که در شبکه خود Zero Trust را پیاده سازی کرده‌ که منجر به رواج آن در جامعه فناوری شده ‌است. Zero Trust یک چارچوب امنیتی مبتنی بر این باور است که هر کاربر، دستگاه و آدرس IP که به یک منبع دسترسی پیدا می کند یک تهدید محسوب می شود تا زمانی که خلاف آن ثابت شود. به عبارت دیگر Zero Trust یک مدل امنیتی فناوری اطلاعات است که نیاز به تأیید هویت دقیق برای هر شخص و دستگاهی دارد که می خواهد به منابع موجود در یک شبکه خصوصی دسترسی پیدا کند. Zero Trust یک رویکرد جامع برای امنیت شبکه است که چندین اصل و فناوری مختلف را در خود جای داده است. در سال 2019 ، گارتنر که یک شرکت تحقیقاتی و مشاوره ای جهانی است ، دسترسی امنیتی Zero Trust را به عنوان یکی از مولفه های اصلی راهکارهای خدمات دسترسی امن (SASE) ذکر کرد. دفاع Zero Trust از شبکه‌های بحرانی حمله یک سال اخیر به زنجیره تامین SolarWinds، که به یک دولت خارجی نیز نسبت داده شد، باعث شد بحث در مورد مزایای استفاده از معماری Zero Trust برای شبکه‌های حساس از سر گرفته شود. برد اسمیت، نایب رئیس هیئت مدیره مایکروسافت راجع به حمله سایبری SolarWinds، در یک اظهارنظر از مدل Zero Trust درمجلس سنای ایالات متحده حمایت کرد و گفت که این طرح بهترین روش برای یک سازمان یا آژانس درجهت اطمینان از امنیت هویت در شبکه‌های آنهاست. اسمیت در مورد امنیت شبکه‌های دولت ایالات متحده که هدف حمله قرار گرفته شدند، گفت: رعایت اقدامات امنیتی و محافظتی، با نظم و انضباطی که از مشتریان فدرال با مشخصات امنیتی آژانس‌ها انتظار داریم، وجود ندارند. در بیشتر موارد، احراز هویت چند عاملی، دسترسی حداقلی و سایر شرایط برای ایجاد یک محیط Zero Trust وجود نداشتند. تجربه و داده ‌های ما به شدت نشان می‌دهد که اگر این مراحل انجام می‌شد، مهاجم پس از دستیابی به محیط ‌های آژانس، موفقیت محدودی در به خطر انداختن داده ‌های ارزشمند داشت. اکنون، NSA و Microsoft هر دو، مدل امنیتی Zero Trust را برای شبکه‌های مهم (سیستم‌های امنیت ملی، وزارت دفاع، پایگاه صنعتی دفاع) و شرکت‌های بزرگ توصیه می کنند. Zero Trust یک پروژه بلند مدت است. اصول راهنمای این طرح بر پایه، اعتبار سنجی مداوم احرازهویت یا مجوزهای دسترسی، تخصیص کمترین سطح دسترسی و دسترسی تقسیم بندی شده بر اساس شبکه، کاربر، دستگاه و برنامه است. مایکروسافت در برنامه‌هایش نشان می‌دهد که چگونه امنیت Zero Trust با یک موتور اجرایی سیاست‌ امنیتی می تواند بصورت بی درنگ(real-time) ارزیابی را انجام دهد. این مدل پس از تأیید و احراز هویت و بررسی ایمن بودن دستگاه ها، به داده ها، برنامه ها، زیرساخت‌ها و شبکه‌ها اجازه دسترسی می دهد. NSA توضیح می دهد که درک و کنترل اینکه چگونه کاربران، پردازش‌ها و دستگاه‌ها با داده‌ها ارتباط برقرار می‌کنند، هدف اساسی Zero Trust است. چندین داده برای ترسیم یک تصویر دقیق از فعالیت در شبکه، ارزیابی اعتبار آن و جلوگیری از حرکات جانبی یک مهاجم لازم است. ترکیب داده‌های کاربر و دستگاه، با اطلاعات مربوط به امنیت مانند موقعیت مکانی، زمان، رفتارهای ثبت شده، می‌تواند توسط سیستم برای اجازه یا رد دسترسی به بخش‌های خاص، استفاده شود و برای استفاده در تجزیه و تحلیل فعالیت‌های مشکوک آینده ثبت شود. این فرآیند برای هر درخواست دسترسی فردی به یک منبع حساس اعمال می‌شود. اگرچه ایجاد یک محیط Zero-Trust کامل، کاری نیست که یک شبه انجام شود بلکه یک تغییر تدریجی است که اغلب به قابلیت‌های اضافی نیاز دارد، زیرا این ابزارها، تاکتیک‌ها یا تکنیک‌های جدید دشمن را نشان نمی‌دهد. خبر خوب این است که تغییر می تواند رو به افزایش باشد و خطر را در هر مرحله کاهش داد، افزایش قابل توجه مقبولیت و پاسخ‌های خودکار به مرور زمان. مزایای شبکه Zero Trust NSA برای نشان دادن مزایای یک شبکه Zero Trust، سه مثال را بر اساس حوادث واقعی امنیت سایبری ارائه می دهد که در صورت اجرای طرح، عامل تهدید ناموفق می بود. در اولین مورد، مهاجم با استفاده از اعتبارنامه‌های به سرقت رفته معتبری که از یک کارمند در یک سطح از احرازهویت که در یک محیط سنتی کافی است، از یک دستگاه غیر مجاز به شبکه سازمان قربانی دسترسی پیدا کرد. مثال دوم یک فرد مخرب است که یا تهدیدی داخلی است یا مهاجمی که دستگاه کاربر را از طریق سوء استفاده از کد تلفن همراه مبتنی بر اینترنت به خطر انداخته است. در یک محیط معمول، مهاجم می تواند شبکه را لیست کند، امتیازات را افزایش دهد و برای دستیابی به پایداری یا یافتن داده‌ها و سیستم‌های ارزشمند، در شبکه حرکت کند. سومین مثال که NSA ذکر کرده است، حمله supply-chain است، جایی که مهاجم کد مخربی را به دستگاه یا شبکه یک شرکت محبوب اضافه می کند که سازمان قربانی آن را حفظ می کند و به طور مرتب آن را بروز می کند. تحت معماری Zero Trust، دستگاه یا برنامه در معرض خطر نمی تواند با عامل تهدید ارتباط برقرار کند زیرا به طور پیش فرض مورد اعتماد نخواهد بود. طبق گفته آژانس امنیت ملی (NSA): امتیازات و دسترسی آن به داده‌ها به شدت کنترل و به حداقل رسیده و نظارت می شود. تقسیم بندی (کلان و خرد) توسط سیاست‌های موجود اعمال می شود و تجزیه و تحلیل برای نظارت بر فعالیت ناهنجار استفاده می شود. علاوه بر این، اگرچه دستگاه ممکن است به روزرسانی‌های برنامه امضا شده را دانلود کند (مخرب یا غیرمجاز)، اما اتصالات شبکه مجاز دستگاه تحت مدل Zero Trust از خط مشی رد کردن به طور پیش فرض استفاده می کند، بنابراین هرگونه تلاش برای اتصال به سایر آدرس‌های راه دور برای کنترل احتمالاً مسدود خواهد شد. آژانس تشخیص می دهد که علاوه بر چالش‌های فنی ناشی از مهندسی مجدد(طراحی مجدد) یک سیستم اطلاعاتی موجود، بر اساس مدل Zero Trust، مقاومت در برابر تغییر ممکن است مانع دیگری باشد که باعث کاهش کارایی سیستم می شود. کاربران، سرپرستان و مدیران ارشد همگی برای استفاده از Zero Trust باید یک طرز فکر و ذهنیت داشته باشند. به این معنی که leader ها باید منابعی را برای ساخت و نگهداری آن هزینه کنند، سرپرستان و مدافعان شبکه باید تخصص لازم را داشته باشند و کاربران نتوانند سیاست‌ها را دور بزنند. آژانس ملی در حال حاضر در حال کار با مشتری های وزارت دفاع برای راه اندازی سیستم های zero trust و هماهنگی فعالیت ها با طرح سرویس ملی و برنامه های وزارت دفاع است. دستورالعمل های بیشتری در حال آماده سازی است تا اصول Zero Trust را به آسانی در شبکه های سازمانی پیاده کنند. همچنین سازمان هایی که به دنبال پذیرش این طرح هستند می توانند مستندات و روش شناسی را از موسسه ی ملی استانداردها و تکنولوژی و همچنین از چندین شرکت امنیت سایبری پیدا کنند ، برخی از آنها راه حل هایی را برای اجرای آسان تر ارائه می دهند. تهیه و تدوین: امید حسینی