تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
جلس VentureBeat (افتراضيًا) الأسبوع الماضي مع مبتكر عدم الثقة جون كيندرفاغ. فيما يلي رؤيته حول كيفية تقدم تبني الثقة الصفرية عبر المنظمات والحكومات على مستوى العالم وما يراه ضروريًا لنموها.
لكن أولاً ، ما هو انعدام الثقة؟
أمان الثقة الصفرية هو إطار عمل يحدد جميع الأجهزة والهويات والأنظمة والمستخدمين على أنهم غير موثوق بهم افتراضيًا. تتطلب جميعها المصادقة والترخيص والتحقق المستمر قبل منح الوصول إلى التطبيقات والبيانات.
يحمي إطار عمل عدم الثقة من التهديدات الخارجية والداخلية عن طريق تسجيل وفحص كل حركة مرور الشبكة ، والحد من الوصول والتحكم فيه والتحقق من موارد الشبكة وتأمينها. أنشأ المعهد الوطني للمعايير والتكنولوجيا (NIST) معيارًا بشأن عدم الثقة ، NIST 800-207 ، والذي يوفر إرشادات توجيهية للمؤسسات والحكومات التي تنفذ إطار العمل.
رؤية ورؤى جون كيندرفاج
أثناء عمله في Forrester Research في عام 2008 ، بدأ John Kindervag في استكشاف تقنيات الأمان التي تركز على محيط الشبكة. لاحظ أن نموذج الثقة السائد ، الذي صنف الجانب الخارجي لجدار الحماية التقليدي على أنه “غير جدير بالثقة” والجانب الداخلي على أنه “موثوق به” ، كان مصدرًا مهمًا لانتهاكات البيانات.
حدث
قمة الأمن الذكي عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
بعد عامين من البحث ، نشر تقرير عام 2010 لا مزيد من المراكز المضغوطة: تقديم نموذج الثقة الصفرية لأمن المعلومات. في ذلك ، يشرح لماذا لا تحتاج الشركات إلى ثقة صفرية لتحسين ضوابط الأمان ، بدءًا من نهج أكثر دقة واستقلالية عن الثقة. إنها قراءة ممتازة ، مع رؤى حول كيف ولماذا إنشاء الثقة الصفرية.
يعمل Kindervag حاليًا كنائب أول للرئيس لاستراتيجية الأمن السيبراني وزميل مجموعة ON2IT في ON2IT Cybersecurity. وهو أيضًا عضو مجلس استشاري للعديد من المنظمات ، بما في ذلك المستشار الأمني لمكاتب الرئيس التنفيذي ورئيس تحالف Cloud Security Alliance. إنه واحد من العديد من قادة صناعة الأمن السيبراني الذين تمت دعوتهم للمساهمة في مسودة اللجنة الاستشارية الوطنية للاتصالات الأمنية (NSTAC) التابعة للرئيس بشأن انعدام الثقة وإدارة الهوية الموثوقة.
تؤكد Kindervag أن انعدام الثقة هو أمر تدريجي ، مما يحمي سطحًا واحدًا في كل مرة. ينصح بأن الشركات لا تحتاج إلى حماية جميع الأسطح في وقت واحد ، ويجب أن تتخذ نهجًا تكراريًا. هذه أخبار جيدة لـ CISOs و CIOs الذين ليس لديهم الموارد لحماية جميع الأسطح في وقت واحد.
كما ينصح الشركات بالحفاظ على البساطة ، حيث يخبرهم أن هناك تسعة أشياء يحتاجون إلى معرفتها لعدم الثقة: مبادئ التصميم الأربعة ، ومنهجية التصميم المكونة من خمس خطوات.
ما يلي مقتطف من مقابلة VentureBeat مع Kindervag.
VentureBeat: كيف تتغلب المنظمات التي تعمل معها على الحواجز التي تحول دون تبني وتنفيذ الثقة الصفرية؟ ما الذي تجده يعمل على جعل الناس ينظرون إلى انعدام الثقة كفلسفة؟
كيندرفاج: ثقة معدومة ، لأنها استراتيجية لها تكتيكات مرتبطة بها ولكنها منفصلة عن تلك التكتيكات ، [is] سأعتمد على صاحب المصلحة الذي أتحدث إليه. إذن ، هناك رسالة مختلفة للقيادة ، إلى ممثل استراتيجي كبير مثل الرئيس التنفيذي [or] عضو مجلس إدارة. لقد تحدثت إلى كل هؤلاء الأشخاص. لديهم شيء مختلف يحتاجون إليه ويمكننا حله باستخدام عدم الثقة كإستراتيجية.
بالنسبة للشخص الذي يتعين عليه تنفيذه ، فهو خائف من التغيير. كان هذا دائمًا هو الاعتراض الأول [to] ثقة معدومة. إذا كان لديّ نكل مقابل كل مرة أسمع فيها ذلك ، فلن نجري هذه المحادثة لأنني سأكون على متن يخت في مكان ما في البحر الأبيض المتوسط ، لكن الجميع يخافون من التغيير. لكن التغيير ثابت في التكنولوجيا ، ولذا فأنا بحاجة إلى أن أوضح لهم كيفية القيام بذلك ببساطة. لهذا السبب ابتكرت منهجية الخطوات الخمس التي بدأتها في شركة Forrester [and] تم الاحتفاظ بها في Palo Alto Networks ، وتم تدوينها في تقرير CISA NSTAC.
أردت أن أجعلها بسيطة. أقول للناس أن هناك تسعة أشياء تحتاج إلى معرفتها لعدم الثقة: مبادئ التصميم الأربعة ومنهجية الخطوات الخمس. وهذا كل شيء إلى حد كبير ، لكن الجميع يميلون إلى جعل الأمر صعبًا للغاية ولا أفهم ذلك حقًا. أنا أحب البساطة ، وربما لست حاذقًا بما يكفي للتفكير في هذا المستوى من التعقيد.
وهكذا نأخذ واحدة من هؤلاء ، نضعها في سطح حماية واحد ، ونأخذ هذه المشكلة بأكملها التي تسمى الأمن السيبراني ونقسمها إلى أجزاء صغيرة بحجم اللدغة. ومن ثم فإن أروع شيء هو أنه غير مزعج. أكثر ما يمكنني فعله في أي وقت هو سطح حماية واحد.
ثقة معدومة: ليست تقنية
VB: هناك نقاش مستمر حول من أين تبدأ بمبادرة أو إطار عمل للثقة الصفرية. ما هي نصيحتك حول كيفية تحديد أولويات عدم الثقة وتحقيقها؟ من أين يمكن أن تبدأ الشركات؟
كيندرفاج: حسنًا ، تبدأ بسطح حماية. لدي ، وإذا لم تكن قد رأيته ، فإنه يسمى منحنى تعلم الثقة الصفرية.
أنت لا تبدأ في التكنولوجيا ، وهذا هو سوء فهم هذا. بالطبع ، يريد البائعون بيع التكنولوجيا ، لذلك [they say] عليك أن تبدأ بتقنيتنا. لا شيء من ذلك هو الصحيح. تبدأ بسطح حماية ثم تكتشف [the technology].
في الأعمدة التي صممها Chase Cunningham في إطار عمل ZTX ، تنظر داخل الخطوة الأولى ، وتحدد سطح الحماية الخاص بك. الخطوة الثانية ، “ما الأشياء التي أحتاج إلى استخدامها؟” الخطوة الثالثة … لذا فهم يتداخلون مع نموذج الخطوات الخمس وقد تم تصميمهم بالكامل لربطهم ببعضهم البعض ، لكن الناس يركزون بشدة على التكنولوجيا.
VB: ما هي وجهة نظرك إلى أين تتجه انعدام الثقة في عام 2023 وما بعده؟
كيندرفاج: أرى تبنيًا أكبر لعدم الثقة. لذا ، فإن أحد الأشياء التي أحاول إبعاد الناس عنها هو … إعادة تعريفها. لقد حددناها. تم تعريفه منذ عام 2010. لا يحب الكثير من البائعين التعريف لأنه لا يناسب منتجهم ، لذلك يحاولون إعادة تعريفه إلى [fit] مهما كان منتجهم. لذلك إذا كانت شركة مصادقة متعددة العوامل (MFA) ، فإن الثقة الصفرية تساوي مصادقة MFA فائقة العوامل. حسنًا ، يمكنني إثبات هذا الخطأ بكلمتين: سنودن ومانينغ ، وبيونسيه ومادونا للأمن السيبراني.
في هذه السيرة الذاتية ، قال إدوارد سنودن شيئًا مؤثرًا ، وسأخطئ في اقتباسه ولكن مع إعادة صياغة ، “كنت أقوى شخص في وكالة الأمن القومي.” وبالطبع لم يعمل في وكالة الأمن القومي ، لكن [he] كان أقوى شخص لأنه [he] لديه حقوق المسؤول. حسنا ، لماذا كان هذا صحيحا؟
[As for] بي إف سي مانينغ: تلقيت مكالمة من صديق لي شارك في التفاوض على صفقة الإقرار بالذنب بين أدريان لامو [the analyst and hacker who reported Manning’s leaks] والحكومة الفيدرالية حتى لا تُعيد الدردشات التي أجراها لامو مع مانينغ إلى سجن لامو لأن لامو كان لا يريد العودة إلى السجن.
وقال هذا الشخص ، الذي كان مدعيًا فيدراليًا سابقًا ، الوسيط ، “عندما اتصلت بي لأول مرة من قبل لامو ، سألت كيف يمكن لطبقة أولى خاصة وقاعدة تشغيل أمامية الوصول إلى الكابلات السرية في واشنطن العاصمة؟” وقال ، “في تلك اللحظة فكرت فيك وفهمت تمامًا ما كنت تحاول القيام به بدون ثقة.”
طريقة عمل الشبكات محدودة. وانعدام الثقة هو نفسه ، سواء من منظور مفاهيمي كيف نفعل ذلك – سواء كان ذلك داخل الشركة ، أو في السحابة ، أو الأجهزة ، أو البرامج ، أو الافتراضية ، أو أيًا كان. هذا هو السبب في أنها تعمل بشكل جيد في البيئات السحابية. هذا هو السبب في أن الناس يتبنونها للسحب العامة والسحب الخاصة.
ليس منتجًا أيضًا
VB: أي من الابتكارات الحديثة لبائعي الأمن السيبراني تتماشى بشكل أفضل مع أهداف عدم الثقة؟ ما هي الأكثر صلة بالمؤسسات التي تنجح في إطار عمل عدم الثقة؟
كيندرفاج: هناك ابتكارات ستساعدك إذا بدأت على المستوى الاستراتيجي وانتقلت إلى المستوى التكتيكي. لذا تصبح المنتجات أفضل وأفضل ، لكن القول بأنه يمكنك شراء ثقة معدومة كمنتج لن يكون صحيحًا. يتطلب عددًا من المنتجات المختلفة بين مجموعات مختلفة من التقنيات.
والباعة يصبحون أفضل وأفضل. هناك بعض التقنيات الفريدة حقًا التي أنا مفتون بها للغاية. ولكن إذا قلت ، “حسنًا ، سأذهب إلى البائع X وسيفعلون كل شيء من أجلك ،” فهم ليسوا كذلك. إنه ليس ممكنًا ، على الأقل في الوقت الحالي ، ومن يدري ما هو المستقبل [holds]؟
لكن هذا هو السبب في أنني لم أقل مطلقًا أن الثقة معدومة كانت منتجًا. لهذا السبب تم فصل الاستراتيجية والتكتيكات عن قصد: الاستراتيجيات لا تتغير. التكتيكات تتغير دائمًا. المنتجات دائما أفضل وأفضل.
ثم يصبحون أكثر وأكثر إشكالية. لنأخذ Log4j. استخدم كل بائع تقريبًا Log4j. هل كانوا يعلمون أنه كان شيئًا ضعيفًا عندما أخذوا تلك المكتبة ووضعوها في منتجهم؟ لا ، لأن الأشياء التي تبدو جيدة الآن تتحول إلى سيئة لاحقًا لأن شخصًا ما يقوم ببعض الأبحاث الجديدة ويكتشف شيئًا ما.
وهذه مجرد عملية ابتكار. وهي أيضًا [a] حقيقة أننا في عمل معاد. الأمن السيبراني هو … واحد من ثلاث شركات متخاصمة في العالم. الاثنان الآخران هما تطبيق القانون والجيش.
في الجزء الثاني من مقابلتنا ، يشارك John Kindervag رؤيته حول مدى محورية تجاربه في العمل في Forrester في خلق انعدام الثقة. كما يصف خبراته التي ساهمت في مسودة اللجنة الاستشارية للاتصالات الأمنية الوطنية (NSTAC) للرئيس بشأن انعدام الثقة وإدارة الهوية الموثوقة.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
اكتشاف المزيد من نص كم
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.