איך מודל ה – Zero Trust, מתנהג כמו חתול מפוחד

  1. ראשי
  2. בלוג
  3. איך מודל ה – Zero Trust, מתנהג כמו חתול מפוחד

איך מודל ה – Zero Trust, מתנהג כמו חתול מפוחד ובכך שומר בצורה הרמטית על העסק שלנו?

בשביל לענות על זה, צריך קודם כל להסביר מה הוא מודל ה – Zero Trust ולמה בכלל אנחנו צריכים אותו.

מה הבעיות באבטחה שיש לי היום בעסק?

יכול להיות שיש לך בעסק כמה אלמנטים של אבטחה. MFA – (אימות דו שלבי בעזרת מכשיר נוסף או טוקן), חומת אש, VPN ועוד. כל אלו מודלים איכותיים מאוד אשר החזיקו מצוין לאורך השנים ונחשבים למאובטחים וחזקים. אבל זו היא הנחה שגויה.

החולשה של מודלים אלו היא שברגע שהמשתמש הזדוני בתוך המערכת הוא יכול לעשות כרצונו. המודל הישן מדבר על סיסמאות חזקות וחומות הגנה ומניח שמי שכבר עבר בשלום את החומות האלו הוא משתמש “נקי” ולכן אפשר לתת לו גישה לכל הנכסים, קבצים והרשאות החברה.

גם בתי העסק הכי מאובטחים לא מונעים לחלוטין גישה לעולם החיצוני וחלקם אפילו לא יודעים מאיפה המשתמשים מתחברים למערכת. זה אומר שעובד שלוקח הביתה את המחשב הנייד שלו, מסתכן בכך שהוא ייגנב. עובדת המתחברת לשרת אחסון הקבצים של החברה מהטלפון שלה, מסתכנת בווירוסים ונוזקות שונות היכולות למצוא את דרכן לדאטה של העסק.

לא פעם אנחנו שומעים על מנהלת אדמיניסטרציה שלחצה על אימייל מפתה ונעלה את כל קבצי המחשב שלה בתוכנת כופר. זה במקרה הטוב, במקרה הרע התוכנה חדרה לכל שרתי החברה והשביתה אותה לחלוטין. רק לאחרונה למדנו על מקרה שבמסגרתו וירוס כופר השבית את כלל מחשבי חברת הזנק ידועה.

המודל החדש של החתול המפוחד – Zero Trust

המודל החדש עובד על עקרון פשוט מאוד:

Trust No One, Verify Everyone!

המודל מדבר על אפס אמון באנשים המנסים להיכנס למערכת הארגון. הבסיס של Zero Trust עומד כולו על משולש עם 3 קודקודים:

  1. זהות האדם
  2. המכשיר
  3. האפליקציה/הגישה לקבצים

Zero Trust לא מסתפק באישור דו שלבי, הוא גם בודק מאיזה מכשיר בוצע האימות ולאלו קבצים המשתמש מבקש גישה.

כלומר, אותה מנהלת משרד מהדוגמה הקודמת תחסם כבר בשלב הגישה לקבצים של החברה. ברגע שהתגלתה הפרת אמון, במקרה זה לחיצה על האימייל אשר מתחיל להריץ את תוכנת הכופר, נמנעת הגישה לקבצי המערכת ברמת המשתמש עד אשר האמון יוחזר למערכת.

אם למשל, נגנב למשתמש הטלפון ומתבצע ניסיון גישה והעתקת של קבצים מאובטחים, מערכת אבטחת ה-Zero Trust תזהה התנהגות שונה ממה שהיא מכירה, כמו למשל כניסה לתיקיית קבצים ובקשה להרשאות שהמשתמש בדרך כלל לא מבקש. התנהגות תגרום להפרה באמון וגנב ינעל מחוץ למערכת עד אשר יוכל להוכיח שהוא אדם מורשה.

קל יותר להסביר את זה על חתול מפוחד:

  • חתול אשר מכיר את הבעלים שלו, יבוא אליו וייתן לו ללטף אותו בגב (שקול לכך שהמערכת נותנת אמון במשתמש ומאפשרת לו גישה).
  • כאשר אדם שהוא לא הבעלים של החתול ירצה ללטף את החתול (לגשת למערכת), מנגנון ההגנה של החתול יפעל ויתריע על סכנה והחתול לא יאפשר לאדם אחר ללטף אותו.
  • כאשר הבעלים מבצע ליטוף שהחתול לא מכיר או זוכר החתול ימנע את הליטוף ויברח (שקול לנעילה מחוץ למערכת של אדם מזוהה המתנהג בצורה חשודה).
  • ליטוף גב החתול עם חלק אחר מלבד היד של הבעלים, למשל עם הרגל, גם כן יתריע את מנגנון ההגנה של החתול והוא לא יאפשר ליטוף מסוג זה. (שקול לכניסה ממכשיר אחר למערכת באמצעות הסיסמאות הנכונות).

כמו שהחתול חושד במקורות חיצונים, התנהגויות לא מכורות ואף בבעלים המקורי שלי, כך גם אבטחת ה-Zero Trust

מה ניתן לעשות בשביל להגן על העסק?

עכשיו שהבנו את הסכנות הקיימות במודל האבטחה הישן ואת החוזקות של מודל ה – Zero Trust, הגיע הזמן לתכל’ס – מה באמת אפשר לעשות כדי להתגונן?

חברת מיקרוסופט מספקת את שירותי ניהול זהויות Azure Active Directory או בקיצור Azure AD. מדובר בטכנולוגיה קיימת של הענן המוכר, Azure, הפועל על תשתית של Zero Trust. בנוסף לאימות החזק באופן מהותי של Azure AD, המערכת מאפשרת למנהלי מערכת לקסטם באופן נוח את דרכי הגישה והכניסה למערכת ממשתמשי החברה בלי לפגוע בהגנה הקיימת.

החיבור התמידי לענן אומר שבכל זמן נתון המערכת מבצעת חישובים ברקע ושואלת שאלות כמו: האם הגישה הזאת ניתנה בעבר למשתמש? האם ההתנהגות של המשתמש מקובלת? האם המשתמש גולש מהטלפון של העבודה או האישי? ועוד.

יחד עם כל הנתונים המערכת מספקת, באמצעות אלגוריתמים וחקר התנהגויות, פתרון הגנה הוליסטי מלא על הדאטה. זאת אומרת שכל התנהגות חשודה תנעל את המשתמש שהפר את האמון מחוץ למערכת.

חברה נוספת המקדשת את תשתית Zero Trust, היא חברת Okta. החברה מתמחה בפתרונות אבטחה חכמים ואף מיישמת בחברה עצמה את תשתית ה – Zero Trust.

העקרונות המנחים את Okta, פשוטים. עקב המעבר לענן וריבוי המכשירים הניידים, הסיכונים גדלים ויש לנטר את המערכת כל זמן, כל הזמן. אין לבטוח באף אחד. החברה אף מציעה פתרונות גישה (Authentication) חכמים בדמות Okta Verify המפשט את הגישה למגוון אפליקציות עם מגוון סיסמאות, זאת בלי לסכן את המערכת או המשתמש.

סיכום

עם התפתחות הטכנולוגיה והגישה לאינטרנט ולאינטראנט (רשת פנימית) מכל מקום, עולים גם הסיכונים והסכנות. אין פתרון אחד ואין הגנה אחת מושלמת. גם את הקוד או הסיסמה הכי מורכבים בעולם ניתן לפרוץ, לכן הביטחון במערכת אחת כמו חומת אש, או VPN נחשב מיושן. אנחנו צריכים להגן על הסביבה שלנו ולא לבטוח באופן מלא גם במשתמש הנמצא כבר בתוך הרשת של החברה.

תשתית ויישום של Zero Trust, הוא הוליסטי וגם אם אין הגנה מושלמת, הפתרון לומד את הסביבה והמשתמשים ויוכל למנוע אובדן ופריצה למידע המאובטח ביותר בעסק שלך. איך תוכלו להגן על העסק שלכם מאיומים חיצוניים לחצו כאן.