نموذج أمان الثقة المعدومة ليس جديدًا. لقد كان موجودًا منذ أن كتب جون كيندرفاغ من Forrester Research ورقته البحثية "لا مزيد من المراكز المضغوطة: تقديم نموذج أمان المعلومات الصفري" في عام 2010.

يتمحور نهج Zero Trust حول الاعتقاد بأنه لا ينبغي الوثوق بطبيعتها في أي مستخدم أو تطبيق ، حتى أولئك الموجودين بالفعل داخل محيط الشبكة.

تم تبني هذه الفكرة بالفعل من قبل الشركات والمؤسسات الكبيرة مثل Google و Coca-Cola و NSA لمكافحة التهديد المتزايد للهجمات الإلكترونية. ومع ذلك ، لا تزال هناك حواجز أمام اعتماده السائد.

الأساطير حول أمان الثقة المعدومة

مع زيادة اهتمام المنظمات بنهج نموذج أمان الثقة الصفرية ، فإن بعض المفاهيم الخاطئة حول المبادئ الأساسية لإطار العمل قد أعاقت التبني. إليك بعض الأساطير التي لا يجب عليك تصديقها.

الأسطورة الأولى: الثقة المعدومة تخلق ثقافة عدم الثقة

من المفاهيم الخاطئة الشائعة حول Zero Trust أنها تعزز فكرة عدم الثقة بموظفيك. في حين أن إطار عمل Zero Trust يتطلب من الشركات فحص المستخدمين الذين يصلون إلى موارد الشبكة الخاصة بهم ، فلا ينبغي إساءة تفسيرها على أنها شيء شخصي.

الحقيقة هي أن الثقة تمثل ثغرة أمنية يمكن أن تعرض مؤسستك لخطر الهجوم. يستغل مجرمو الإنترنت الثقة على وجه التحديد لاستهداف الشركات ، وتوفر Zero Trust طريقة للتخفيف من ذلك. إنه يعادل إدخال بطاقة مفتاح بدلاً من السماح للجميع بدخول المبنى.

instagram viewer

بواسطة باستخدام مبدأ الامتياز الأقل (POLP) ، يمكن للمؤسسات تخصيص سياسات العتبة بحيث يتم منح المستخدمين حق الوصول فقط إلى الموارد التي يحتاجون إليها بناءً على الثقة التي اكتسبوها.

الأسطورة الثانية: الثقة المعدومة منتج

الثقة المعدومة هي استراتيجية أو إطار عمل وليس منتجًا. لقد تم إنشاؤه حول فكرة عدم الثقة مطلقًا والتحقق دائمًا.

يمكن أن تساعد المنتجات المختلفة التي يقدمها البائعون في تحقيق ثقة معدومة ؛ ومع ذلك ، فهي ليست منتجات Zero Trust. إنها مجرد منتجات تعمل بشكل جيد في بيئة أمان الثقة المعدومة. لذلك ، إذا طلب منك البائع شراء منتج Zero Trust ، فهذا مؤشر على أنه لا يفهم المفهوم الأساسي.

متعلق ب: ما هي شبكة الثقة المعدومة وكيف تحمي بياناتك؟

عند دمجها بشكل صحيح مع بنية Zero Trust ، يمكن للعديد من المنتجات تقليل سطح الهجوم بشكل فعال واحتواء نصف قطر الانفجار في حالة حدوث خرق. بمجرد التنفيذ الكامل ، يمكن لحل Zero Trust مع التحقق المستمر أن يقضي تمامًا على سطح الهجوم.

الأسطورة الثالثة: هناك طريقة واحدة فقط لتنفيذ الثقة المعدومة

Zero Trust عبارة عن مجموعة من مبادئ الأمان التي تتضمن التحقق المستمر ، ومبدأ الوصول الأقل امتيازًا ، وتخفيف سطح الهجوم.

على مر السنين ، ظهر نهجان للبدء في نموذج أمان الثقة المعدومة. يبدأ النهج الأول بالهوية ويتضمن مصادقة متعددة العوامل ، والتي تقدم نتائج سريعة.

متعلق ب: ما هي المصادقة الثنائية؟ إليك لماذا يجب أن تستخدمه

الطريقة الثانية تتمحور حول الشبكة ويبدأ بتجزئة الشبكة. يتضمن المفهوم إنشاء شرائح شبكة للتحكم في حركة المرور داخل تلك القطاعات وفيما بينها. يمكن لمسؤولي الشبكة بعد ذلك الاحتفاظ بتفويض منفصل لكل جزء ، وبالتالي الحد من انتشار التهديدات الجانبية في النظام.

الأسطورة الرابعة: الثقة المعدومة يخدم الشركات الكبيرة فقط

كانت Google واحدة من أولى الشركات التي نشرت بنية Zero Trust ردًا على عملية Aurora في عام 2009. كانت هذه سلسلة من الهجمات تستهدف مؤسسات كبيرة مثل Google و Yahoo و Morgan Stanley و Adobe Systems.

عندما تبنت Google نموذج Zero Trust فور وقوع الهجمات ، اعتقدت العديد من الشركات (ولا تزال تعتقد) أنه ينطبق فقط على المؤسسات الكبيرة. لن تكون هذه الفكرة صحيحة إلا إذا اقتصرت الهجمات الإلكترونية على الشركات الكبرى ، وهذا ليس هو الحال. في الواقع ، حوالي 46٪ من خروقات البيانات في عام 2021 كانت تستهدف الشركات الصغيرة.

بينما تميل وسائل الإعلام إلى تغطية انتهاكات البيانات التي تؤثر على المؤسسات الكبيرة ، فلا شك في أن الشركات الصغيرة تحتاج أيضًا إلى الحماية من الهجمات الإلكترونية.

والخبر السار هو أن المؤسسات الصغيرة لا تضطر إلى كسر البنك لتنفيذ نموذج الثقة المعدومة. نظرًا لأنه ليس منتجًا ، يمكن للشركات تقديمه تدريجيًا من خلال تخصيص استثمار سنوي متواضع في بنية Zero Trust.

الأسطورة الخامسة: انعدام الثقة يعيق تجربة المستخدم

أحد العوائق التي تحول دون اعتماد Zero Trust هو التأثير الملحوظ على تجربة المستخدم. من المفهوم أن نفترض أن إنتاجية المستخدمين وسرعة حركتهم ستعاني عند التحقق المستمر من هويات المستخدمين. ومع ذلك ، عند تطبيق Zero Trust بشكل مناسب ، يمكن أن يوفر تجربة سهلة الاستخدام.

يمكن للمؤسسات تقييم ملفات تعريف المستخدمين والجمع بين المصادقة القائمة على المخاطر والتعلم الآلي لتحديد المخاطر واتخاذ قرارات الوصول السريع. إذا كانت المخاطر عالية ، فقد يطلب النظام خطوة مصادقة إضافية أو يمنع الوصول بالكامل لحماية موارده. على العكس من ذلك ، يمكنه القضاء على تحديات المصادقة إذا كانت المخاطر منخفضة.

يقلل نهج أمان الثقة الصفري أيضًا من التعقيد على الجانب الإداري للأشياء. لن يعد المتعاقدون والموظفون مسؤوليات أمنية في حالة توقفهم عن التعامل معك. بموجب نموذج أمان الثقة المعدومة الفعال ، سينهي النظام على الفور وصولهم إلى الأصول الرئيسية ، مما يلغي الأبواب الخلفية.

الأسطورة السادسة: الثقة الصفرية تقتصر على البيئة المحلية

لا تزال العديد من الشركات تنظر إلى Zero Trust كنموذج لا يمكن إدارته إلا في أماكن العمل. تصبح هذه مشكلة كبيرة لأن البيانات الحساسة موجودة الآن في البيئات المختلطة والسحابة. مع تزايد الهجمات الإلكترونية والقرصنة التي تؤثر على البنية الداخلية ، ينتقل المزيد والمزيد من الشركات إلى السحابة.

والخبر السار هو أن الثقة المعدومة (Zero Trust) تتحرك معها بسرعة.

متعلق ب: أهم خروقات بيانات أمان السحابة في السنوات الأخيرة

من خلال إنشاء بنية الثقة المعدومة في السحابة ، يمكن للشركات حماية البيانات الحساسة وتقليل تعرض الأصول المعرضة للخطر في شبكتها.

بالإضافة إلى ذلك ، مع تكثيف ثقافة العمل عن بعد وقيام المجرمين الإلكترونيين بتطوير طرق جديدة لاستغلال نقاط الضعف ، فإن الشركات التي تعتمد على البنية التحتية في مكان العمل تتعرض لخطر التعطل.

لا تثق ابدا؛ تحقق دائما

استنادًا إلى عدد عمليات اختراق البيانات التي تستهدف المؤسسات ، من الواضح أن نهج المدرسة القديمة تجاه الأمان ليس كافيًا. بينما يعتقد الكثيرون أن Zero Trust مكلف ويستغرق وقتًا طويلاً ، فهو ترياق رائع لمشاكل الأمان في الوقت الحالي.

يسعى نموذج Zero Trust إلى إزالة الأنظمة القائمة على الثقة لمجرد أنه يتم استغلالها كثيرًا في الهجمات الإلكترونية. إنه يعمل على مبدأ أنه يجب التحقق من كل شخص وكل شيء قبل الوصول إلى موارد الشبكة. هذا مسعى جدير للشركات التي تتطلع إلى تقليل المخاطر وتحسين وضعها الأمني.

كيف يمكن لأمان الثقة المعدومة منع هجمات برامج الفدية؟

أثبت نموذج الأمان التقليدي عدم فعاليته في مواجهة برامج الفدية الضارة. تعرف على سبب كون انعدام الثقة هو أفضل نهج لهزيمة الهجمات الإلكترونية.

اقرأ التالي

شاركسقسقةبريد الالكتروني
مواضيع ذات صلة
  • حماية
  • الأمن على الإنترنت
  • الأمن الإلكتروني
  • الخصوصية عبر الإنترنت
  • تقنية الأعمال
عن المؤلف
فؤاد علي (25 مقالة منشورة)

فؤاد مهندس تكنولوجيا المعلومات والاتصالات ورائد أعمال طموح وكاتب. دخل مجال كتابة المحتوى في عام 2017 وعمل مع وكالتين للتسويق الرقمي والعديد من عملاء B2B و B2C منذ ذلك الحين. يكتب عن Security and Tech في MUO ، بهدف تثقيف الجمهور وترفيهه وإشراكه.

المزيد من Fawad Ali

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

انقر هنا للاشتراك