محیط اعتماد (Zero Trust) صفر چیست؟

در دنیای امنیت سایبری، اصطلاحات مد روز زیادی وجود دارد و یکی از پرکاربردترین آن‌ها “اعتماد صفر” است. اما دقیقاً “اعتماد صفر” چیست و چرا اینقدر در گفتگوهای امنیت سایبری برجسته شده است؟ اعتماد صفر (Zero Trust) یک مفهوم امنیت سایبری با رویکرد “هرگز اعتماد نکنید، همیشه بررسی کنید” در دسترسی به شبکه است. محقق امنیت جیمز کیندرواگ این عبارت را در سال 2010 برای معرفی یک رویکرد جدی‌تر به یک تهدید رو به رشد ابداع کرد.

ایجاد یک محیط Zero Trust فرض می‌کند که همه کاربران و دستگاه‌ها، چه از داخل یا خارج از شبکه، تا زمانی که بررسی و تایید نشوند، غیرقابل اعتماد هستند. اعتماد صفر با پارادایم امنیت سایبری “دفاع در عمق” متفاوت است که به دنبال محافظت از داده‌ها از طریق لایه‌های متعدد موانع است. بسیاری از هکرها از بهره‌برداری از نقص‌های سیستم، مانند پورت‌های باز یا درهای پشتی فراموش شده، فاصله گرفته‌اند و در عوض سعی می‌کنند از طریق احراز هویت تقلبی وارد سازمان شوند. متأسفانه، این کار بلافاصله دسترسی قابل توجهی به داده‌ها و فرصتی برای تشدید حمله در داخل سیستم ارائه می‌دهد.

 

چرا ایجاد یک محیط اعتماد صفر ضروری است؟

در حالی که حملات پیچیده از نظر عموم مردم گسترده‌تر و غالب است، اما واقعیت نقض‌های امنیتی مدرن بسیار ساده‌تر است. در اصل، مهاجمان از بسیاری از افراد می‌خواهند که اطلاعات ورود به سامانه خود را به آن‌ها بدهند و وقتی کسی این کار را انجام داد، به حساب آن‌ها دسترسی پیدا می‌کنند و از آن برای سرقت داده‌ها یا آپلود بدافزار استفاده می‌کنند. البته، “درخواست اطلاعات ورود” خیلی هم ساده نیست. فیشینگ، حمله غالب احراز هویت، می‌تواند به عنوان مثال از صفحات وب جعلی برای شبیه‌سازی صفحات ورود معتبر استفاده کند، بنابراین قربانیان فکر می‌کنند جزئیات خود را در یک صفحه معتبر وارد می‌کنند.

با شبکه‌های گسترده امروزی و نقاط انتهایی بسیار در شبکه‌های اکثر سازمان‌ها، رویکرد “محیط امن” دیگر امکان‌پذیر نیست. بنابراین، پس از حملات عمده به زیرساخت‌های حیاتی ایالات متحده، کاخ سفید در ماه مه 2021 یک فرمان اجرایی صادر کرد که تمام آژانس‌های فدرال را ملزم به اتخاذ معماری اعتماد صفر کرد. اندکی پس از آن، دفتر مدیریت و بودجه (OMB) سند استراتژی Zero Trust فدرال را برای راهنمایی بخش‌ها و پیمانکاران صادر کرد.

کاهش ریسک دلیل دیگری برای استقرار معماری اعتماد صفر است. با معرفی قوانین سختگیرانه استفاده و حفاظت از داده‌ها در بسیاری از حوزه‌های قضایی، مانند GDPR و تنظیم مقررات سایبری NYDFS، حملات موفق می‌توانند منجر به جریمه، توبیخ عمومی، هزینه‌های پاکسازی و از دست دادن اعتماد مصرف‌کننده شوند.

 

ویژگی‌های اعتماد صفر

اعتماد صفر یک روش‌شناسی و رویکرد کلی امنیت سایبری است، نه یک تغییر واحد یا راه‌حل جادویی برای محافظت از داده‌ها. سوال “اعتماد صفر چیست” را می‌توان با نگاهی به ویژگی‌های اصلی آن پاسخ داد.

1- احراز هویت مداوم

با هدف قرار دادن کوکی‌های نشست توسط حملات و پتانسیل یک ورود موفق تقلبی، انجام احراز هویت کاربران به صورت مداوم یک ضرورت است.

2- احراز هویت چند عاملی (MFA)  مقاوم در برابر فیشینگ

به طور کلی، احراز هویت چند عاملی (MFA) یک پیشرفت نسبت به استفاده از نام کاربری و رمز عبور است. با این حال، هر MFA که از رازهای مشترک (از جمله پین‌ها، پیام‌های کوتاه، سوالات امنیتی، OTPها) استفاده می‌کند، همچنان می‌تواند توسط مهاجمان فیشینگ یا رهگیری شود. این کار تأثیر احراز هویت مداوم و نقش احراز هویت به عنوان محافظ اصلی اعتماد صفر را نفی می‌کند. به همین دلیل است که راهنمایی OMB آژانس‌های فدرال را تشویق می‌کند تا “استفاده بیشتر از احراز هویت چند عاملی بدون رمز عبور” را دنبال کنند که به طور طبیعی نمی‌توان آن را فیشینگ کرد.

3- دسترسی بر اساس حداقل امتیاز

اگرچه این مفهوم منحصر به Zero Trust نیست، اما یک استاندارد حداقل به جای بهترین عمل است. دسترسی حداقل امتیاز به این معنی است که به هر کاربر فقط حداقل دسترسی مطلق لازم برای انجام نقش خود اعطا می‌شود. دسترسی‌های همپوشانی اغلب می‌توانند باعث شوند که حساب‌های کاربری امتیازاتی را برای بخش‌ها و داده‌هایی که از نقش آن‌ها بسیار دور هستند یا هرگز استفاده نمی‌شوند در اختیار داشته باشند که می‌تواند مهاجمان را هنگام تصاحب حساب از آن‌ها بهره‌مند کند.

4- ریزتقسیم‌بندی (Micro-segmentation)

مانند دسترسی حداقل امتیاز، ریز تقسیم‌بندی شبکه شامل قرار دادن موانع سخت بین داده‌ها و مناطق سازمان است. این بدان معنی است که هر مهاجمی باید چندین نقطه دسترسی را نقض کند تا دسترسی گسترده و کافی برای یک حمله موفقیت‌آمیز داشته باشد. فهرست‌بندی داده‌های مدرن (Date Cataloging) و مجازی‌سازی به راهبران اجازه می‌دهد تا مشکلات سیلوبندی که ممکن است قبلاً توسط ریز تقسیم‌بندی ایجاد شده بود را برطرف کنند.

 

اعتماد صفر چگونه پیاده‌سازی می‌شود؟

راهنمایی در مورد اجرای اعتماد صفر را می‌توان در نشریه 800-207 مؤسسه ملی استانداردها و فناوری (NIST) یافت. این کار شامل اصول اساسی همانند موارد زیر است.

• در نظر گرفتن تمام خدمات محاسباتی و داده‌ها به عنوان منابع
• ایمن‌سازی تمام ارتباطات شبکه صرف نظر از مکان مبدا
• حفظ سوابق کامل و مداوم از تمام دارایی‌ها و مکان‌های داده
• احراز هویت پویا و سختگیرانه

بنابراین، یک معماری Zero Trust نیازمند اتخاذ یک رویکرد کاربرمحور با مکانیزم‌های حفاظتی متعدد در هر مرحله از مسیر یک کاربر در شبکه است. همچنین به سیستم‌های مدیریت هویت و دسترسی قوی نیاز دارد که می‌توان به آن‌ها به عنوان دروازه‌بان و منبع اصلی برای اثبات هویت کاربران اعتماد کرد. تنها راهی که می‌توان به طور قابل اعتماد به چنین سیستم مدیریت هویتی دست یافت، استفاده ازMFA  مقاوم در برابر فیشینگ است که با راهکارهای بدون رمز عبور محقق می‌شود. 

 

همراهی با شما برای ایجاد یک محیط اعتماد صفر

یک محیط اعتماد صفر مؤثر به یک سیستم احراز هویت نیاز دارد که بتوان بر آن تکیه کرد تا یک نقطه ورود محکم و قوی تشکیل دهد. راهکارهای ورود بدون رمز عبور با حذف گذرواژه‌ها و سایر اعتبارنامه‌های مشترک، ضعیف‌ترین حلقه‌ها در هر سیستم احراز هویت و به صورت کلی ضعیف‌ترین موانع در ایجاد یک محیط Zero Trust را از بین می‌برند. تمامی راهنماهای جهانی برای راه‌اندازی محیط‌های اعتماد صفر نیز به استفاده از راهکارهای احراز هویت بدون رمز عبور مبتنی بر استاندارد FIDO  به عنوان یک استاندارد طلایی اشاره دارند.

راهکار احراز هویت بدون رمز عبور نشانه، محصول شرکت رهسا (ره‌آورد سامانه‌های امن) که مبتنی بر استاندارد FIDO توسعه داده شده است، بهترین نقطه شروع برای ایجاد یک محیط اعتماد صفر است. تیم نشانه تلاش دارد، تا با کمک به سازمان‌های داخلی، روند حرکت به سمت حذف رمزهای عبور و تحقق یک محیط Zero Trust واقعی را بسیار کوتاه‌تر و ساده‌تر نماید. متخصصان ما، آماده ارائه هرگونه راهنمایی در این زمینه به سازمان‌ها در تمامی حوزه‌ها هستند.