โมเดลศูนย์ความเชื่อถือได้รับแรงบันดาลใจจากผู้เชี่ยวชาญด้านความปลอดภัย

"ไม่ไว้ใจตรวจสอบทุกครั้ง" ฟังดูเหมือนสามัญสำนึกใช่ไหม นั่นคือคำขวัญที่อยู่เบื้องหลังกลยุทธ์ที่ชื่อว่า Zero Trust ซึ่งกำลังได้รับความสนใจในโลกแห่งความมั่นคงทางไซเบอร์ มันเกี่ยวข้องกับแผนกไอทีในการตรวจสอบผู้ใช้ทั้งหมดก่อนที่จะให้สิทธิ์การเข้าถึง การจัดการการเข้าถึงบัญชีอย่างมีประสิทธิภาพมีความสำคัญมากกว่าที่เคยด้วยการรายงานการละเมิดข้อมูลของธุรกิจขนาดเล็กถึงขนาดกลาง (SMBs) 58% ในปี 2560 ตามรายงานการสอบสวนการละเมิดข้อมูลของ Verizon 2018

แนวคิด Zero Trust ก่อตั้งขึ้นโดย John Kindervag อดีตนักวิเคราะห์ที่ Forrester Research และปัจจุบันเป็น Field CTO ที่ Palo Alto Networks “ เราจำเป็นต้องเริ่มทำกลยุทธ์จริงและนั่นคือสิ่งที่ Zero Trust เปิดใช้งาน” Kindervag กล่าวกับผู้ชมในวันที่ 30 ตุลาคมที่การประชุมสุดยอด SecurIT Zero Trust ในมหานครนิวยอร์ก เขาเสริมว่าแนวคิดของ Zero Trust นั้นเกิดขึ้นเมื่อเขานั่งลงและพิจารณาแนวคิดของความไว้วางใจจริง ๆ และนักแสดงประสงค์ร้ายที่เป็นประโยชน์โดยทั่วไปจาก บริษัท ที่ไว้วางใจฝ่ายที่ไม่ควรทำ

ดร. เชสคันนิงแฮมกลายเป็นผู้สืบทอดของ Kindervag ในฐานะนักวิเคราะห์หลักที่ Forrester ในการสนับสนุนวิธีการเข้าถึงความน่าเชื่อถือ "ความน่าเชื่อถือเป็นศูนย์คือสิ่งที่เกี่ยวข้องกับคำสองคำนี้หมายความว่าไม่เชื่อใจอะไรไม่เชื่อถือการจัดการรหัสผ่านไม่เชื่อถือข้อมูลประจำตัวไม่ไว้วางใจผู้ใช้และไม่ไว้วางใจเครือข่าย" Cunningham บอก PCMag ที่ Zero Trust ประชุมสุดยอด

Kindervag ใช้ตัวอย่างของ US Secret Service เพื่อแสดงให้เห็นว่าองค์กรควรติดตามสิ่งที่พวกเขาต้องการปกป้องและผู้ที่ต้องการเข้าถึง “ พวกเขาตรวจสอบและอัปเดตการควบคุมเหล่านั้นอย่างต่อเนื่องเพื่อให้พวกเขาสามารถควบคุมสิ่งที่ส่งผ่านเส้นรอบวงขนาดเล็กในเวลาใดก็ตาม” Kindervag กล่าว "นี่เป็นวิธีการป้องกันแบบ Zero Trust ซึ่งเป็นตัวอย่างที่ดีที่สุดของสิ่งที่เราพยายามทำใน Zero Trust"

บทเรียนความน่าเชื่อถือแบบเป็นศูนย์เรียนรู้ที่ OPM

ตัวอย่างที่สมบูรณ์แบบของวิธีการที่ Zero Trust สามารถทำงานเพื่อผลประโยชน์ขององค์กรมาจาก CIO ในอดีตของรัฐบาลสหรัฐ ในการประชุมสุดยอด Zero Trust ดร. โทนี่สก็อตต์ผู้ซึ่งดำรงตำแหน่ง US CIO ตั้งแต่ปี 2558 ถึงปี 2560 ได้อธิบายถึงการฝ่าฝืนข้อมูลสำคัญที่เกิดขึ้นที่สำนักงานการบริหารงานบุคคลของสหรัฐอเมริกา (OPM) ในปี 2557 การฝ่าฝืนเกิดขึ้นเนื่องจากการจารกรรมต่างชาติ ข้อมูลส่วนบุคคลและข้อมูลความปลอดภัยด้านการกวาดล้างข้อมูลถูกขโมยไปแล้ว 22.1 ล้านคนพร้อมกับข้อมูลลายนิ้วมือบน 5.6 ล้านคน สกอตต์อธิบายว่าไม่เพียง แต่การรวมกันของความปลอดภัยทางดิจิทัลและทางกายภาพจะเป็นสิ่งที่จำเป็นเพื่อป้องกันการละเมิดนี้ แต่ยังรวมถึงการประยุกต์ใช้นโยบาย Zero Trust ที่มีประสิทธิภาพ

เมื่อผู้คนต้องการสมัครงานที่ OPM พวกเขากรอกแบบสอบถามแบบฟอร์มมาตรฐานหมดจด (SF) 86 และข้อมูลจะได้รับการปกป้องที่ถ้ำโดยเจ้าหน้าที่รักษาความปลอดภัยและรถถังเขากล่าว "ถ้าคุณเป็นนิติบุคคลต่างประเทศและคุณต้องการขโมยข้อมูลนั้นคุณจะต้องฝ่าฝืนถ้ำแห่งนี้ในเพนซิลเวเนียและต้องผ่านกองกำลังติดอาวุธจากนั้นคุณจะต้องทิ้งรถบรรทุกกระดาษไว้หรือมีเครื่องซีร็อกซ์ที่รวดเร็วมาก สกอตต์กล่าวว่า

“ น่าจะเป็นเรื่องใหญ่ที่จะพยายามหลบหนีด้วยบันทึกถึง 21 ล้านแผ่น” เขากล่าวต่อ “ แต่อย่างช้าๆเมื่อระบบอัตโนมัติเข้าสู่กระบวนการ OPM เราเริ่มวางสิ่งนี้ลงในไฟล์คอมพิวเตอร์บนสื่อแม่เหล็กและอื่น ๆ นั่นทำให้การขโมยง่ายขึ้นมาก” Scott อธิบายว่า OPM ล้มเหลวในการค้นหาประเภทของการรักษาความปลอดภัยที่มีประสิทธิภาพเทียบเท่ากับยามติดอาวุธเมื่อหน่วยงานเข้าสู่ระบบดิจิตอล หลังจากการโจมตีสภาคองเกรสออกรายงานเรียกร้องให้มีกลยุทธ์การเชื่อถือเป็นศูนย์เพื่อป้องกันการละเมิดประเภทนี้ในอนาคต

"เพื่อต่อสู้กับภัยคุกคามขั้นสูงที่กำลังพยายามประนีประนอมหรือใช้ประโยชน์จากเครือข่ายไอทีของรัฐบาลกลางหน่วยงานควรจะมุ่งไปสู่รูปแบบ 'Zero Trust' ของความปลอดภัยของข้อมูลและสถาปัตยกรรมไอที" รายงานของรัฐสภาระบุ อดีตตัวแทนสหรัฐ Jason Chaffetz (R-Utah) จากนั้นประธานคณะกรรมการกำกับดูแลยังได้เขียนบทความเกี่ยวกับ Zero Trust ในขณะนั้นซึ่งตีพิมพ์โดย Federal News Radio "สำนักงานการจัดการและงบประมาณ (OMB) ควรพัฒนาแนวทางสำหรับแผนกบริหารและหัวหน้าหน่วยงานเพื่อใช้ Zero Trust อย่างมีประสิทธิภาพพร้อมกับมาตรการในการมองเห็นและบันทึกการรับส่งข้อมูลเครือข่ายทั้งหมด" Chaffetz เขียน

Zero Trust ในโลกแห่งความจริง

ในตัวอย่างจริงของการนำ Zero Zero ไปใช้งาน Google ได้ปรับใช้ภายในโครงการที่ชื่อว่า BeyondCorp ซึ่งมีจุดประสงค์เพื่อย้ายการควบคุมการเข้าถึงจากขอบเขตเครือข่ายไปยังอุปกรณ์และผู้ใช้แต่ละคน ผู้ดูแลระบบสามารถใช้ BeyondCorp เป็นวิธีในการสร้างนโยบายการควบคุมการเข้าถึงอย่างละเอียดสำหรับแพลตฟอร์ม Google Cloud และ Google G Suite ตามที่อยู่ IP สถานะความปลอดภัยของอุปกรณ์และข้อมูลประจำตัวของผู้ใช้ บริษัท ที่ชื่อว่า Luminate มอบการรักษาความปลอดภัยแบบ Zero Trust ซึ่งเป็นบริการที่อิงกับ BeyondCorp Luminate Secure Access Cloud รับรองความถูกต้องของผู้ใช้ตรวจสอบอุปกรณ์และเสนอเครื่องมือที่ให้คะแนนความเสี่ยงที่อนุญาตการเข้าถึงแอปพลิเคชัน

"เป้าหมายของเราคือการให้การเข้าถึงที่ปลอดภัยสำหรับผู้ใช้ทุกคนจากอุปกรณ์ใด ๆ ไปยังทรัพยากรขององค์กรไม่ว่าจะอยู่ที่ไหนในระบบคลาวด์หรือในสถานที่โดยไม่ต้องติดตั้งตัวแทนใด ๆ ในอุปกรณ์ปลายทางหรืออุปกรณ์เช่นเครือข่ายส่วนตัวเสมือน (VPN)" ไฟร์วอลล์หรือผู้รับมอบฉันทะในไซต์ปลายทาง "Michael Dubinsky หัวหน้าฝ่ายการจัดการผลิตภัณฑ์ที่ Luminate บอก PCMag ในการประชุม Hybrid Identity Protection (HIP) 2018 (HIP2018) ใน NYC

วินัยด้านไอทีที่สำคัญที่ Zero Trust กำลังรับแรงฉุดอย่างรวดเร็วคือการจัดการตัวตน อาจเป็นเพราะ 80 เปอร์เซ็นต์ของการละเมิดเกิดจากการใช้ข้อมูลประจำตัวที่มีสิทธิใช้งานในทางที่ผิดตามรายงาน "Forrester Wave: Privileged Identity Management, Q3 2016" รายงาน ระบบที่ควบคุมการเข้าถึงที่ได้รับอนุญาตในระดับละเอียดยิ่งขึ้นสามารถช่วยป้องกันเหตุการณ์เหล่านี้ได้

พื้นที่การจัดการข้อมูลเฉพาะตัวไม่ใช่เรื่องใหม่และมีรายชื่อ บริษัท ที่ให้บริการโซลูชั่นจำนวนมากโดยมีแนวโน้มว่า Microsoft และแพลตฟอร์ม Active Directory (AD) ที่แพร่หลายที่สุดซึ่งฝังอยู่ในระบบปฏิบัติการ Windows Server ( OS) อย่างไรก็ตามมีผู้เล่นใหม่ ๆ จำนวนมากที่ไม่เพียง แต่ให้การทำงานมากกว่าโฆษณาเท่านั้น แต่ยังช่วยให้การจัดการข้อมูลประจำตัวง่ายขึ้นในการนำไปใช้และบำรุงรักษา บริษัท ดังกล่าวรวมถึงผู้เล่นเช่น Centrify, Idaptive, Okta และ SailPoint Technologies

และในขณะที่ผู้ที่ลงทุนใน Windows Server แล้วอาจจ่ายเงินมากขึ้นสำหรับเทคโนโลยีที่พวกเขารู้สึกว่าลงทุนไปแล้วสถาปัตยกรรมการจัดการข้อมูลผู้ใช้ที่ลึกซึ้งยิ่งขึ้นและได้รับการบำรุงรักษาที่ดีขึ้นสามารถสร้างผลกำไรจำนวนมหาศาลในการฝ่าฝืน นอกจากนี้ค่าใช้จ่ายก็ไม่ได้ห้ามแม้ว่าจะมีความสำคัญ ตัวอย่างเช่น Centrify Infrastructure Services เริ่มต้นที่ $ 22 ต่อเดือนต่อระบบ

Zero Trust ทำงานอย่างไร

"สิ่งหนึ่งที่ Zero Trust ทำได้คือการกำหนดการแบ่งส่วนเครือข่าย" Kindervag กล่าว การแบ่งกลุ่มเป็นแนวคิดที่สำคัญทั้งในการจัดการเครือข่ายและความปลอดภัยทางอินเทอร์เน็ต มันเกี่ยวข้องกับการแยกเครือข่ายคอมพิวเตอร์ออกเป็นเครือข่ายย่อยไม่ว่าจะเป็นทางตรรกะหรือทางร่างกายเพื่อปรับปรุงประสิทธิภาพและความปลอดภัย

สถาปัตยกรรม Zero Trust เคลื่อนไหวเกินกว่ารุ่นปริมณฑลซึ่งครอบคลุมตำแหน่งทางกายภาพของเครือข่าย มันเกี่ยวข้องกับการ "ผลักเส้นรอบวงลงไปที่เอนทิตี" คันนิงแฮมกล่าว

"เอนทิตีอาจเป็นเซิร์ฟเวอร์ผู้ใช้อุปกรณ์หรือจุดเข้าใช้งาน" เขากล่าว "คุณผลักดันการควบคุมลงไปที่ระดับจุลภาคแทนที่จะคิดว่าคุณได้สร้างกำแพงสูงและคุณปลอดภัย" คันนิงแฮมอธิบายว่าไฟร์วอลล์เป็นส่วนหนึ่งของขอบเขตทั่วไป “ มันเป็นปัญหาของวิธีการและกลยุทธ์และปริมณฑล” เขากล่าว “ กำแพงสูงและสิ่งใหญ่อย่างหนึ่ง: พวกเขาไม่ทำงาน”

เพื่อให้สามารถเข้าถึงเครือข่ายได้ความปลอดภัยแบบเก่า ๆ ก็คือการใช้เราเตอร์จากข้อมูลของแดนนี่คิเบลซีอีโอคนใหม่ของ Idaptive บริษัท จัดการข้อมูลระบุตัวตนซึ่งกำลังหมุนตัวจาก Centrify ก่อน Zero Trust บริษัท จะตรวจสอบและเชื่อถือ แต่ด้วย Zero Trust คุณจะต้อง "ยืนยันเสมอไม่เชื่อถือ" Kibel อธิบาย

Idaptive นำเสนอแพลตฟอร์ม Next-Gen Access ซึ่งรวมถึง Single Sign-On (SSO), การรับรองความถูกต้อง multifactor (MFA) และการจัดการอุปกรณ์มือถือ (MDM) บริการต่าง ๆ เช่น Idaptive ให้วิธีการสร้างตัวควบคุมที่จำเป็นในการเข้าถึง คุณสามารถจัดเตรียมหรือยกเลิกการจัดเตรียมตามผู้ที่ต้องการเข้าถึงแอปพลิเคชันต่างๆ “ มันให้ความสามารถที่ละเอียดสำหรับองค์กรในการควบคุมการเข้าถึง” Kibel กล่าว "และนี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับองค์กรที่เราเห็นเพราะมีการแผ่ขยายมากในแง่ของการเข้าถึงที่ไม่ได้รับอนุญาต"

Kibel กำหนดแนวทางของ Idaptive ให้เป็น Zero Trust ด้วยสามขั้นตอน: ตรวจสอบผู้ใช้ยืนยันอุปกรณ์ของตนจากนั้นอนุญาตการเข้าถึงแอปพลิเคชันและบริการสำหรับผู้ใช้รายนั้นเท่านั้น "เรามีเวกเตอร์หลายตัวเพื่อประเมินพฤติกรรมของผู้ใช้: สถานที่ตั้งความเร็วทางภูมิศาสตร์เวลาของวันเวลาของสัปดาห์ประเภทของแอปพลิเคชันที่คุณใช้และแม้แต่ในบางกรณีวิธีที่คุณใช้แอปพลิเคชันนั้น" Kibel กล่าว . Idaptive มอนิเตอร์ที่ประสบความสำเร็จและล้มเหลวในการพยายามเข้าสู่ระบบเพื่อดูว่าเมื่อใดที่ต้องทำการพิสูจน์ตัวตนอีกครั้งหรือปิดกั้นผู้ใช้ทั้งหมด

ในวันที่ 30 ตุลาคม Centrify แนะนำวิธีการรักษาความปลอดภัยบนโลกไซเบอร์ที่เรียกว่า Zero Trust Privilege ซึ่ง บริษัท ต่างๆให้สิทธิ์การเข้าถึงที่มีสิทธิพิเศษน้อยที่สุดและยืนยันว่าใครเป็นผู้ร้องขอการเข้าถึง สี่ขั้นตอนของกระบวนการ Zero Trust Privilege รวมถึงการตรวจสอบผู้ใช้ค้นหาบริบทของการร้องขอการรักษาความปลอดภัยของสภาพแวดล้อมของผู้ดูแลระบบและการให้สิทธิพิเศษจำนวนน้อยที่สุดที่จำเป็น วิธี Zero Trust Privilege ของ Centrify เกี่ยวข้องกับวิธีการแบ่งส่วนเพื่อลดความเสี่ยง นอกจากนี้ยังนำการเปลี่ยนแปลงจากการจัดการการเข้าถึงแบบเดิม (PAM) ซึ่งเป็นซอฟต์แวร์ที่ช่วยให้ บริษัท ต่างๆ จำกัด การเข้าถึงสภาพแวดล้อมชนิดใหม่เช่นแพลตฟอร์มที่เก็บข้อมูลบนคลาวด์โครงการข้อมูลขนาดใหญ่และแม้แต่โครงการพัฒนาแอปพลิเคชันขั้นสูง โฮสติ้งสิ่งอำนวยความสะดวก

นายซี. ทิม Steinkopf ประธานของ Centrify กล่าวว่าแบบจำลอง Zero Trust ถือว่าแฮกเกอร์เข้าถึงเครือข่ายอยู่แล้ว กลยุทธ์ในการต่อสู้กับภัยคุกคามนี้จะ จำกัด การเคลื่อนไหวด้านข้างและใช้ MFA ได้ทุกที่ตาม Steinkopf "เมื่อใดก็ตามที่มีคนพยายามเข้าถึงสภาพแวดล้อมที่มีสิทธิพิเศษคุณจะต้องมีสิทธิ์ที่ถูกต้องและการเข้าถึงที่ถูกต้องทันที" Steinkopf บอกกับ PCMag "วิธีการบังคับใช้คือการรวมข้อมูลประจำตัวแล้วคุณต้องมีบริบทของคำขอหมายถึงบุคคลที่ทำอะไรเมื่อไรทำไมและที่ใด" หลังจากนั้นคุณให้สิทธิ์การเข้าถึงที่จำเป็น Steinkopf กล่าว

“ คุณใช้บริบทของผู้ใช้ซึ่งในกรณีนี้อาจเป็นหมอก็อาจเป็นพยาบาลหรืออาจเป็นบุคคลอื่นที่พยายามเข้าถึงข้อมูล” Dubinsky กล่าว "คุณใช้บริบทของอุปกรณ์ที่ใช้งานอยู่คุณใช้บริบทของไฟล์ที่พวกเขากำลังพยายามเข้าถึงจากนั้นคุณจะต้องทำการตัดสินใจในการเข้าถึงตามนั้น"

MFA, Zero Trust และแนวทางปฏิบัติที่ดีที่สุด

กุญแจสำคัญของรุ่น Zero เชื่อถือคือการรับรองความถูกต้องที่แข็งแกร่งและการอนุญาตให้ตรวจสอบหลายปัจจัยเป็นส่วนหนึ่งของสิ่งนั้น Hed Kovetz ซีอีโอและผู้ร่วมก่อตั้งของ Silverfort กล่าวซึ่งนำเสนอโซลูชั่น MFA ด้วยการที่ไม่มีขอบเขตในยุคของคลาวด์จึงมีความต้องการการพิสูจน์ตัวตนมากขึ้นกว่าเดิม “ ความสามารถในการทำ MFA ของทุกอย่างเกือบเป็นความต้องการขั้นพื้นฐานของ Zero Trust และเป็นไปไม่ได้ที่จะทำในวันนี้เพราะ Zero Trust มาจากแนวคิดที่ไม่มีขอบเขตอีกต่อไป” Kovetz กล่าวกับ PCMag ที่ HIP2018 "ดังนั้นสิ่งใดก็ตามที่เชื่อมต่อกับทุกสิ่งและในความเป็นจริงคุณไม่มีเกตเวย์ที่คุณสามารถใช้การควบคุมได้"

คันนิงแฮมของ Forrester ได้กำหนดกลยุทธ์ที่เรียกว่า Zero Trust eXtended (XTX) เพื่อทำแผนที่การตัดสินใจซื้อเทคโนโลยีให้กับกลยุทธ์ Zero Trust "เรามองไปที่การควบคุมเจ็ดชิ้นที่คุณต้องการเพื่อจัดการสภาพแวดล้อมอย่างปลอดภัย" Cunningham กล่าว เจ็ดเสาหลักคือระบบอัตโนมัติและการประสานการมองเห็นและการวิเคราะห์ปริมาณงานผู้คนข้อมูลเครือข่ายและอุปกรณ์ ในการเป็นแพลตฟอร์ม ZTX ระบบหรือเทคโนโลยีจะมีสามเสาหลักเหล่านี้พร้อมกับความสามารถของ application programming interface (API) ผู้ค้าหลายรายที่เสนอโซลูชันความปลอดภัยเหมาะสมกับเสาหลักต่างๆของกรอบงาน Centrify นำเสนอผลิตภัณฑ์ที่ตอบสนองความปลอดภัยของผู้คนและอุปกรณ์ Palo Alto Networks และ Cisco นำเสนอโซลูชั่นระบบเครือข่ายและโซลูชั่น Security Guardium ของ IBM มุ่งเน้นที่การปกป้องข้อมูล Cunningham กล่าว

รูปแบบ Zero Trust ควรเกี่ยวข้องกับอุโมงค์ที่เข้ารหัสลับ, ทราฟฟิกคลาวด์, และการเข้ารหัสตามใบรับรอง, Steinkopf กล่าว หากคุณกำลังส่งข้อมูลจาก iPad ผ่านอินเทอร์เน็ตคุณต้องยืนยันว่าผู้รับมีสิทธิ์เข้าถึงเขาอธิบาย การใช้แนวโน้มเทคโนโลยีที่เกิดขึ้นใหม่เช่นคอนเทนเนอร์และ DevOps สามารถช่วยต่อสู้กับการละเมิดข้อมูลรับรองที่มีสิทธิพิเศษตาม Steinkopf นอกจากนี้เขายังอธิบายถึงคลาวด์คอมพิวติ้งว่าอยู่ในระดับแนวหน้าของกลยุทธ์ Zero Trust

Dubinsky ของ Luminate เห็นด้วย สำหรับธุรกิจขนาดกลางให้หันไปหา บริษัท คลาวด์ที่ให้บริการจัดการข้อมูลประจำตัวหรือบริการ MFA เพื่อลดภาระหน้าที่ด้านความปลอดภัยเหล่านี้ให้กับ บริษัท ที่เชี่ยวชาญในด้านนั้น “ คุณต้องการถ่ายข้อมูลให้มากที่สุดเท่าที่จะทำได้เพื่อ บริษัท และผู้คนที่รับผิดชอบงานประจำวันของพวกเขา” Dubinsky กล่าว

ศักยภาพของ Zero Trust Framework

แม้ว่าผู้เชี่ยวชาญยอมรับว่า บริษัท ต่างๆกำลังเปลี่ยนไปใช้รูปแบบ Zero Trust โดยเฉพาะในการจัดการข้อมูลผู้ใช้ แต่บางคนไม่เห็นความจำเป็นในการเปลี่ยนแปลงโครงสร้างพื้นฐานด้านความปลอดภัยจำนวนมากเพื่อนำ Zero Trust มาใช้ “ ฉันไม่แน่ใจว่ามันเป็นกลยุทธ์ที่ฉันต้องการนำมาใช้ในทุกระดับในวันนี้” ฌอนไพค์รองประธานโครงการกลุ่มผลิตภัณฑ์รักษาความปลอดภัยของไอดีซีกล่าว "ฉันไม่แน่ใจว่าแคลคูลัส ROI นั้นอยู่ในกรอบเวลาที่เหมาะสมมีจำนวนการเปลี่ยนแปลงทางสถาปัตยกรรมและปัญหาบุคลากรที่ฉันคิดว่าทำให้ราคาต้องห้ามเป็นกลยุทธ์"

อย่างไรก็ตาม Pike มองเห็นศักยภาพของ Zero Trust ในการสื่อสารโทรคมนาคมและ IDM "ฉันคิดว่ามีส่วนประกอบที่สามารถนำไปใช้ได้ทันทีในวันนี้ซึ่งไม่ต้องการการเปลี่ยนแปลงสถาปัตยกรรมขายส่ง - เอกลักษณ์เช่น" ไพค์กล่าว "ในขณะที่พวกเขาเกี่ยวข้องกันความรู้สึกที่แข็งแกร่งของฉันคือการยอมรับไม่จำเป็นต้องเป็นการย้ายเชิงกลยุทธ์ไปสู่ ​​Zero Trust แต่เป็นการย้ายไปยังที่อยู่ใหม่ของผู้ใช้ที่เชื่อมต่อและความต้องการที่จะย้ายออกจากระบบที่ใช้รหัสผ่านและปรับปรุงการจัดการการเข้าถึง อธิบาย

แม้ว่า Zero Trust สามารถตีความได้ว่าเป็นแนวคิดทางการตลาดที่ใช้หลักการมาตรฐานความปลอดภัยทางไซเบอร์ซ้ำ ๆ เช่นไม่ไว้วางใจผู้เข้าร่วมในเครือข่ายของคุณและต้องการตรวจสอบผู้ใช้ แต่ก็มีจุดประสงค์เป็นแผนเกม . “ ฉันเป็นผู้สนับสนุนที่ยิ่งใหญ่สำหรับ Zero Trust การเคลื่อนไปสู่มนต์วิเศษเชิงกลยุทธ์ประเภทนี้และช่วยปกป้องสิ่งนั้นภายในองค์กร” Cunningham ของ Forrester กล่าว

จอห์นเพสคาโทเรผู้อำนวยการฝ่าย Emerging Security Trends ของ SANS Institute ซึ่งเป็นองค์กรที่ให้การฝึกอบรมด้านความปลอดภัยและการรับรองความคิด Zero Zero ที่นำเสนอโดย Forrester ในปี 2010 นั้นไม่ใช่เรื่องใหม่สำหรับอุตสาหกรรมความปลอดภัยทางไซเบอร์ "นั่นเป็นคำจำกัดความมาตรฐานของความปลอดภัยทางไซเบอร์ที่ค่อนข้างมาก - พยายามทำให้ทุกอย่างปลอดภัยแบ่งเครือข่ายของคุณและจัดการสิทธิ์ผู้ใช้" เขากล่าว

Pescatore ตั้งข้อสังเกตว่าประมาณปี 2547 องค์กรรักษาความปลอดภัยที่ปัจจุบันเรียกว่า Jericho Forum ได้แนะนำแนวคิดที่คล้ายกันกับ Forrester เกี่ยวกับ "ความปลอดภัยน้อยกว่าขอบเขต" และแนะนำให้อนุญาตการเชื่อมต่อที่เชื่อถือได้เท่านั้น “ นี่เป็นคำพูดที่เหมือนกับว่า 'ย้ายไปที่ไหนสักแห่งที่ไม่มีอาชญากรและอากาศที่สมบูรณ์แบบและคุณไม่ต้องการหลังคาหรือประตูในบ้านของคุณ” เพสคาโทเรกล่าว "Zero Trust อย่างน้อยก็นำกลับมาใช้ในเซกเมนต์ร่วมกัน - คุณมักจะแบ่งเซ็กเมนต์จากอินเทอร์เน็ตด้วยเส้นรอบวง"

• Beyond the ปริมณฑล: วิธีการรักษาความปลอดภัยแบบเลเยอร์
• กิจการร่วมค้า NYC พยายามที่จะกระตุ้นงาน, นวัตกรรมในโลกไซเบอร์ความมั่นคงในนิวยอร์คพยายามที่จะกระตุ้นงาน, นวัตกรรมในโลกไซเบอร์
• วิธีเตรียมตัวสำหรับการละเมิดความปลอดภัยครั้งต่อไปของคุณวิธีการเตรียมตัวสำหรับการละเมิดความปลอดภัยครั้งต่อไปของคุณ

เพื่อเป็นทางเลือกแทนรุ่น Zero เชื่อถือแนะนำ Pescatore ต่อศูนย์ควบคุมความปลอดภัยที่สำคัญของ Internet Security ในท้ายที่สุด Zero Trust สามารถสร้างผลประโยชน์ได้อย่างแน่นอน แต่ตามที่ Pescatore ตั้งข้อสังเกตไม่ว่าจะเรียกว่า Zero Trust หรืออย่างอื่นกลยุทธ์ประเภทนี้ยังคงต้องการการควบคุมพื้นฐาน

“ มันไม่ได้เปลี่ยนความจริงที่ว่าเพื่อปกป้องธุรกิจคุณต้องพัฒนากระบวนการและการควบคุมด้านความปลอดภัยขั้นพื้นฐานรวมถึงมีพนักงานที่มีทักษะเพื่อให้พวกเขาทำงานได้อย่างมีประสิทธิภาพและมีประสิทธิภาพ” Pescatore กล่าว นั่นเป็นมากกว่าการลงทุนทางการเงินสำหรับองค์กรส่วนใหญ่และเป็นหนึ่งใน บริษัท ที่จะต้องมุ่งเน้นที่จะประสบความสำเร็จ