معرفی سیاست اعتماد صفر و راهکارهای حفاظتی آن

اعتماد صفر یا اصل کمترین میزان دسترسی، یکی از چارچوبهایی است که بسیاری از کارشناسان امنیت سایبری اشتیاق و هیجان زیادی نسبت به آن دارند. در این مدل امنیتی به صورت پیشفرض به هیچ ماشین، سرویس یا شخصی اعتماد نمیشود و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ و بیرون شبکه) کاربران و دستگاهها باید احراز هویت شده و دسترسی آنها به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف شود.
اعتماد صفر یک چارچوب کلیدی است که تیمهای امنیت سایبری با کمک آن میتوانند با تهدیدات سایبری پیشرفته امروزی و شرایط دورکاری همگام شده و از کارکنان دورکار و کارمندانی که درون محیط سازمان مشغول به کار هستند، محفاظت کنند. بخش امنیت سایبری با استفاده از رویکرد اعتماد صفر فرض میکند که هر محتوایی، صرف نظر از قابل اعتماد بودن منبع آن غیرقابل اطمینان است.
ایجاد یک چارچوب اعتماد صفر نیازمند پیادهسازی کنترلها و فناوریهای خاصی در حوزه فناوری اطلاعات، شبکه، نقاط انتهایی و غیره است. یکی از روشهای جدید برای پیادهسازی این رویکرد، استفاده از معماری لبه خدمت دسترسی امن (SASE[1]) در سطح سازمان میباشد. سایر روشها بر روی جداسازی عناصر کلیدی همچون شبکههای سازمانی و برنامههای کاربردی متمرکز هستند. هدف از اجرای این سیاستها فراهم نمودن امکان دورکاری، آن هم به روشی امن است.
سیاست های امنیتی کارکنان در چارچوب اعتماد صفر
پس از شیوع بیماری کرونا و با متداولتر شدن پدیده دورکاری، سازمانها باید به دنبال روشهای جدیدی برای بهبود کنترلهای امنیتیشان باشند. در نتیجه آنها باید مطمئن شوند کارمندان و پیمانکارانشان از وظایف خود در زمینه امنیت اطلاعات مطلع بوده و آنها را به خوبی انجام میدهند. به هر حال، بیشتر تیمهای امنیت سایبری قوی و برجسته از اهمیت تعریف نقشها و کنترلهای دسترسی (امنیت کارکنان) مثل سیاستهای اعتماد صفر کارآمد باخبر هستند چرا که با عملیاتی کردن نقشها و نهادینه کردن آنها در سیاستهای سازمانی، دفاع از امنیت سایبری سازمان به روشی مؤثرتر و کارآمدتر صورت خواهد پذیرفت.
پنج سیاست امنیتی کارکنان که در چارچوب اعتماد صفر مورد توجه قرار دارد، عبارتند از:
- کمترین سطح دسترسی به منابع: هدف از این اصل آن است که کارمندان فقط به دادههایی دسترسی داشته باشند که برای انجام وظایف کاری شان به آنها نیاز دارند و نه بیشتر. دسترسی دیجیتال یکی از بخشهایی است که در آن تیم امنیت سایبری ملاحظات لازم برای دسترسی به نرمافزارها، شبکهها و حسابهای کاربری را در نظر میگیرد. در این حالت همچنین به اهمیت دسترسی فیزیکی از جمله دسترسی به رایانهها، لوازم جانبی و غیره هم توجه میشود. کاربرانی با سطح دسترسی یکسان، وضعیت مشابهی از نظر تهدیدات سایبری دارند.
- برخورداری از سیاست دو متصدی برای انجام کارها: پیادهسازی سیاستی که در آن برای انجام کارهای مهم از دو متصدی استفاده میشود باعث میگردد کارمندان بتوانند کار یکدیگر را بررسی و تأیید نموده و کارهای نادرست یا غیرمجاز شخص مقابل را شناسایی کنند.
- تفکیک وظایف: هیچ کارمندی نباید دسترسی کافی برای سوءاستفاده از سیستمش داشته باشد. مثلاً اگر کارمندی چک حقوق همکارش را صادر میکند، کارمند دیگری باید آن را پرداخت کند. در غیر این صورت ممکن است این کارمند اول، سیاست های امنیتی سازمان را نقض نموده و هر گونه بررسی مالی که این اقدام را برملا میکند، مبهمسازی نماید.
- محدود کردن میزان وابستگی به کارمندان کلیدی: از دیدگاه عملیاتی بعضی از کارمندان نقش مهم و کلیدی در سازمان دارند اما این موضوع میتواند خطرناک باشد. از این رو سازمان ها باید راهکارهای لازم را برای مواقعی که این کارمندان در دسترس نیستند، در نظر بگیرند.
- در نظر گرفتن مرخصیهای اجباری برای کارمندان: با اجباری کردن حداقل یک هفته تعطیلات برای کارمندان میتوان در این مدت به بررسی کارهای کارمند مربوطه پرداخته و هر گونه رفتار غیرمجاز احتمالی را شناسایی کرد. این موضوع در مواقعی که کار به صورت ترکیبی (هم در داخل سازمان و هم از خانه) انجام می شود و در چنین مواقعی نظارت بر کارمندان سختتر است، اهمیت بیشتری پیدا میکند.
[1] Secure Access Service Edge
منبع: infosecurity-magazine