معرفی سیاست اعتماد صفر و راهکارهای حفاظتی آن

اعتماد صفر یا اصل کمترین میزان دسترسی، یکی از چارچوب‌هایی است که بسیاری از کارشناسان امنیت سایبری اشتیاق و هیجان زیادی نسبت به آن دارند. در این مدل امنیتی به صورت پیش‌فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی­‌شود و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ و بیرون شبکه) کاربران و دستگاه‌­ها باید احراز هویت شده و دسترسی آنها به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف شود.

اعتماد صفر یک چارچوب کلیدی است که تیم‌های امنیت سایبری با کمک آن می‌توانند با تهدیدات سایبری پیشرفته امروزی و شرایط دورکاری همگام شده و از کارکنان دورکار و کارمندانی که درون محیط سازمان مشغول به کار هستند، محفاظت کنند. بخش امنیت سایبری با استفاده از رویکرد اعتماد صفر فرض می‌کند که هر محتوایی، صرف نظر از قابل اعتماد بودن منبع آن غیرقابل اطمینان است.

ایجاد یک چارچوب اعتماد صفر نیازمند پیاده‌سازی کنترل‌ها و فناوری‌های خاصی در حوزه فناوری اطلاعات، شبکه‌، نقاط انتهایی و غیره است. یکی از روش‌های جدید برای پیاده‌سازی این رویکرد، استفاده از معماری لبه خدمت دسترسی امن (SASE[1]) در سطح سازمان می‌باشد. سایر روش‌ها بر روی جداسازی عناصر کلیدی همچون شبکه‌های سازمانی و برنامه‌های کاربردی متمرکز هستند. هدف از اجرای این سیاست‌ها فراهم نمودن امکان دورکاری، آن هم به روشی امن است.

سیاست های امنیتی کارکنان در چارچوب اعتماد صفر

پس از شیوع بیماری کرونا و با متداول‌تر شدن پدیده دورکاری، سازمان‌ها باید به دنبال روش‌های جدیدی برای بهبود کنترل‌های امنیتی‌شان باشند. در نتیجه آنها باید مطمئن شوند کارمندان و پیمانکاران‌شان از وظایف خود در زمینه امنیت اطلاعات مطلع بوده و آنها را به خوبی انجام می‌دهند. به هر حال، بیشتر تیم‌های امنیت سایبری قوی و برجسته از اهمیت تعریف نقش‌ها و کنترل‌های دسترسی (امنیت کارکنان) مثل سیاست‌های اعتماد صفر کارآمد باخبر هستند چرا که با عملیاتی کردن نقش‌ها و نهادینه کردن آنها در سیاست‌های سازمانی، دفاع از امنیت سایبری سازمان به روشی مؤثرتر و کارآمدتر صورت خواهد پذیرفت.

پنج سیاست امنیتی کارکنان که در چارچوب اعتماد صفر مورد توجه قرار دارد، عبارتند از:

1. کمترین سطح دسترسی به منابع: هدف از این اصل آن است که کارمندان فقط به داده‌هایی دسترسی داشته باشند که برای انجام وظایف کاری شان به آنها نیاز دارند و نه بیشتر. دسترسی دیجیتال یکی از بخش‌هایی است که در آن تیم امنیت سایبری ملاحظات لازم برای دسترسی به نرم‌افزارها، شبکه‌ها و حساب‌های کاربری را در نظر می‌گیرد. در این حالت همچنین به اهمیت دسترسی فیزیکی از جمله دسترسی به رایانه‌ها، لوازم جانبی و غیره هم توجه می‌شود. کاربرانی با سطح دسترسی یکسان، وضعیت مشابهی از نظر تهدیدات سایبری دارند.
2. برخورداری از سیاست دو متصدی برای انجام کارها: پیاده‌سازی سیاستی که در آن برای انجام کارهای مهم از دو متصدی استفاده می‌شود باعث می‌گردد کارمندان بتوانند کار یکدیگر را بررسی و تأیید نموده و کارهای نادرست یا غیرمجاز شخص مقابل را شناسایی کنند.
3. تفکیک وظایف: هیچ کارمندی نباید دسترسی‌ کافی برای سوءاستفاده از سیستمش داشته باشد. مثلاً اگر کارمندی چک حقوق همکارش را صادر می‌کند، کارمند دیگری باید آن را پرداخت کند. در غیر این صورت ممکن است این کارمند اول، سیاست های امنیتی سازمان را نقض نموده و هر گونه بررسی مالی که این اقدام را برملا می‌کند، مبهم‌سازی نماید.
4. محدود کردن میزان وابستگی به کارمندان کلیدی: از دیدگاه عملیاتی بعضی از کارمندان نقش مهم و کلیدی در سازمان دارند اما این موضوع می‌تواند خطرناک باشد. از این رو سازمان ها باید راهکارهای لازم را برای مواقعی که این کارمندان در دسترس نیستند، در نظر بگیرند.
5. در نظر گرفتن مرخصی‌های اجباری برای کارمندان: با اجباری کردن حداقل یک هفته تعطیلات برای کارمندان می‌توان در این مدت به بررسی کارهای کارمند مربوطه پرداخته و هر گونه رفتار غیرمجاز احتمالی را شناسایی کرد. این موضوع در مواقعی که کار به صورت ترکیبی (هم در داخل سازمان و هم از خانه) انجام می شود و در چنین مواقعی نظارت بر کارمندان سخت‌تر است، اهمیت بیشتری پیدا می‌کند.

[1] Secure Access Service Edge

منبع: infosecurity-magazine