روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اطلاعات محرمانه و هویت‌های دستکاری‌شده، نقض‌های طرف‌سوم، حملات APT و اکسپلویت‌های اپ همگی نقاط ورودی بنیادی برای هکرهای امروزی هستند. ماه‌های اخیر شرکت‌های بزرگی چون سامسونگ و انویدیا و اوکتا دچار نقض داده شدند و هنوز هم پس‌لرزه‌های Log4j وجود دارد. همه این‌ها نشان از یک مشکل دارد: سازمان‌ها دید کافی در مورد اینکه چطور داده‌هایشان باید محافظت شده و مورد استفاده قرار گیرند ندارند. با ما همراه باشید تا بگوییم چطور می‌شود این کار را با «صفر اعتماد» مدیریت کرد.

تا وقتی تیم‌های امنیتی نتوانند پاسخ در لحظه‌ای به اینکه چه داده‌هایی دارند، چه کسی بدان‌ها دسترسی دارد و چطور مورد استفاده قرار گرفته‌اند، سازمان‌ها مدام در ارتباط‌گیری سریع میزان نفوذ نقض‌ها در شاکله‌ی کلود شکست خواهند خورد. وقتی سامسونگ تأیید کرد که گروه هکری Lapsus$ تقریباً 200 گیگ داده محرمانه را نشت کرده، اولین سوال برای مشتریان این بود که آیا داده مشتریان نیز بخشی از آمار بوده یا اینکه آیا سامسونگ برای محافظت از نقض داده راهکارهای امنیتی در چنته دارد یا نه.

خوشبختانه سامسونگ گفت داده‌های شخصی کاربران دستکاری نشده است اما وقتی اوکتا توسط همین گروه هکری نقض شد (درست چند هفته بعد) تیم امنیتی آن‌ها در بخش مدیریت به چالش کشیده شدند زیرا نمی‌توانستند موقعیت مکانی و مزایای همه داده‌های داخل اکوسیستم خود را مشخص کنند. این نوع تأخیر می‌تواند عدم اعتماد به شرکت‌های بزرگ را بیشتر کند زیرا این نشان می‌دهد تیم‌های امنیتی در شناسایی نقض در ابعاد وسیعتر ناتوانند. حال سازمان‌های بیشتری دارند به مدل امنیتی صفر اعتماد[1] روی می‌آورند که فرض را بر این می‌گذارد که کاربران نسبت به هر دو ساحت محاسباتی یک سازمان بی اعتمادند. اصول صفر اعتماد –خواه روی هویت‌ها پیاده شود خواه روی شبکه یا ابژه‌های اطلاعاتی[2]- به سازما‌ن‌ها کمک می‌کند به طور نظام‌مند ریسک‌های امنیتی را از میان از دید، شناسایی، واکنش و محافظت ارتقا بخشند. با این وجود در سازمان‌های مدرن پیاده‌سازی صفر اعتماد برای داده بدون شکستن منطق تجاری مسیر جدیدی است که نیازمند تغییر محتاطانه از مدیریت وضعیت[3] به واکنش شناسایی به محافظت[4] برای جلوگیری از ایجاد ریسک یا قطعی در سازمان‌هاست.

با تکامل و پیشرفت مفهوم صفر اعتماد راه‌های عملی هم پیدا شده است که سازمان‌ها بتوانند با استفاده از آن‌ها به محض ارتقای دید و پیدا کردن راه‌حلی که در کلود یا محیط درون سازمانی به درد بخورد شروع به کاهش خطر کنند. مؤسسه ملی مقررات و فناوری ایالات متحده (NIST) که تعدادی استاندارد امنیت کلود از جمله HIPAA و FISMA ارائه داده (این استانداردها را گولاسیون‌های فدرال همپوشانی دارند) هم نقطه مرجع خوبی است. بدین‌ترتیب متریال‌های تکمیلی و جزئیات خوبی ارائه می‌شود که سازمان‌ها را در مورد اینکه چطور همزمانی رخدادها را مدیریت کرده و با استانداردها و فریم‌ورک‌هایی که به طور گسترده پذیرفته‌شده‌اند مشارکت کنند آپدیت می‌کند. مدل NIST چارچوب زیر را دربرمی‌گیرد:

دید نسبت به موضع امنیتی

وقتی شرکت‌ها نسبت به موضع امنیت داده خود دید کافی داشته باشند خواهند توانست سیاست‌هایی را تعیین کرده و وضع نمایند تا محافظت داده در کل محیط مبتنی بر کلود ارتقا یافته و بدین‌ترتیب می‌توانند بهتر متوجه شوند چطور باید با ابژ‌ه‌های اطلاعاتی رفتار کنند. ابزارهای مدیریت موضع امنیت داده (DSPM) نقطه شروع خوبی برای سفر صفر اعتماد شما هستند.

شناسایی-واکنش

بسیاری از هویت‌های مهم و نقش‌های سرویس لزوماً برای انجام کار خود به مجوزهایی نیاز دارند که حجم بالایی از داده‌ها را ارائه می‌دهند- هویت‌های ممتاز، اپ‌هایی که سر صف پایگاه‌های داده یا نشتی داده هستند و حتی CI/CD یا نرم‌افزارهای زنجیره تأمین همه نمونه‌هایی از این دست هستند.

محافظت

سازمان‌ها باید مجوزها و حقوقی را ایجاد کنند، کمپین‌های پاکسازی صادر کرده و مدل‌های نظارتی را راه‌اندازی نمایند برای آماده‌سازی فعالانه جهت پاسخگویی به رخدادهای امنیت سایبری شناسایی‌شده. اینها کمپین‌های طولانی مدت هستند با ارزش استراتژیک بزرگ و از این رو باید دید کافی در مورد استفاده شدن ابژه‌های اطلاعاتی در کل ساز و کار سازمانی داشت. خلاصه بگوییم: داده‌ها ارزشمندند و مهمترین دارایی یک شرکت به حسای می‌آیند. مهم است که سازمان‌ها تماماً درک کنند رازهایشان (IP) کجای شاکله کلود و درون‌سازمانی ذخیره شده است!

داده‌هایتان کجاست؟ چه کسی بدان دسترسی دارد؟ آیا این دسترسی نظارت می‌شود؟ آیا سازمان شما روی این داده‌ها اختیارات لازم دارد تا بتواند موقع ضرورت مزیت‌های خفته را لغو کند؟ پاسخ به این سوالات برای ایجاد استراتژی امنیتی داده کلود و مدرن بسیاری بنیادی است خصوصاً در زمان مواجهه با چالش عملیاتی کردن کنترل دسترسی یا امنیت داده بدون شکستن منطق تجاری. اگر این سوالات بی‌پاسخ بمانند سازمان‌ها همچنان زمان و منابع خود را صرف محافظت‌های مماسی در شبکه‌ها و اپ‌هایی خواهند کرد که اجازه می‌دهند داده‌ها یا اکسپلویت شوند و یا برای باجگیری استفاده گردند.

[1] ZERO TRUST

[2] data objects

[3] Posture Management

[4] Detection-Response to Protection

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.