روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  امسال مصادف است با پانزدهمین سالگرد انتشار نخستین راهنمای پیاده‌سازی مفهوم امنیتی «صفر اعتماد»، مفهومی که طبق نظرسنجی موسسه گارتنر، نزدیک به دو سوم سازمان‌های مورد بررسی به‌نوعی آن را اتخاذ کرده‌اند. با این حال، همین نظرسنجی نشان می‌دهد که برای ۵۸ درصد از این سازمان‌ها، مسیر مهاجرت به صفر اعتماد هنوز کامل نشده و این معماری کمتر از نیمی از زیرساخت آن‌ها را پوشش می‌دهد. بسیاری از سازمان‌ها هنوز در مرحله آزمایشی و ساخت زیرساخت‌های مورد نیاز قرار دارند. برای پیوستن به پیشگامان این حوزه، باید با نگاهی واقع‌بینانه به موانع پیش‌رو، فرآیند مهاجرت به صفر اعتماد را برنامه‌ریزی کرد و راهکارهای عبور از این چالش‌ها را به‌خوبی شناخت.

بهترین شیوه‌های پیاده‌سازی صفر اعتماد

معماری صفر اعتماد، تمام ارتباطات، دستگاه‌ها و برنامه‌ها را—حتی اگر درون زیرساخت سازمان باشند—ناامن و بالقوه مخرب تلقی می‌کند. راهکارهایصفر اعتمادبا اعتبارسنجی مداوم و تطبیقی هر اتصال و تراکنش، با در نظر گرفتن تغییرات احتمالی در زمینه امنیتی، حفاظت پیوسته ارائه می‌دهند. به این ترتیب، امنیت اطلاعات سازمان‌ها متناسب با واقعیت‌های زیرساخت‌های ابری هیبریدی و مدل‌های کاری دورکار تنظیم می‌شود.

علاوه بر نخستین و شناخته‌شده‌ترین منابع مانند گزارش اولیه Forrester و مدل BeyondCorp گوگل، مؤلفه‌های اصلی معماری صفر اعتماد در سند NIST SP 800-207  تشریح شده‌اند. همچنین، سند NIST SP 1800-35B  توصیه‌هایی برای پیاده‌سازی ارائه می‌دهد. دستورالعمل‌هایی مانند CIS Controls v8  نیز نگاشت مشخصی از اقدامات امنیت اطلاعات و ابزارهای مرتبط با متدولوژی صفر اعتماد ارائه می‌کنند. از سوی دیگر، آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) یک مدل بلوغ[1]  ارائه داده که گرچه بیشتر مناسب نهادهای دولتی است، اما می‌تواند مرجع مفیدی برای دیگر سازمان‌ها نیز باشد. در عمل، پیاده‌سازی صفر اعتماد بندرت به‌طور کامل مطابق با دستورالعمل‌های رسمی انجام می‌شود. بسیاری از مدیران امنیت اطلاعات (CISO)  ناچارند با ترکیب توصیه‌های منابع مختلف و دستورالعمل‌های تولیدکنندگان اصلی فناوری اطلاعات (مانند مایکروسافت)، اقدامات مناسب را بر اساس شرایط خاص سازمان خود انتخاب و اولویت‌بندی کنند. افزون بر این، بسیاری از این منابع راهنما، پیچیدگی‌های اجرای واقعی این مدل را به‌صورت شفاف بازگو نمی‌کنند.

جلب حمایت مدیران ارشد

مهاجرت به معماری صفر اعتماد صرفاً یک پروژه فنی نبوده و نیازمند پشتیبانی جدی در سطوح مدیریتی و اجرایی سازمان است. در کنار سرمایه‌گذاری برای خرید نرم‌افزار، سخت‌افزار و آموزش کاربران، اجرای این پروژه مستلزم مشارکت فعال بخش‌های مختلف از جمله منابع انسانی است. مدیران ارشد سازمان باید درک درستی از ضرورت این تغییرات و مزایای حاصل از آن برای کسب‌وکار داشته باشند. برای اثبات اهمیت این پروژه، باید به‌صورت شفاف «هزینه رخدادهای امنیتی» یا «ارزش در معرض خطر» را از یک سو، و فرصت‌های جدید تجاری ناشی از استقرار این مدل را از سوی دیگر، برای مدیران تشریح کرد. برای نمونه، حفاظت مبتنی بر صفر اعتماد می‌تواند زمینه‌ساز استفاده گسترده‌تر از خدمات SaaS، تجهیزات شخصی کارکنان و روش‌های مقرون‌به‌صرفه‌ در طراحی شبکه شود.

در کنار جلسات مرتبط، لازم است این مفهوم از طریق آموزش‌های تخصصی امنیت سایبری برای مدیران نیز تقویت شود. چنین آموزش‌هایی نه تنها مهارت‌های خاص امنیت اطلاعات را منتقل می‌کنند، بلکه فرصت تمرین سناریوهای مدیریت بحران و مقابله با حملات سایبری را نیز فراهم می‌آورند—اغلب از طریق بازی‌های شبیه‌سازی‌شده مبتنی بر محیط کسب‌وکار.

درک اولویت‌ها
برای آن‌که بدانید کدام بخش از زیرساخت شما به راهکارهای صفر اعتماد نیاز دارد و از کجا باید شروع کرد، ابتدا باید تحلیلی دقیق از شبکه، برنامه‌ها، حساب‌های کاربری، هویت‌ها و بارهای کاری  انجام دهید. شناسایی دارایی‌های حیاتی فناوری اطلاعات نیز اهمیت زیادی دارد. این «گوهرهای تاج‌گذاری‌شده»، که معمولاً بخش کوچکی از کل زیرساخت IT را تشکیل می‌دهند، یا حاوی اطلاعات حساس و ارزشمند هستند یا فرآیندهای کلیدی کسب‌وکار را پشتیبانی می‌کنند. تجمیع داده‌ها درباره دارایی‌هایآی‌تیو ارزش آن‌ها، تصمیم‌گیری درباره اینکه کدام مؤلفه‌ها در اولویت مهاجرت به معماری صفر اعتماد قرار دارند و کدام اقدامات امنیت اطلاعات برای این گذار مناسب هستند را بسیار ساده‌تر می‌کند. این فهرست همچنین بخش‌های قدیمی زیرساخت را که مهاجرت آن‌ها به صفر اعتماد غیرعملی یا غیرممکن است، مشخص می‌سازد.

همچنین باید از پیش برنامه‌ریزی دقیقی برای تعامل میان مؤلفه‌های مختلف زیرساخت و هم‌زیستی راهکارهای امنیتی مختلف داشته باشید. یکی از مشکلات رایج در این مسیر این است که سازمان، برخی مؤلفه‌های صفر اعتماد مانند احراز هویت چندمرحله‌ای (MFA) یا تفکیک شبکه  را به‌صورت جداگانه پیاده‌سازی کرده، بدون آن‌که فناوری‌ها و فرآیندهایی برای یکپارچه‌سازی این اجزا در یک سناریوی امنیتی هماهنگ در نظر گرفته شده باشد.

اجرای مرحله‌ای

اگرچه طراحی معماری صفر اعتماد باید با دیدی جامع انجام شود، اما اجرای عملی آن باید از گام‌های کوچک و مشخص آغاز گردد. برای جلب حمایت مدیران و آزمایش فرآیندها و فناوری‌ها در محیطی کنترل‌شده، بهتر است با اقداماتی شروع کنید که اجرای آن‌ها ساده‌تر و قابل نظارت‌تر است. به‌عنوان مثال، احراز هویت چندمرحله‌ای و دسترسی مشروط را تنها برای کامپیوترهای اداری و شبکهوای‌فایشرکت فعال کنید. ابزارها را ابتدا در بخش‌های خاص سازمان با سیستم‌های IT منحصر‌به‌فرد آن‌ها پیاده‌سازی کنید تا بتوانید سناریوهای کاربری و عملکرد ابزارهای امنیت اطلاعات را در عمل بررسی و تنظیمات و سیاست‌ها را بهینه‌سازی کنید.

اینکه کدام مؤلفه‌های معماری صفر اعتماد ساده‌تر پیاده‌سازی می‌شوند و کدام راهکارها می‌توانند دستاوردهای سریع اولیه را رقم بزنند، به ساختار خاص هر سازمان بستگی دارد. اما نکته کلیدی آن است که این موفقیت‌های اولیه باید قابل تعمیم به سایر بخش‌ها و قسمت‌های زیرساخت باشند. در جاهایی که صفر اعتماد قبلاً پیاده شده است، می‌توان مؤلفه‌های پیشرفته‌تری از این معماری را نیز به‌صورت آزمایشی اجرا کرد. گرچه اجرای مرحله‌ای ممکن است این تصور را ایجاد کند که فرآیند مهاجرت هرگز به‌طور کامل به پایان نمی‌رسد، تجربه نشان می‌دهد که رویکرد موسوم به «بیگ بنگ» – یعنی انتقال هم‌زمان کل زیرساخت و تمامی فرآیندها به مدل صفر اعتماد – در بیشتر موارد با شکست مواجه می‌شود. چنین رویکردی تعداد زیادی نقطه ضعف احتمالی در فرآیندهای IT ایجاد می‌کند، فشار کاری بر تیم فناوری اطلاعات را به‌شدت افزایش می‌دهد، کاربران را سردرگم می‌کند و امکان اصلاح اشتباهات برنامه‌ریزی و اجرایی را به‌موقع و با کمترین اختلال از بین می‌برد.

اجرای مرحله‌ای محدود به آغاز راه یا فاز آزمایشی نیست. بسیاری از شرکت‌ها، گذار به معماری صفر اعتماد را با پروژه‌های جدیدآی‌تییا راه‌اندازی دفاتر جدید هم‌راستا می‌کنند. آن‌ها فرآیند مهاجرت زیرساخت را به مراحل کوچک‌تر تقسیم کرده و در قالب گام‌های سریع و کوتاه، زیرساخت را به‌تدریج به معماری صفر اعتماد مجهز می‌کنند؛ این درحالیست که به‌صورت پیوسته عملکرد و پیچیدگی فرآیندها را تحت نظر دارند.

مدیریت هویت‌ها و نیروی انسانی

سنگ‌بنای معماری صفر اعتماد، یک سیستم مدیریت هویت و دسترسی (IAM) بالغ و پیشرفته است؛ سیستمی که نه‌تنها باید از نظر فنی بی‌نقص باشد، بلکه باید به‌طور دائم از سوی بخش‌های مختلف سازمان، به‌ویژه منابع انسانی، فناوری اطلاعات و مدیریت ارشد، پشتیبانی شود. داده‌های مربوط به کارکنان، سمت‌ها، نقش‌ها و منابعی که در اختیارشان قرار گرفته، باید همواره به‌روز و دقیق باشند. این نیازمند شکل‌گیری فرآیندهای رسمی مدیریت هویت است که تنها با همکاری نزدیک میان واحدهای کلیدی سازمان امکان‌پذیر است. همچنین باید اطمینان حاصل کرد که این واحدها احساس مسئولیت واقعی نسبت به فرآیندهای هویتی داشته باشند.

مسئله اینجاست که مدیریت هویت یک وظیفه مقطعی نیست؛ این داده‌ها باید به‌صورت مستمر بررسی و به‌روزرسانی شوند تا از بروز پدیده‌هایی مانند "تورم دسترسی" (Access Creep) جلوگیری شود — حالتی که در آن، سطح دسترسی کارکنان پس از پایان پروژه‌ها یا تغییر نقش‌ها کاهش نمی‌یابد و بدون دلیل معتبر، همچنان باقی می‌ماند. برای ارتقای امنیت اطلاعات و تبدیل اجرای معماری صفر اعتماد به تلاشی جمعی، در برخی موارد حتی لازم است ساختار سازمانی و حیطه مسئولیت کارکنان بازتعریف شود. باید مرزهای سخت و غیرانعطاف‌پذیر بین واحدها شکسته شود؛ همان مرزهایی که افراد را در قالب شرح وظایف محدود و تخصص‌های جداگانه محصور می‌کنند.

به‌عنوان نمونه، یک شرکت بزرگ ساختمانی با هدف برجسته‌کردن پیوستگی نقش‌ها و تسهیل همکاری میان بخش‌ها، عناوینی مانند «مهندس شبکه» و «مدیر سرور» را حذف کرده و جای آن‌ها را با عنوان کلی‌تر «مهندس فرآیند» جایگزین کرده است.

آموزش و بازخورد

مهاجرت به معماری صفر اعتماد، تغییری نیست که از دید کارکنان پنهان بماند. آن‌ها باید خود را با رویه‌های جدید احراز هویت، ابزارهای احراز هویت چندمرحله‌ای (MFA)، و فرآیندهای درخواست دسترسی به سامانه‌هایی که دیگر به‌صورت پیش‌فرض در دسترس نیستند، وفق دهند. کارکنان باید آمادگی داشته باشند که حتی در فاصله کوتاهی پس از ورود به یک سامانه، ممکن است نیاز به احراز هویت مجدد داشته باشند. همچنین، ممکن است ابزارهایی مانند ZTNA، MDM یا EDR -  که گاهی در قالب یک عامل واحد و گاهی به‌صورت جداگانه نصب می‌شوند — به‌طور ناگهانی روی سیستم‌های آن‌ها ظاهر شوند. تمام این تغییرات نیازمند آموزش و تمرین عملی است. در هر مرحله از اجرای پروژه، توصیه می‌شود که یک گروه منتخب از کاربران کسب‌وکارتشکیل شود. این افراد به‌عنوان نخستین گروه آموزشی، نقش مهمی در بهبود فرآیند آموزش ایفا می‌کنند — هم از نظر زبان و هم از لحاظ محتوای آموزشی. آن‌ها همچنین بازخورد ارزشمندی درباره عملکرد فرآیندها و ابزارهای جدید ارائه می‌دهند.

ارتباط با کاربران باید یک مسیر دوطرفه باشد: از یک‌سو، لازم است ارزش و اهمیت مدل امنیتی جدید برای آن‌ها به‌روشنی توضیح داده شود؛ و از سوی دیگر، شنیدن فعالانه بازخوردها، انتقادات و پیشنهادهای کاربران ضروری است. این رویکرد به اصلاح به‌موقع سیاست‌ها — چه فنی و چه اداری —، رفع کاستی‌ها، و بهبود تجربه کاربری منجر خواهد شد. در واقع، آموزش و دریافت بازخورد، نه‌تنها از الزامات فنی مهاجرت به صفر اعتماد، بلکه از عناصر کلیدی فرهنگ‌سازی امنیتی در سازمان محسوب می‌شود.

[1] Maturity Model

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.