แนวคิด Zero-Trustคุณต้องการการเปลี่ยนแปลงทางสถาปัตยกรรม และนั่นคือสิ่งที่เราคิดเกี่ยวกับ Zero Trustแพทริค ซัลลิแวนผู้อำนวยการระดับโลกด้านกลยุทธ์ความปลอดภัย AKAMAI TECHNOLOGIES
ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศของรัฐบาลกลางใช้ชีวิตอยู่กับระบบรักษาความปลอดภัยทางไซเบอร์ที่ล้มเหลว วิธีการนี้สันนิษฐานว่าระบบสามารถได้รับการปกป้องโดยไฟร์วอลล์, Virtual Private Networks (VPN) และระบบตรวจจับการบุกรุก (IDS) แนวคิดนี้ส่วนใหญ่มาจากการรักษาความปลอดภัยซึ่งขึ้นอยู่กับสิ่งที่เรียกว่า
“โทโพโลยี” ในเครือข่าย กล่าวอีกนัยหนึ่ง
ถ้ามีใครอยู่ในเครือข่าย พวกเขาจะได้รับความไว้วางใจ หากพวกเขาอยู่นอกเครือข่าย พวกเขาจะไม่ได้รับความไว้วางใจ
นี่คือการนำเทคโนโลยีม้าและรถบั๊กกี้มาใช้กับโลกสมัยใหม่ Patrick Sullivan ผู้อำนวยการฝ่ายกลยุทธ์ความปลอดภัยระดับโลกของ Akamai Technologies เชื่อว่าวิธีการนี้อาจทำให้เครือข่ายมีความเสี่ยง
“ผู้โจมตีทำงานได้อย่างยอดเยี่ยมในการใช้ความไว้วางใจที่ได้รับบนเครือข่ายในทางที่ผิด” เขากล่าว
ปริมาณและขนาดของการโจมตีทำให้ระบบปัจจุบันถูกเจาะได้ ตามบทความในสิ่งพิมพ์ของสมาคมกองทัพสหรัฐอเมริกา พล.ท.อลัน อาร์. ลินน์ของกองทัพบกอ้างถึงการโจมตีว่าเป็นการโจมตีขนาด 600 กิกะไบต์ สิ่งเหล่านี้ทำในรูปแบบที่พวกเขาไม่เคยเห็นมาก่อน
เมื่อระบบถูกโจมตี ผู้ประสงค์ร้ายอาจไม่ประกาศตัว เขาอาจเคลื่อนไหวในลักษณะด้านข้างเท่านั้น สิ่งนี้ทำให้เขาสามารถทดสอบช่องโหว่ภายในกำแพงและสื่อสารออกไปยังระบบสั่งการได้ ซัลลิแวนระบุว่าแนวโน้มนี้ได้ปรากฏในรายงานการละเมิด
หากคุณดูรายงานการละเมิดข้อมูลบางส่วน ผลลัพธ์เหล่านั้นมักจะค่อนข้างน่าหดหู่ใจ” เขากล่าว
เมื่อผู้ปฏิบัติงานระยะไกลต้องการเข้าถึงระบบ “กำแพงและคูน้ำ”
แนวคิด VPN ก็ถูกนำมาใช้ การเข้ารหัสนั้นน่าประทับใจและดูเหมือนว่าจะได้ผล อย่างไรก็ตาม จากมุมมองเชิงโครงสร้าง สิ่งนี้เป็นเพียงการจำลองช่องโหว่บนเครือข่ายเท่านั้น เมื่อเครือข่ายถูกเจาะได้ง่าย สิ่งนี้จะปฏิเสธแม้กระทั่ง VPN คุณภาพสูงสุด นอกเหนือจากข้อกังวลด้านความปลอดภัย VPN จำนวนมากสามารถเข้าสู่ VPN concentrator และเลิกใช้ความเร็วของระบบได้
การสร้างกำแพงที่สูงขึ้นไม่ได้ทำอะไรกับการโจมตีแบบ Distributed Denial of Service (DDOS) ดร. ทอม เลห์ตัน ประธานเจ้าหน้าที่บริหารของ Akamai Technologies กล่าวว่า ขนาดของการโจมตีเพิ่มขึ้นสองเท่าทุกๆ สองปี ดร. Leighton ได้เห็นการโจมตี 1.3 เทราไบต์ การป้องกันสิ่งนี้จากภายในกำแพงเป็นตรรกะที่ล้มเหลว
คำตอบไม่ใช่กำแพงที่สูงกว่า เพราะผู้ไม่ประสงค์ดีอยู่ในกำแพงอยู่แล้ว คำตอบคือไม่ต้องสร้างอุโมงค์เข้ารหัสสำหรับผู้ใช้ระยะไกล เนื่องจากนี่เป็นเพียงการเข้าถึงที่ปลอดภัยไปยังระบบที่ถูกบุกรุก คำตอบไม่ใช่กล่องอื่น เพราะขอบเขตและขนาดของการโจมตีจะไม่ลดลง
“คุณต้องการการเปลี่ยนแปลงทางสถาปัตยกรรม และนั่นคือวิธีที่เราคิดเกี่ยวกับ Zero Trust” ซัลลิแวนกล่าว
การตอบสนองที่ถูกต้องคือแนวทางตามสถาปัตยกรรม แนวทาง Zero Trust ปฏิเสธการอนุญาตเป็นค่าเริ่มต้น ไม่ว่าบุคคลนั้นจะไว้วางใจได้มากน้อยเพียงใด หรือตัวตนที่ถูกขโมยไปนั้น Zero Trust จะไม่ให้คุณเข้าถึงได้ แนวคิด Zero Trust ถือกำเนิดขึ้นที่ Forester ในปี 2555
นี่ไม่ใช่วิธีการ “ยกและเปลี่ยน” ควรใช้ Zero Trust แบบค่อยเป็นค่อยไปทีละแอปและใช้วิธีแบบผู้ใช้ต่อผู้ใช้
ประโยชน์เพิ่มเติมของแนวทาง Zero Trust คือจำนวนการโจมตีที่ลดลง ผู้โจมตีเป็นมนุษย์ การเปลี่ยนเป้าหมายง่ายกว่าการเปลี่ยนเครื่องมือทางเทคนิคที่ใช้ในการโจมตี บางคนจะโต้แย้งว่า 80 เปอร์เซ็นต์ของการโจมตีนั้นเกิดขึ้นซ้ำซาก เมื่อพวกเขาเข้าถึงระบบ Zero Trust พวกเขาจะถูกบล็อกและเดินหน้าต่อไป
