אפס אמון אולי היה פעם רק מילת באז של אנליסטים, אבל עכשיו יש לה את חותמת האישור הרשמית של ממשלת ארה"ב. הסוכנות לאבטחת סייבר ותשתיות (CISA) פרסמה את הגרסה השנייה של מדריך ליישום מודל אבטחה זה. זה מבטיח להיות יותר מסתם כלי מדף מכיוון שסוכנויות פדרליות נצטוו לאמץ עקרונות אפס אמון עם מועדים צפופים.
מהו אפס אמון?
בעוד שהמונח 'אפס אמון' זכה לעיתונות רבה לאחרונה, המושגים הבסיסיים מבוססים היטב. הביטוי צץ לראשונה במגזר ה-IT מחוץ למעגלי הנישה בשנת 2010 כחלק מדו"ח Forrester Research. עם זאת, הרעיונות שהיא מייצגת - הצורך לאמת הכל בסביבה לא מהימנה - מתוארכים הרבה יותר מוקדם.
פורום יריחו של הקבוצה הפתוחה בישר את שחיקת היקף הרשת המסורתי בשנת 2004, וכינה אותו דה-פרימטריזציה. ככל שחברות החליפו נתונים עם שותפים עסקיים ואיתרו יותר מהנכסים שלהן מחוץ לרשת הליבה של החברה, זה הפך מאתגר יותר לסמוך על מי או כל מה שניסה להתחבר ללא שכל. במקום דגם המצודה הישן, שבו לרשת הייתה חומה חיצונית קשיחה ואטומה, תשתיות ה-IT הפכו ליותר כמו סט של מאהלים, שכל אחד מהם מכיל כמה נכסים וזקוק להגנה משלו.
זה שינה את האופן שבו מערכות IT אימתו אנשים. בעבר, אם היו לך את האישורים להיכנס לרשת, בטח בך ויכולת ללכת לכל מקום. אפס אמון נוטש את הרעיון הזה. במקום זאת, אין מחסום אחד לעבור. כל דלת דיגיטלית במקום נעולה, וחייבים להיות לכם מפתח כלשהו.
הבית הלבן קונה
ממשלת ארה"ב קנתה את הרעיון של אפס אמון, תחילה דוגלת בכך הנהלת הצו 14028 במאי 2021. בינואר שלאחר מכן הוא עשה מעקב עם מנדטים לאפס אמון. אלה הגיעו בצורה של מזכר ביטחון לאומי 8 (NSM-8), שהנחה את השימוש בו בקהילת הביטחון הלאומי, ובתזכיר MS-22-09 ממשרד הניהול והתקציב. האחרון הנחה את הסוכנויות הפדרליות ליישם צעדי אפס אמון עד סוף השנה הבאה.
CISA, סוכנות המחלקה לביטחון המולדת שמטפלת בצד אבטחת הסייבר של מאמצי האבטחה הפנימית מדריכה ארגונים פדרליים והמגזר הפרטי בנושאים כמו זה. היא פרסמה בצייתנות את מודל הבגרות האפס-אמון שלה בספטמבר 2021, בהתאם להוראות הצו המנהלי. מסמך זה נועד לסייע לסוכנויות לעבור למודל החדש.
הסוכנות פרסמה עדכון למדריך זה באפריל השנה לאחר תקופת התייעצות ציבורית. השינוי המשמעותי ביותר בגרסה השנייה הוא הוספת שלב בגרות נוסף במסע של ארגון לנירוונה אפס אמון.
במקור היו שלושה שלבים: מסורתי, מתקדם ואופטימלי. המסורתי היה למעשה עסקים כרגיל, כמעט ללא יישום מגובש של אפס אמון כלל.
חברות ברמה המסורתית שעשו עבודה כלשהי על אפס אמון שמרו עליה בטווח צר. מודל הבשלות מתווה חמישה עמודי תווך לחלוקת העבודה של יישום אפס אמון, המציין את רוחב השינוי הנדרש. עמודי התווך הללו הם זהות, התקנים, רשתות, יישומים ועומסי עבודה ונתונים. חברות ברמה המסורתית התמקדו בעבודת אפס אמון ברמה של נדבך ולא בגישה מגובשת יותר.
מודל הבשלות מתווה שלוש יכולות "רוחבות" המשתרעות על פני כל אחד מעמודי התווך הללו כדי לסייע לסוכנויות פדרליות ולמוסדות במגזר הפרטי לתת מענה לצרכים אפס אמון בצורה רחבה יותר. שלושת התחומים הללו הם נראות וניתוח, אוטומציה ותזמורת וממשל.
פרשנות לגרסה הראשונה של המדריך טענה שהקפיצה בין מסורתית למתקדמת הייתה משמעותית מדי. במקום זאת ביקשו שלב נוסף שיגשר בין השניים. CISA הגיבה על ידי הוספת שלב ראשוני אחרי Traditional. זה גם התאים את השפה לשאר השלבים המתקדמים יותר על פני חמשת העמודים כדי להתאים לרמת הבשלות הנוספת.
חברות בשלב הראשוני רק מתחילות לבצע אוטומציה של משימות כמו הקצאת תכונות והגדרת מחזורי חיים, אומר המדריך המתוקן. בשלב זה, הם מתחילים להתמודד עם החלטות מדיניות ואכיפה. משימות אחרות שזה עתה יצאו לדרך מכסות את הרעיון של הרשאות הקטנות והשגת צורה כלשהי של נראות מלוכדת במערכות פנימיות.
באופן לא מפתיע, אנשים ביקשו שלב נוסף בתהליך הבשלות אפס אמון. הלך הרוח החדש הזה של אבטחת סייבר מייצג שינוי כה רחב באופן שבו אנו מטפלים בגישה ובאימות ארגוני, שאף ספק או מוצר לא יכולים לעשות הכל. זוהי יותר דיסציפלינה מאשר קטגוריית מוצרים, הכוללת שינויים בכל התשתית ועדכונים משמעותיים במדיניות. עבור ארגונים רבים, זו תהיה שריפה איטית, יותר כמו הדלקת אלף נרות מאשר הפעלת מתג בודד, והשלב הנוסף הזה נותן להם מקום פשוט יותר להתחיל בו. הפיכת הרמפה לקצת יותר רדודה תהיה שינוי מבורך במפת הדרכים עבור רבים.
