امنیت سایبری مستلزم داشتن یک ذهنیت “اعتماد صفر ” است

آنچه باید بدانیم : تنها یک استراتژی مبتنی بر اعتماد صفر، شانس موفقیت در دفاع سایبری را فراهم می­کند.

در مواجهه با سواستفاده­های مکرر از شبکه­های حیاتی ایالات متحده، زمان آن رسیده که دولت آمریکا متوجه شود که سیستم­های امنیتی سنتی از قبیل کنترل­های ورودی محیطی و یا Whitelistها دیگر کافی نیستند. همانطور که هک شدن Solar Winds ثابت کرد، با زمان و تلاش کافی به هر سیستم امنیتی می­توان نفوذ کرد. امنیت سایبری بایستی بر اساس اعتماد صفر باشد، که فرض می­کند تهدیدها به طور مداوم در داخل و خارج از یک شبکه یا محیط ابر وجود دارند. یک استراتژی اعتماد صفر بر اساس نیاز به نظارت مستمر و اعتبارسنجی حضور هر فرد، سازمان ، دستگاه وبخشی از اطلاعات در شبکه است.

در سال گذشته، شاهد این بودیم که چگونه عدم برنامه­ریزی منجر به تبدیل بدترین سناریو به یک واقعیت جدید می­گردد. کشوری که بدون برنامه ریزی احتمالی برای همه­گیری[1] ، بیش از یک سال است که زندگی را مختل کرده است. یک شبکه برقی بدون عایق آب و هوا کل ایالت را ویران می­کند. شبکه­های بدون امنیت درست به آسانی هک می­شوند. با توجه به میزان وقوع چنین رویدادهایی، برنامه­ریزی برای رویدادی معروف به “یکبار در قرن” بایستی برای تمامی زیرساخت­های حیاتی استاندارد محسوب شود.

سالهاست که درخواست­هایی برای برنامه­نویسی جامع امنیت سایبری در بخش دولتی و خصوصی برای دفع حملات از سوی تهدیدات داخلی و بین­المللی وجود داشته است. درحالیکه وزارت دفاع (DoD)  گام­هایی را در تعریف الزامات و اجرای راه­حل­هایی ساخته است که شبکه­های IT را تقویت و حفاظت می­کنند، کارهای زیادی وجود دارد که بایستی انجام شود.

ما درمورد برخی از این پیشرفت­ها را در جلسه اخیر “معماری امنیت سایبری آینده” در کمیته نیروهای مسلح سنا (SASC) شنیدیم. سناتورها و شاهدان آزانس امنیت ملی (NSA) و وزارت دفاع آمریکا به شدت روی معماری اعتماد صفر تمرکزکردند، چارچوب امنیتی که به طور مداوم قابلیت اطمینان درخواست­های دسترسی به منابع اطلاعاتی را ارزیابی می­کند. شهادت شاهدان وزارت دفاع، راب جویسی[2] مدیر امنیت سایبری  NSA، دیوید مک کیون[3] افسر ارشد امنیت اطلاعات / مسئول اطلاعات امنیت سایبری و مشاور ارشد نظامی در امور سایبری به ریاست فرمانده ویلیام چیس[4] برتری و خواص اعتماد صفر را به عنوان مسیر جدیدی در سفر به آینده­ای امن ستودند.

آژانس امنیت ملی، حامی قوی رویکرد جدید، این روش را اینگونه توضیح داد: اعتماد صفر یک مدل امنیتی است. مجوعه­ای از اصول طراحی سیستم و استراتژی مدیریت هماهنگ و مدیریت سیستم بر مبنای تاییدی است که تهدیدها هم در داخل و هم در خارج مرز شبکه سنتی وجود دارند. مدل امنیتی اعتماد صفر، اعتماد ضمنی به هر عنصر، گره یا سرویس را حذف می­کند و در عوض نیازمند تایید مستمر تصویر عملیاتی از طریق اطلاعات بلادرنگ از منابع متعدد برای تعیین دسترسی و واکنش­های سیستم است.

با وجود اینکه برای اعلام پیروزی در این زمینه خیلی زود هست، وزارت دفاع برنامه­هایی را برای تقویت قابلیت­های مورد نیاز خود ایجاد کرده است تا دفاع سایبری را تقویت کند.از این رو، کنگره از سال 2017 سرعت و بودجه این برنامه­ها را افزایش داده است. همانگونه که در بندهای بالا اشاره کردیم در جلسه دادرسی سنا، دریاسالار چیس، [5]C2C را به عنوان جز اساسی و مهم ابتکار اعتماد صفر وزارت دفاع خواند و بریک اصل ساده تاکید کرد: شما تنها می­توانید از چیزی که می­دانید محافظت کنید.

C2C چارچوبی از ابزارها و فناوری­هایی را که در زیرساخت شبکه کار می­کنند، ایجاد می­کند. این چارچوب همه دستگاه­های متصل به شبکه را کشف، شناسایی، مشخص و گزارش می­کند. C2C برای اطمینان از امنیت شبکه به مدیران یا کاربران نیازی ندارد زیرا همه کاربران دارای حداقل دسترسی­های مجاز با استانداردهای امنیتی می­باشند. بدین ترتیب C2C یک محیط اعتماد صفر را مجاز می­کند. در اصل همه کاربران C2C و دستگاه­ها بایستی مشروعیت خود را اثبات کنند تا مجاز به فعالیت در شبکه­های DoD شوند.

[1] منظور بیماری کروناست

[2] Rob Joyce

[3] David McKeown

[4] William Chase

[5] Comply-to-Connect