מדיניות סייבר חדשה בארה"ב
This post is also available in: 
English (אנגלית)
“בתקופה בה מומחי סייבר מגנים על רשתות יותר ויותר מבוזרות ומורכבות מפני איומי סייבר מתוחכמים, נדרש לאמץ מודל אבטחה Zero Trust ולפעול לפי עקרונותיו כדי להשיג עמדה טובה יותר לאבטחת נתונים, מערכות ושירותים רגישים". כך טונת סוכנות הביטחון הלאומית האמריקאית NSA. הסוכנות בשיתוף עם מיקרוסופט קוראות לאימוץ מודל אבטחה Zero Trust כדרך יעילה יותר לארגונים להתגונן מפני האיומים היותר ויותר מורכבים.
התפיסה מבוססת על ההנחה כי גורם זדוני כבר נמצא בתוך הרשת, כך שמראש אין לסמוך על מכשירים וחיבורים מקומיים, ויש לבצע תמיד אימות. ה-NSA ומיקרוסופט ממליצות על מודל זה לרשתות קריטיות (מערכות ביטחון לאומי, מחלקת הגנה, מגזר התעשיות הביטחוניות) וארגונים גדולים.
העקרונות המנחים של התפיסה הם אימות מתמיד של זהות או הרשאת המשתמש, גישה מחמירה, וגישה מבוזרת שמבוססת על רשת, משתמש, מכשיר ואפליקציה.
מערכות שמתוכננות באמצעות עקרונות Zero Trust אמורות להתמודד טוב יותר עם איומים קיימים, אבל המעבר למערכת כזו דורש תכנון מדוקדק כדי להימנע מהחלשת האבטחה של המערכת בתהליך. ה-NSA ממשיכה לנטר טכנולוגיות שיכולות לפתור לפתרון בתחום זה ותספק הנחיות נוספות.
כדי להשיג אפקטיביות מלאה בצמצום הסיכון ולאפשר תגובות חזקות בזמן הנכון, עקרונות ותפיסות ה-Zero Trust יצטרכו להקיף את רוב ההיבטים של הרשת והפעולות בה. ארגונים, החל מרמת ההנהלה ועד למהנדסים ואנשי התפעול צריכים להבין את הגישה ולהתחייב אליה לפני שמאמצים אותה.
ה-NSA ממחישה את יתרונות הגישה בדוגמאות שמבוססות על מקרים אמיתיים באבטחת סייבר, בהם ניתן היה לסכל את התקיפה אם גישת ה-Zero Trust היתה מיושמת.
בדוגמא הראשונה, השחקן המאיים מגיע לרשת של ארגון דרך מכשיר בלתי מורשה כשהוא משתמש בסיסמאות לגיטימיות שנגנבו מעובד – רמת אימות מספקת בסביבת האבטחה המסורתית.
בדוגמא נוספת, מדובר בהתקפה על שרשרת אספקה, כשהשחקן התוקף מוסיף קוד זדוני ל"מכשיר או אפליקצית רשת פופולריים בארגון", שהארגון שומר ומעדכן באופן סדיר לפי קווים מנחים מיטביים.
במצב של ארכיטקטורת Zero Trust, המכשיר או האפליקציה שנפרצו לא היו מצליחים לתקשר עם השחקן התוקף כי מראש אין אמון בהם.
סוכנות ה-NSA פועלת בימים אלה עם לקוחות מחלקת ההגנה בממשל להקמת מערכות Zero Trust ותיאום פעילויות עם תוכניות קיימות.
