Wiele lat temu kiedy pojawiały się systemy krytyczne wymagające ochrony przed zewnętrznymi atakami, zabezpieczano je w modelu tzw. fosy, która jednoznacznie dzieliła świat ten niebezpieczny na zewnątrz i bezpieczny w środku.
Przez wiele lat się z tym nie dyskutowało aż pojawiły się czynniki całkowicie obalające słuszność takiego założenia:
- sprzęt prywatny używany do pracy w biurze
- sprzęt firmowy wynoszony na zewnątrz organizacji
- konieczność korzystania z systemów/aplikacji w modelu SaaS (zlokalizowanych fizycznie poza organizacją)
- czy wreszcie praca zdalna, z która ostatnio mamy sporo do czynienia i nie do końca jest to nasz wybór
Te czynniki powodują, że strategie bezpieczeństwa w dużych organizacjach o heterogenicznych środowiskach informatycznych muszą zrezygnować z modelu fosy i iść w kierunku „zero trust” (https://en.wikipedia.org/wiki/Zero_trust_networks).
Zatem to bardzo obszerny wektor ataku.
Połączenie obu powyższych faktów pozwala nam stwierdzić, że kluczem do skutecznej ochrony danych i zasobów organizacji jest pewność, kim jest użytkownik siedzący po drugiej stronie komputera czy telefonu.
Bez tej pewności, żadne zabezpieczenia nie są skuteczne.
Jest i oczywiście dobra wiadomość – na rynku w tej chwili jest sporo rozwiązań, które adresują te problem – Metody 2FA/MFA, czy przyszłościowa odmiana w postaci passwordless, gdzie nie będziemy musieli używać kłopotliwego do zapamiętania hasła a jedynie czynnika, który jednoznacznie nas uwiarygodni. Z tym kierunkiem ściśle wiąże się nowy standard, szeroko wykorzystywany w internecie – Fido2/Webauthn.
Już dzisiaj standard ten wspierany jest w powszechnie używanych przeglądarkach internetowych.
Analizując aspekt nowoczesnego/skutecznego security w dużych organizacjach, wiemy już gdzie leży problem i czym go rozwiązać ale ostatnia trudność tkwi w zaimplementowaniu rozwiązania. To faktycznie jest największe wyzwanie, szczególnie dla firm, instytucji finansowych, które latami budowały swój stack technologiczny, posiadają aplikacje od różnych dostawców a często pisane przez własne zespoły programistyczne, w różnych technologiach – niekoniecznie świeżych.
W tym miejscu najlepiej sprawdzą się rozwiązania typu User Access Security Broker.
To nowoczesne podejście do implementacji metodyki zero trust wraz z przyszłościowymi metodami passwordless. Takie rozwiązanie buduje warstwę pomiędzy użytkownikami a aplikacjami, z których korzystają. Właśnie w tej warstwie dzieje się wszystko co wiąże się z bezpiecznym dostępem użytkowników do aplikacji, bez względu na to skąd się logują. Kolejnym plusem jest fakt, że broker nie wymaga żadnej integracji i może być stosowany bez względu na to w jakiej technologii została napisana aplikacja – brak ingerencji w aplikacje czy bazę danych.
Zatem uogólniony wzór na sukces CISO wygląda następująco = zero trust (passwordless) + security broker.
Tekst został udostępniony przez: Tomasz Kowalski | CEO & Co-founder SECFENSE
Zapraszamy również do zapoznania się z pozostałymi wpisami na naszym blogu. Zapraszamy do kontaktu w razie wątpliwości lub pytań dotyczących problematyki szeroko pojętego bezpieczeństwa.
https://premiumbank.zadbajobezpieczenstwo.pl/blog/
Nasze kompetencje prezentujemy na stronie internetowej:
https://premiumbank.zadbajobezpieczenstwo.pl/
Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.