در این مصاحبه Help Net Security، Jay Chaudhry، مدیر عامل Zscaler، در مورد اتصال و ایمن کردن کارکنان از راه دور و دستگاه های آنها برای دسترسی به منابع سازمانی از هر مکانی صحبت می کند. او خطرات بالقوه دسترسی VPN از راه دور، اتکای فزاینده به دستگاه‌های شخصی و انتقال به یک مدل ابری را مورد بحث قرار می‌دهد.

ما تأثیر تغییر نقش مراکز داده بر استراتژی‌های شبکه، پیاده‌سازی یک چارچوب امنیتی با اعتماد صفر و اینکه چگونه شبکه‌های 5G ممکن است محل‌های کاری را بیشتر متمرکز کنند، بررسی خواهیم کرد.

CISO ها چگونه باید نگرانی های امنیتی کارکنانی را که از راه دور کار می کنند و از دستگاه های شخصی برای دسترسی به منابع سازمانی استفاده می کنند، مدیریت کنند؟

از لحاظ تاریخی، کسب‌وکارها به VPN‌های دسترسی از راه دور متکی بوده‌اند تا به کارمندان از راه دور اجازه دسترسی به برنامه‌ها و خدمات در شبکه شرکتی خود را بدهند. VPN ها کاربران را در شبکه شرکتی قرار می دهند. کاربری که در خانه یا در سیدنی استرالیا نشسته است، می‌تواند به همه برنامه‌ها یا منابعی که می‌تواند از دفتر خود دسترسی داشته باشد، دسترسی داشته باشد.

این به خوبی برای کارمندان کار می کند، اما اگر شخصی اعتبار ورود به VPN کارمندی را بدزدد، می تواند وارد شبکه شرکت شود، به سمت جانبی حرکت کند تا دارایی های با ارزش بالا را پیدا کند و یک حمله باج افزار را راه اندازی کند یا داده ها را استخراج کند. حمله استعماری Pipeline به این صورت اتفاق افتاد (معتبر سرقت شده VPN و سپس حرکت تهدید جانبی).

بهترین راه برای مدیریت امنیت برای کاربران راه دور، فراهم کردن دسترسی از طریق یک تبادل اعتماد صفر است، که مانند یک تابلوی تلفن پیچیده است که در آن کارمند راه دور به شبکه شرکتی متصل نیست، بلکه فقط به برنامه‌های خاص متصل است. این هر گونه حرکت تهدید جانبی را از بین می برد و در نتیجه حمله را گسترش می دهد.

دستگاه شخصی یک کارمند یا به نام BYOD نیز شناخته می شود می تواند خطر بیشتری ایجاد کند. ممکن است دستگاه شخصی آلوده شده باشد و پس از اتصال به شبکه شرکتی، می تواند به صورت جانبی حرکت کند و دستگاه های دیگر را آلوده کند یا داده ها را بدزدد.

برای از بین بردن خطر ایجاد شده توسط BYOD، شرکت ها نه تنها باید دسترسی صفر به برنامه ها را داشته باشند، بلکه باید از فناوری به نام جداسازی مرورگر استفاده کنند که BYOD را مانند یک VDI (دستگاه مجازی) می کند. از آنجایی که فقط پیکسل ها به دستگاه BYOD و از دستگاه پخش می شوند، خطر به خطر افتادن و از دست رفتن داده ها را از بین می برد.

سازمان‌ها چه اقداماتی می‌توانند برای جلوگیری از قرار گرفتن در معرض و سرقت داده‌های حساس در یک مدل نیروی کار ترکیبی-اول ابری انجام دهند؟

در دنیای ترکیبی امروزی، داده‌های شما اغلب در ابرهای عمومی مانند Azure و AWS، در برنامه‌های کاربردی SaaS، در مراکز داده، کارخانه‌ها و در نقاط پایانی شما قرار دارند. شرکت ها به یک رویکرد جامع برای ایمن سازی داده های حساس نیاز دارند.

از آنجایی که تمام داده ها به اینترنت نشت می کنند، تمام ارتباطات متصل به اینترنت باید از طریق یک تبادل اعتماد صفر که ترافیک را برای شناسایی داده های حساس بررسی می کند، انجام شود. مقادیر زیادی داده در SaaS مانند M365، Salesforce و غیره قرار دارند.

شرکت‌ها باید راه‌حل‌های CASB را برای محافظت از داده‌هایی که ممکن است دارای پیکربندی‌های نادرست و باعث اشتراک بیش از حد داده‌ها شوند، پیاده‌سازی کنند. شرکت ها باید ترافیک رمزگذاری شده SSL یا TLS را بررسی کنند تا مطمئن شوند که هیچ داده حساسی در ترافیک پنهان نشده است. این نیاز به یک معماری پروکسی دارد، زیرا فایروال های نسل بعدی برای آن طراحی نشده اند.

چگونه تغییر از مرکز داده به عنوان هاب مرکزی به مقصدی که استراتژی های شبکه را تغییر می دهد، چگونه است و چه تاثیری بر امنیت دارد؟

دور شدن از مرکز داده به عنوان مرکز مرکزی، شبکه را به نقش حمل و نقل در یک محیط فناوری اطلاعات واگذار می کند. شرکت ها دیگر نیازی به ساخت شبکه هاب و اسپیکر برای اتصال شعب به مرکز داده خود ندارند.

هر مکان به سادگی به اینترنت متصل می شود (همانطور که از خانه خود به اینترنت متصل می شوید). آنها دیگر نیازی به ساخت دروازه های امنیتی با فایروال و VPN ندارند. آنها از تبادل اعتماد صفر برای اتصال کاربران به برنامه‌ها صرف نظر از اینکه برنامه‌ها کجا هستند و کاربران کجا هستند، استفاده می‌کنند.

چگونه پیاده‌سازی یک چارچوب امنیتی بدون اعتماد، انتقال کسب‌وکارها به محیط کار دیجیتال را تسهیل کرده است؟

شرکت‌هایی که از ابر استفاده می‌کنند، می‌توانند برنامه‌های کاربردی را سریع‌تر در هر یک از ابرهای عمومی بسازند و مستقر کنند. با معماری اعتماد صفر، نیازی به ایجاد شبکه گسترده خود برای اتصال دفاتر شعب و مکان های برنامه ندارید. هر طرف به سادگی به اینترنت متصل می شود. این باعث صرفه جویی در زمان و هزینه فوق العاده می شود.

کاربران می توانند به طور ایمن از طریق یک تبادل اعتماد صفر توزیع شده در سطح جهانی به هر برنامه ای از هر نقطه دسترسی داشته باشند. دفاتر یا شعب جدید را می توان در چند روز به جای هفته ها یا ماه ها راه اندازی کرد. از این رو اعتماد صفر باعث شده است که کسب و کارها تحت تحول دیجیتالی ساده تر و ایمن تر شوند.

چگونه CISO ها از امنیت داخلی سنتی به رویکردی مبتنی بر ابر و بدون اعتماد در بخش بانکداری می روند؟

آنها در حال انتقال مجموعه برنامه های خود از داخل محل به فضای ابری هستند و آنها را قادر می سازند تا برای برآورده کردن نیازهای کسب و کار مقیاس شوند.

آنها با استفاده از امنیت صفر اعتماد، اینترنت و ترافیک برنامه را مستقیماً از هر دفتر از طریق اینترنت ارسال می کنند، نه اینکه آن را از طریق مرکز داده خود بازیابی کنند، تجربه کاربری بهتر و هزینه کمتری را ارائه می دهند. با اعتماد صفر، آنها همچنین سطح حمله خود را کاهش می دهند زیرا برنامه های خود را در پشت تبادل اعتماد صفر پنهان می کنند.

با توجه به پتانسیل شبکه‌های 5G برای تمرکززدایی بیشتر محیط‌های کاری، تیم‌های امنیتی چگونه باید زیرساخت‌های امنیتی و شبکه خود را برای مدیریت این تغییر آماده کنند؟

5G دسترسی پرسرعت را در همه جا در دسترس کاربران قرار می دهد. توان عملیاتی بالای آن، سرقت مقادیر زیادی از داده ها را در مدت زمان کوتاهی آسان تر می کند. شرکت هایی که به امنیت شبکه (به معنی ایمن سازی شبکه خود) با استفاده از فایروال ها و VPN ها وابسته هستند، با خطرات بیشتری با 5G مواجه خواهند شد.

شرکت هایی که معماری اعتماد صفر را پیاده سازی می کنند و فایروال ها و VPN ها را به تدریج حذف می کنند در موقعیت خوبی قرار خواهند گرفت. معماری اعتماد صفر، شبکه را به سادگی به عنوان لوله کشی، صرفاً به عنوان حمل و نقل در نظر می گیرد، زیرا کاربران به شبکه متصل نیستند. هنگامی که معماری اعتماد صفر را پیاده‌سازی کردید، لازم نیست نگران نوع شبکه باشید – ممکن است 4G یا 5G یا Starlink باشد و شرکت‌ها ایمن خواهند بود.