Petosten torjunta nykyaikana vaatii enemmän kuin vain turvallisen kirjautumisprosessin.
Maailmanlaajuisen pandemian vauhdittamana vuonna 2020 organisaatiot ympäri maailmaa ovat muuttaneet liiketoimintamallejaan digitaalisemmin. Työntekijät voivat työskennellä etänä mukavasti kotoa käsin, kun taas asiakkaat pääsevät paremmin käsiksi yrityksen alustaan, tuotteisiin ja palveluihin mistä päin maailmaa tahansa.
Kuitenkin, kun yritys- ja rahoitusteknologia kehittyy, kyberrikollisuus kehittyy sen rinnalla.
-
Federal Trade Commission (FTC) raportoi, että kuluttajat menettivät lähes 8.8 miljardia dollaria petoksista vuonna 2022, mikä on 30 % enemmän kuin vuotta aiemmin. Huijaripetokset erottuivat yhdeksi suurimmista syyllisistä, sillä vuonna 2.6 huijarit menettivät 2022 miljardia dollaria, mikä korosti tarvetta vahvempiin käyttäjien todennustoimenpiteisiin.
Suojaako organisaatio yksityisiä tietojaan ulkoisilta huonoilta toimijoilta tai valvoo sisäistä toimintaansa due diligence -tarkkuuden varmistamiseksi, on selvää, että kyberturvallisuuteen tarvitaan kehittyneempää lähestymistapaa – ja juuri siihen nollaluottamusmenetelmällä pyritään.
VPN vs. Zero Trust: 3 keskeistä eroa
VPN-asiakas on lähestymistapa kyberturvallisuuteen, joka hyödyntää ohjelmistoja luodakseen suojatun yhteyden valtuutettujen käyttäjien ja organisaation sisäisten järjestelmien välille. Vaikka VPN-asiakkaat ovat olleet sisäisen kyberturvallisuuden standardi pitkään, niiden rajoitukset tulevat yhä selvemmiksi finanssialan kyberrikollisuuden huipentuessa.
Näiden rajoitusten korjaamiseksi teknologiaasiantuntijat ovat alkaneet puolustaa nolla luottamusta -lähestymistapaa, VPN-vapaata kyberturvallisuusstrategiaa, joka hioo käyttäjien todentamisen monimutkaisuutta digitaalisella aikakaudella.
Vaikka useimmat yritykset turvautuvat edelleen VPN-asiakkaisiin kyberturvallisuustarpeissaan, on yhä selvemmäksi, että nollaluottamustapa on paras käytäntö sekä suojella liiketoimintajärjestelmiä huonoilta toimijoilta ja siten pitää sekä sisäiset että ulkoiset tiedot turvassa.
Kun tarkastelemme tarkasti eroja VPN-asiakkaiden ja nollaluottamuksen lähestymistavan välillä, voimme tunnistaa kolme keskeistä eroa, jotka erottavat nollaluottamuskehykset toisistaan:
1. Todennusprosessit
VPN-asiakasprosessi sisältää VPN-asiakkaan asennuksen yrityksen tietokoneisiin ja henkilökohtaisiin laitteisiin. Käyttääkseen VPN-asiakasohjelmaa asennuksen jälkeen käyttäjien on annettava yrityksen itsensä antama käyttäjätunnus ja salasana. Tämä on VPN-asiakkaiden tärkein käyttäjän todennusprosessi, mikä tarkoittaa, että suurin osa kyberturvallisuuden suojauksesta tapahtuu kirjautumisportaalissa.
Vertailun vuoksi nolla luottamuskehys ei ole riippuvainen VPN-asiakkaasta, vaan kyseenalaistaa käyttäjien identiteetin useissa järjestelmän kohdissa. Oikeiden kirjautumistietojen syöttämisen lisäksi käyttäjien on myös tyhjennettävä useita muita todennustoimenpiteitä, kuten laitteen todennus.
Oletetaan esimerkiksi, että työntekijä työskentelee etänä kotitoimistosta ja vaihtaa jonakin päivänä kannettavaan tietokoneeseen töissä. Nollaluottamuskehys merkitsee kyseisen kannettavan tietokoneen tuntemattomaksi laitteeksi ja pyytää käyttäjältä lisätodennusta.
Nolla luottamus -lähestymistapa käyttää myös jatkuvaa valvontamenettelyä, joka voi päästä käsiksi käyttäjien toimintaan epäilyttävän toiminnan varalta, kun ensimmäinen todennus on suoritettu.
2. Keskushallinta
VPN-asiakassovelluksella pääsy eri verkkoihin vaatii useita erilaisia asennuksia käytettävästä sovelluksesta riippuen. Jos organisaatio esimerkiksi työskentelee kahden erillisen toimittajan kanssa, erilliset VPN-asiakasasennukset ovat tarpeen näiden toimittajien yhdistämiseksi sisäisiin järjestelmiin.
Nollaluottamusprosessi toimii aivan eri tavalla.
Nollaluottamuskehyksessä organisaatio käyttää keskitettyjä hallintaominaisuuksia, joihin kuuluu välityspalvelimen käyttö prosessissa. Vaikka käyttäjä saapuisi etäkohteeseen VPN-asiakkaan kautta, nollaluottamusprosessi edellyttää, että käyttäjä käy ensin välityspalvelimen läpi ja varmistaa henkilöllisyytensä.
Tämä ei ainoastaan yksinkertaista useista eri paikoista ja eri sovelluksista tulevien käyttäjien todennusprosessia, vaan myös varmistaa, että yrityksen järjestelmänvalvojat voivat ylläpitää kattavaa, keskitettyä yleiskuvaa jokaisesta sisäisiä järjestelmiä käyttävistä käyttäjistä.
3. Käyttö- ja valvontaparametrit
VPN-asiakkaan ensisijainen kyberturvallisuusparametri on kirjautumistietojen syöttäminen käyttäjän vahvistamiseksi. Tämän lisäksi kaikki ylimääräinen käyttäjien todennus ja valvonta on yleensä suoritettava muilla työkaluilla ja ohjelmistoilla, mikä luo hajanaisen ja haavoittuvan järjestelmän.
Samaan aikaan nolla luottamus käsittelee monia erilaisia kyberturvallisuustekijöitä alkuperäisen käyttäjän todennuksen lisäksi.
Olemme jo keskustelleet siitä, kuinka nolla luottamus antaa organisaatioille mahdollisuuden valvoa ja merkitä pääsyyrityksiä tuntemattomista laitteista. Näiden laitevalvontaominaisuuksien lisäksi nollaluottamuskehys edellyttää myös tietotoimintojen, sovellusten ja kaikkien muiden järjestelmäkomponenttien jatkuvaa seurantaa.
Viime kädessä nollaluottamustapa varmistaa, että oikeat tarkastukset ja tasapainot ovat käytössä, jotta voidaan varmistaa äärimmäisen varmuudella, että käyttäjä on se, jota hän sanoo olevansa. Se tarjoaa yrityksille mahdollisuuden asettaa erityisiä valvonta- ja liputusparametreja, jotka tunnistavat epäilyttävän toiminnan ja käyttäjät järjestelmän kaikissa kohdissa.
Nollaluottamuksen ja SOC 2 -yhteensopivuuden välinen suhde
Monet alan IT- ja vaatimustenmukaisuuden asiantuntijat ovat luonnollisesti jo tuttuja nollaluottamusta koskevan lähestymistavan edut kyberturvallisuuteen, mutta sääntelyviranomaisten tiukempien vaatimustenmukaisuusodotusten seurauksena kehittyneiden kyberturvallisuuskehysten, kuten nollaluottamuslähestymistavan, tuntemuksen lisääminen on myös elintärkeää rahastonhoitajien kannalta. ja rahastohallitukset, joilla on nyt myös kyberturvallisuuden valvontavastuu.
Esimerkiksi
SOC 2 -sertifikaatti Tavoitteena on käsitellä joitain monimutkaisempia näkökohtia arkaluonteisten asiakas- ja sisäisten tietojen hallinnassa ohjelmistoratkaisujen avulla. Vaikka nollaluottamuskehys ei ole SOC 2 -yhteensopivuuden vaatimus, nämä kaksi viitekehystä ovat uskomattoman yhtenäisiä toistensa kanssa.
SOC 2:n tekniset vaatimukset auttavat luomaan digitaalisen liiketoimintaympäristön, joka voi helposti omaksua nollaluottamusta koskevan lähestymistavan keskittyen viiteen pääperiaatteeseen:
-
yksityisyys: SOC 2 edellyttää, että organisaatioilla on käytössään asianmukaiset pääsynvalvontalaitteet, jotka suojaavat tietoja luvattomilta käyttäjiltä, mukaan lukien käyttäjät, jotka ovat saaneet pääsyn varastettujen valtuustietojen tai muiden vilpillisten keinojen kautta. Käytännössä tämä edellyttää sisäistä käytäntöä, jonka mukaan jokainen järjestelmään pääsevä käyttäjä varmistetaan ja luottamus on estetty, kunnes käyttäjä on asianmukaisesti todennettu. Nolla luottamus -lähestymistapa korostaa myös tämän saman käytännön tarvetta ja rohkaisee ajattelutapaa, jossa ei ole luottamusta ennen kuin se on todistettu luotettavaksi.
-
Turvallisuus: Nollaluottamuskehys edellyttää, että kaikki käyttäjät on todennettu perusteellisesti ennen kuin heille annetaan pääsy liiketoimintajärjestelmiin – ja SOC 2 -yhteensopivuus edellyttää tätä. Molemmat lähestymistavat kyberturvallisuuteen tunnustavat, että vaikka yritys voi luottaa työntekijöihinsä, on olemassa monia lahjakkaita rikollisia, jotka voivat esiintyä luotettavina käyttäjinä uskomattoman vakuuttavilla tavoilla. Tämän seurauksena keskeiset prosessit, kuten monitekijätodennus ja poikkeamien havaitseminen, ovat ratkaisevan tärkeitä korkean turvallisuustason ja arkaluonteisten tietojen rajoitetun pääsyn ylläpitämiseen.
-
Käsittelyn eheys: SOC 2 edellyttää, että organisaatiot tarkastelevat pitkään ja tarkasti, miten niiden järjestelmät ja käyttäjät käsittelevät tietoja. SOC 2 -vaatimusten noudattamiseksi organisaatioiden on otettava käyttöön oikea yhdistelmä prosessinvalvontaohjauksia dataprosessien tarkistamiseksi, mukaan lukien kaikki tiedon tallentamisesta ja toimituksesta tietojen muokkaamiseen. Nolla luottamus -lähestymistavassa kehyksen keskeinen osa on sellaisten jatkuvan valvontaprosessien luominen, joka varmistaa käyttäjän identiteetin ja seuraa käyttäjien käyttäytymistä – mukaan lukien tietojen hallinta – kaikissa liiketoimintajärjestelmän kohdissa.
-
Saatavuus: Yllä käsitelty käsittelyn eheys kulkee käsi kädessä käytettävyysperiaatteen kanssa – eli tarve tarjota järjestelmä, josta asiakkaat ja työntekijät pääsevät kaikkina aikoina käsiksi erilaisiin palveluihin ja toimintoihin. Jatkuvan ja perusteellisen valvonnan ansiosta sekä nollaluottamuskehys että SOC 2 -yhteensopivuus takaavat, että organisaatiot voivat pitää järjestelmänsä käynnissä ja samalla ylläpitää selkeää turvallisuusuhkien ja käyttäjien toimintaa.
-
Luottamuksellisuus: Luottamuksellisten tietojen suojaaminen on ensiarvoisen tärkeää digitaalisen liiketoiminnan ja kyberrikollisuuden aikakaudella. SOC 2 asettaa tiukat vaatimukset käyttöoikeuksien hallinnan ylläpitämiselle, joka suojaa luottamuksellisia tietoja huonoilta toimijoilta, vaikka nämä huonot toimijat onnistuisivat ohittamaan alkuperäiset käyttäjän todennusprosessit. Nolla luottamus -lähestymistapa auttaa ratkaisemaan tämän ottamalla käyttöön erityisiä parametreja, jotka määrittävät, kuka voi käyttää tietoja milloin ja miten, samalla kun ylläpidetään jatkuvaa valvontaprosessia, joka voi ilmoittaa epäilyttävästä käytöksestä tai pääsyyrityksistä.
Mitä tulee siihen, mitä SOC 2:n ja nollaluottamuksen välinen suhde tarkoittaa yrityksille, SOC 2 -varmenteen omistavien kumppanien löytäminen voi olla avain tehokkaaseen nollaluottamuskehykseen siirtymiseen.
Nollaluottamuslähestymistavan aikakausi on täällä
Nykyaikaisten organisaatioiden on arvioitava uudelleen nykyinen lähestymistapansa kyberturvallisuuteen. Hakkerit ovat vain tulossa älykkäämmiksi, ja yritysjärjestelmien ei tarvitse vain vastata, vaan ylittää niiden teknisen kehittyneisyyden.
Nolla luottamus on enemmän kuin pelkkä kyberturvallisuuskehys – se edustaa digitaalisen turvallisuuden tulevaisuutta ja auttaa organisaatioita luomaan vankemman, kattavamman ja vahvemman turvallisuusstrategian.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.finextra.com/blogposting/24628/modern-organizations-need-a-zero-trust-approach-to-security-heres-why?utm_medium=rssfinextra&utm_source=finextrablogs
- :on
- :On
- :ei
- $ YLÖS
- 16
- 2020
- 2022
- 7
- 8
- a
- kyky
- edellä
- pääsy
- Pääsy
- Saavuttaa
- toimiva
- toiminta
- toiminta
- toimijoiden
- Lisäksi
- lisä-
- osoite
- osoitteet
- asianmukaisesti
- ylläpitäjät
- kehittynyt
- puolestapuhuja
- Jälkeen
- vastaan
- ikä
- tavoitteet
- alias
- samoin
- Kaikki
- pitkin
- rinnalla
- jo
- Myös
- Vaikka
- an
- ja
- poikkeavuuden havaitseminen
- Kaikki
- kaikkialla
- erilleen
- näennäinen
- Hakemus
- sovellukset
- lähestymistapa
- lähestymistavat
- OVAT
- noin
- saapuvat
- AS
- näkökohdat
- At
- yrityksiä
- todennettu
- Authentication
- valtuutettu
- saatavuus
- Huono
- saldot
- BE
- tulevat
- tulossa
- ollut
- ennen
- käyttäytyminen
- käyttäytymistä
- ovat
- Hyödyt
- PARAS
- välillä
- Jälkeen
- Miljardi
- sekä
- liiketoiminta
- liiketoimintamalleja
- yritykset
- mutta
- by
- CAN
- kyvyt
- kuljettaa
- keskeinen
- keskitetty
- varmuus
- todistus
- Tarkastukset
- selkeä
- asiakas
- asiakkaat
- tarkasti
- yhtenäinen
- mukavuus
- tuleva
- Yritykset
- yritys
- Yrityksen
- vertailu
- Valmistunut
- monimutkainen
- monimutkaisuus
- noudattaminen
- komponentti
- osat
- kattava
- tietokoneet
- kytkeä
- liitäntä
- Kuluttajat
- valvonta
- korjata
- Kurssi
- Luominen
- Valtakirja
- rikolliset
- ratkaiseva
- Nykyinen
- asiakas
- Asiakkaat
- tietoverkkorikollisuuden
- tietoverkkojen
- tiedot
- tiedonhallinta
- tietovarasto
- päivä
- määritellä
- toimitus
- Riippuen
- määränpää
- Detection
- laite
- Laitteet
- erot
- eri
- digitaalinen
- digitaalisesti
- ahkeruus
- keskusteltiin
- ei
- kaksi
- kukin
- helposti
- tehokkaasti
- omaksua
- painottaa
- korostaen
- Työntekijä
- työntekijää
- mahdollistaa
- rohkaiseva
- varmistaa
- varmistaa
- enter
- kirjoittamalla
- merkintä
- ympäristö
- Aikakausi
- perustaa
- perustamisesta
- Jopa
- Joka
- kaikki
- kehittyvä
- täsmälleen
- tutkii
- esimerkki
- olla
- odotukset
- asiantuntijat
- ulkoinen
- tekijät
- tuttu
- perehtyneisyys
- Liitto-
- taloudellinen
- finanssitekniikka
- löytäminen
- Finextra
- Etunimi
- tarkennus
- varten
- hajanainen
- Puitteet
- puitteet
- petos
- vilpillinen
- alkaen
- FTC
- tehtävät
- rahasto
- rahastonhoitajat
- edelleen
- tulevaisuutta
- saadut
- saada
- tietty
- Global
- maailmanlaajuinen pandemia
- maapallo
- Goes
- suurempi
- hakkerit
- Kova
- Olla
- auttaa
- auttaa
- Korkea
- pitää
- Etusivu
- Kodit
- Miten
- HTTPS
- tunnistaa
- Identiteetti
- if
- toteuttaa
- täytäntöönpanosta
- in
- perusteellinen
- Mukaan lukien
- lisää
- yhä useammin
- uskomattoman
- teollisuus
- ensimmäinen
- asennus
- esimerkki
- sen sijaan
- eheys
- sisäinen
- aiheuttaa
- osallistuva
- IT
- SEN
- itse
- jpg
- vain
- Pitää
- pito
- avain
- kannettava tietokone
- Taso
- vipusuhteita
- pitää
- rajoitukset
- rajallinen
- rajoitettu pääsy
- sijainnit
- Kirjaudu sisään
- Pitkät
- katso
- menetetty
- tärkein
- ylläpitää
- ylläpitäminen
- hoitaa
- johto
- Päättäjät
- toimitusjohtaja
- monet
- ottelu
- Saattaa..
- merkitys
- välineet
- toimenpiteet
- Tavata
- siirtyvät
- ajattelutapa
- sekoittaa
- mallit
- Moderni
- monitori
- seuranta
- lisää
- eniten
- moninkertainen
- täytyy
- lähes
- välttämätön
- vaatii
- Tarve
- tarvitaan
- tarpeet
- verkot
- Nro
- nyt
- of
- Office
- on
- ONE
- jatkuva
- vain
- Operations
- or
- organisaatio
- organisaatioiden
- Muut
- ulos
- erehdys
- yleiskatsaus
- pandeeminen
- parametri
- parametrit
- Tärkein
- kumppani
- Salasana
- henkilöstö
- Paikka
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- paljon
- pistettä
- Portal
- aiheuttaa
- käytännössä
- harjoitusta.
- ensisijainen
- periaate
- periaatteet
- Aikaisempi
- yksityinen
- menettelyt
- prosessi
- prosessin seuranta
- Prosessit
- käsittely
- Tuotteemme
- asianmukainen
- suojella
- suojella
- suojaus
- todistettu
- toimittaa
- mikäli
- tarjoaa
- valtuutettu
- kysymykset
- tunnistaa
- Säätimet
- yhteys
- luottaa
- kaukosäädin
- raportoitu
- Raportit
- edustaa
- vaatimus
- vaatimukset
- Vaatii
- johtua
- oikein
- luja
- juoksu
- turvaaminen
- sama
- sanoa
- turvallinen
- turvallisuus
- Turvallisuusuhkia
- sensible
- erillinen
- Palvelut
- setti
- useat
- siirtynyt
- single
- fiksummin
- Tuotteemme
- Ratkaisumme
- jonkin verran
- erityinen
- piikkarit
- standardi
- alkoi
- Yhä
- varastettu
- Levytila
- Strategia
- Tiukka
- tiukemmat
- vahvempi
- niin
- ylittää
- epäilyttävä
- järjestelmä
- järjestelmät
- ottaa
- vie
- lahjakas
- Tekninen
- Elektroniikka
- ehdot
- kuin
- että
- -
- Tulevaisuus
- maailma
- heidän
- siten
- Nämä
- ne
- tätä
- perin pohjin
- ne
- vaikka?
- uhat
- kolmella
- Kautta
- kertaa
- että
- tänään
- työkalut
- ylin
- kauppaa
- Luottamus
- TRUST Framework
- luotettu
- luotettava
- kaksi
- tyypillisesti
- tuntematon
- asti
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- lajike
- eri
- myyjät
- todentaa
- tarkastaa
- kautta
- elintärkeä
- VPN
- vs
- Haavoittuva
- Herätä
- tavalla
- we
- Mitä
- kun
- joka
- vaikka
- KUKA
- miksi
- with
- sisällä
- Referenssit
- toimii
- maailman-
- olisi
- vuosi
- zephyrnet
- nolla-
- nolla luottamus