Å takle svindel i moderne tid krever mer enn bare en sikker påloggingsprosess.
Fremskyndet av den globale pandemien i 2020, har organisasjoner over hele verden endret sine forretningsmodeller til å være mer digitalt orienterte. Ansatte kan jobbe eksternt hjemmefra, mens kunder har større tilgang til bedriftens plattform, produkter og tjenester fra hvor som helst i verden.
Likevel, etter hvert som forretnings- og finansteknologi blir mer avansert, utvikler nettkriminalitet seg sammen med den.
De
Federal Trade Commission (FTC) rapporterer at forbrukere tapte nesten 8.8 milliarder dollar på svindel i 2022, opp 30 % fra året før. Bedragerbedrageri skilte seg ut som en av de største synderne, med rapporterte 2.6 milliarder dollar tapt på svindelbedragerier i 2022, noe som understreker behovet for sterkere brukerautentiseringstiltak.
Enten en organisasjon beskytter sine private data fra eksterne dårlige aktører eller overvåker interne operasjoner for å sikre due diligence, er det tydelig at en mer avansert tilnærming til cybersikkerhet er nødvendig – og det er akkurat det null-tillit-tilnærmingen tar sikte på å oppnå.
VPN vs. null tillit: 3 viktige forskjeller
En VPN-klient er en tilnærming til cybersikkerhet som utnytter programvare for å etablere en sikker forbindelse mellom autoriserte brukere og en organisasjons interne systemer. Selv om VPN-klienter lenge har vært standarden for intern cybersikkerhet, blir begrensningene deres tydeligere i kjølvannet av cyberkriminalitetstopper i finansbransjen.
For å takle disse begrensningene har teknologieksperter begynt å gå inn for null-tillit-tilnærmingen, en VPN-fri nettsikkerhetsstrategi som fokuserer på kompleksiteten til brukerautentisering i den digitale æra.
Mens de fleste bedrifter i dag fortsatt er avhengige av VPN-klienter for deres cybersikkerhetsbehov, blir det stadig tydeligere at en null-tillit-tilnærming er den beste praksisen for både å beskytte forretningssystemer mot dårlige aktører – og dermed holde både interne og eksterne data sikre.
Når vi ser nærmere på forskjellene mellom VPN-klienter og null tillitsmetoden, kan vi identifisere tre nøkkelforskjeller som skiller null tillitsrammer:
1. Autentiseringsprosesser
VPN-klientprosessen involverer installasjon av en VPN-klient på bedriftens datamaskiner og personlige enheter. For å få tilgang til VPN-klienten etter installasjonen, må brukerne skrive inn et brukernavn og passord gitt av bedriften selv. Dette er den viktigste brukerautentiseringsprosessen som brukes i VPN-klienter, noe som betyr at hoveddelen av nettsikkerhetsbeskyttelsen skjer innenfor påloggingsportalen.
Til sammenligning er et rammeverk med null tillit ikke avhengig av en VPN-klient, men stiller spørsmål ved identiteten til brukere på flere punkter i systemet. Sammen med å angi riktig påloggingsinformasjon for å få tilgang til et system, må brukere også slette en rekke andre autentiseringstiltak, for eksempel enhetsautentisering.
La oss for eksempel si at en ansatt jobber eksternt fra et hjemmekontor og en dag bytter til en bærbar datamaskin for jobb i stedet. Null-tillit-rammeverket vil flagge den bærbare datamaskinen som en ukjent enhet og be om ytterligere autentisering fra brukeren.
En null-tillit-tilnærming bruker også pågående overvåkingsprosedyrer som kan få tilgang til brukeraktiviteter for mistenkelig atferd etter at den første autentiseringen er fullført.
2. Sentralledelse
Med en VPN-klient krever tilgang til forskjellige nettverk flere forskjellige installasjoner avhengig av applikasjonen som brukes. For eksempel, hvis en organisasjon jobber med to separate leverandører, er separate VPN-klientinstallasjoner nødvendig for å koble disse leverandørene til interne systemer.
Null tillitsprosessen fungerer ganske annerledes.
I et rammeverk med null tillit bruker en organisasjon sentrale administrasjonsfunksjoner som involverer bruk av en proxy som fungerer som mellommann i prosessen. Selv om en bruker kommer til en ekstern destinasjon via en VPN-klient, krever null-tillit-prosessen at brukeren først går gjennom proxyen og bekrefter identiteten sin.
Dette forenkler ikke bare prosessen med å autentisere brukere som kommer fra flere forskjellige steder og applikasjoner, men det sikrer også at bedriftsadministratorer kan opprettholde en omfattende, sentralisert oversikt over hver bruker som har tilgang til interne systemer.
3. Tilgang og overvåkingsparametere
Den primære cybersikkerhetsparameteren i en VPN-klient er inntasting av påloggingsinformasjon for å bekrefte en bruker. Utover dette må all ekstra brukerautentisering og overvåking typisk utføres av andre verktøy og programvare, noe som skaper et fragmentert og sårbart system.
I mellomtiden adresserer zero trust mange forskjellige cybersikkerhetsfaktorer utover innledende brukerautentisering.
Vi har allerede diskutert hvordan null tillit gjør det mulig for organisasjoner å overvåke og flagge tilgangsforsøk fra ukjente enheter. I tillegg til disse enhetsovervåkingsmulighetene, krever null-tillit-rammeverket også kontinuerlig overvåking av dataaktiviteter, applikasjoner og alle andre systemkomponenter.
Til syvende og sist sikrer en tilnærming med null tillit at de riktige kontrollene og balansene er på plass for å verifisere med største sikkerhet at en bruker er den de sier de er. Det gir bedrifter muligheten til å angi spesifikke overvåkings- og flaggingsparametere som identifiserer mistenkelig atferd og brukere på alle punkter i systemet.
Forholdet mellom Zero Trust og SOC 2-overholdelse
Mange industri-IT- og compliance-eksperter er selvfølgelig allerede kjent med fordelene med en null-tillit-tilnærming til cybersikkerhet, men i kjølvannet av strengere compliance-forventninger fra regulatorer, er økende kjennskap til avanserte cybersikkerhetsrammer som null-tillit-tilnærmingen også viktig for fondsforvaltere. og fondsstyrer som nå også har tilsynsansvar for cybersikkerhet.
For eksempel,
SOC 2 sertifisering har som mål å adressere noen av de mer komplekse aspektene ved å administrere sensitiv kundedata og interne data ved hjelp av programvareløsninger. Selv om et rammeverk med null tillit ikke er et krav for samsvar med SOC 2, er de to rammeverkene utrolig sammenhengende med hverandre.
SOC 2s tekniske krav bidrar til å etablere et digitalt forretningsmiljø som enkelt kan omfavne null-tillit-tilnærmingen, med fokus på fem nøkkelprinsipper:
-
Privatliv: SOC 2 krever at organisasjoner har de riktige tilgangskontrollene på plass som beskytter data fra uautoriserte brukere, inkludert de som kan ha fått tilgang via stjålet legitimasjon eller andre uredelige midler. Dette nødvendiggjør praktisk talt den interne praksisen med å verifisere hver enkelt bruker som har tilgang til et system, og holde tilbake tillit til den brukeren har blitt tilstrekkelig autentisert. Null-tillit-tilnærmingen understreker også behovet for denne samme praksisen, og oppmuntrer til tankegangen om ingen tillit før det er bevist pålitelig.
-
Sikkerhet: Zero trust-rammeverket hevder at alle brukere må autentiseres grundig før de får tilgang til forretningssystemer - og SOC 2-overholdelse krever dette. Begge tilnærmingene til cybersikkerhet erkjenner at selv om en bedrift kan stole på sine ansatte, finnes det mange talentfulle kriminelle som kan posere som pålitelige brukere på utrolig overbevisende måter. Som et resultat er nøkkelprosesser som multifaktorautentisering og anomalideteksjon avgjørende for å opprettholde et høyt sikkerhetsnivå og begrenset tilgang til sensitive data.
-
Behandlingsintegritet: SOC 2 krever at organisasjoner tar en lang, grundig titt på hvordan deres systemer og brukere behandler data. For å oppfylle SOC 2-samsvar, må organisasjoner implementere den riktige blandingen av prosessovervåkingskontroller for å verifisere dataprosesser, inkludert alt fra datalagring og levering til datamodifisering. I null-tillit-tilnærmingen er en avgjørende komponent i rammeverket å etablere pågående overvåkingsprosesser som verifiserer brukeridentitet og overvåker brukeratferd – inkludert databehandling – på alle punkter i forretningssystemet.
-
Tilgjengelighet: Behandlingsintegriteten diskutert ovenfor går hånd i hånd med prinsippet om tilgjengelighet – aka, behovet for å tilby et system der både kunder og ansatte kan få tilgang til ulike tjenester og funksjoner til enhver tid. Med den pågående og dyptgående overvåkingen involvert i både null-tillit-rammeverket og SOC 2-overholdelse, kan organisasjoner holde systemene sine oppe og kjøre samtidig som de opprettholder tydelig overvåking av sikkerhetstrusler og brukeraktivitet.
-
Konfidensialitet: Å holde konfidensielle data sikre er avgjørende i en tidsalder med digital virksomhet og økende nettkriminalitet. SOC 2 stiller strenge krav for å opprettholde tilgangskontroller som beskytter konfidensielle data fra dårlige aktører, selv om de dårlige aktørene klarer å omgå innledende brukerautentiseringsprosesser. Null-tillit-tilnærmingen hjelper til med å løse dette ved å implementere spesifikke parametere som definerer hvem som kan få tilgang til data når og hvordan, samtidig som den opprettholder en pågående overvåkingsprosess som kan flagge mistenkelig oppførsel eller tilgangsforsøk.
Når det gjelder hva forholdet mellom SOC 2 og null tillit betyr for bedrifter, kan det å finne partnere som har et SOC 2-sertifikat være nøkkelen til effektiv migrering til et rammeverk med null tillit.
Eraen med Zero Trust-tilnærmingen er her
Moderne organisasjoner må revurdere sin nåværende tilnærming til cybersikkerhet. Hackere blir bare smartere, og forretningssystemer må ikke bare matche, men overgå deres tekniske sofistikerte.
Null-tillit-tilnærmingen er mer enn bare et cybersikkerhetsrammeverk – den representerer fremtiden for digital sikkerhet og hjelper organisasjoner med å etablere en mer robust, omfattende og forsterket sikkerhetsstrategi.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.finextra.com/blogposting/24628/modern-organizations-need-a-zero-trust-approach-to-security-heres-why?utm_medium=rssfinextra&utm_source=finextrablogs
- : har
- :er
- :ikke
- $OPP
- 16
- 2020
- 2022
- 7
- 8
- a
- evne
- ovenfor
- adgang
- Tilgang
- Oppnå
- skuespill
- Aktiviteter
- aktivitet
- aktører
- tillegg
- Ytterligere
- adresse
- adresser
- tilstrekkelig
- administratorer
- avansert
- advokat
- Etter
- mot
- alder
- mål
- aka
- alike
- Alle
- langs
- sammen
- allerede
- også
- Selv
- an
- og
- anomali påvisning
- noen
- hvor som helst
- hverandre
- tilsynelatende
- Søknad
- søknader
- tilnærming
- tilnærminger
- ER
- rundt
- ankommer
- AS
- aspekter
- At
- forsøk
- autentisert
- Autentisering
- autorisert
- tilgjengelighet
- dårlig
- balanserer
- BE
- bli
- bli
- vært
- før du
- atferd
- atferd
- være
- Fordeler
- BEST
- mellom
- Beyond
- Milliarder
- både
- virksomhet
- forretningsmodeller
- bedrifter
- men
- by
- CAN
- evner
- gjennomført
- sentral
- sentralisert
- visshet
- sertifikat
- Sjekker
- fjerne
- kunde
- klienter
- tett
- sammenhengende
- komfort
- kommer
- Selskaper
- Selskapet
- Selskapets
- sammenligning
- Terminado
- komplekse
- kompleksitet
- samsvar
- komponent
- komponenter
- omfattende
- datamaskiner
- Koble
- tilkobling
- Forbrukere
- kontroller
- korrigere
- Kurs
- Opprette
- Credentials
- kriminelle
- avgjørende
- Gjeldende
- kunde
- Kunder
- cybercrime
- Cybersecurity
- dato
- Dataledelse
- datalagring
- dag
- definere
- levering
- avhengig
- destinasjonen
- Gjenkjenning
- enhet
- Enheter
- forskjeller
- forskjellig
- digitalt
- digitalt
- aktsomhet
- diskutert
- gjør
- to
- hver enkelt
- lett
- effektivt
- omfavne
- legger vekt på
- streker
- Ansatt
- ansatte
- muliggjør
- oppmuntrende
- sikre
- sikrer
- Enter
- går inn
- entry
- Miljø
- Era
- etablere
- etablere
- Selv
- Hver
- alt
- utvikling
- nøyaktig
- undersøke
- eksempel
- eksisterer
- forventninger
- eksperter
- utvendig
- faktorer
- kjent
- Familiær
- Federal
- finansiell
- finansiell teknologi
- finne
- Finextra
- Først
- fokusering
- Til
- fragmentert
- Rammeverk
- rammer
- svindel
- uredelig
- fra
- FTC
- funksjoner
- fond
- fondslederne
- videre
- framtid
- fikk
- få
- gitt
- Global
- global pandemi
- globus
- Går
- større
- hackere
- Hard
- Ha
- hjelpe
- hjelper
- Høy
- hold
- Hjemprodukt
- Hjem
- Hvordan
- HTTPS
- identifisere
- Identitet
- if
- iverksette
- implementere
- in
- dyptgående
- Inkludert
- økende
- stadig
- utrolig
- industri
- innledende
- installasjon
- f.eks
- i stedet
- integritet
- intern
- involvere
- involvert
- IT
- DET ER
- selv
- jpg
- bare
- Hold
- holde
- nøkkel
- laptop
- Nivå
- utnytter
- i likhet med
- begrensninger
- Begrenset
- begrenset tilgang
- steder
- Logg inn
- Lang
- Se
- tapte
- Hoved
- vedlikeholde
- Vedlike
- administrer
- ledelse
- Ledere
- administrerende
- mange
- Match
- Kan..
- betyr
- midler
- målinger
- Møt
- Migrere
- Tankesett
- bland
- modeller
- Moderne
- Overvåke
- overvåking
- mer
- mest
- flere
- må
- nesten
- nødvendig
- nødvendig
- Trenger
- nødvendig
- behov
- nettverk
- Nei.
- nå
- of
- Office
- on
- ONE
- pågående
- bare
- Drift
- or
- organisasjon
- organisasjoner
- Annen
- ut
- oppsyn
- oversikt
- pandemi
- parameter
- parametere
- Paramount
- partnere
- Passord
- personlig
- Sted
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Plenty
- poeng
- Portal
- positur
- praktisk talt
- praksis
- primære
- prinsipp
- prinsipper
- Før
- privat
- prosedyrer
- prosess
- prosessovervåking
- Prosesser
- prosessering
- Produkter
- ordentlig
- beskytte
- beskytte
- beskyttelse
- utprøvd
- gi
- forutsatt
- gir
- proxy
- spørsmål
- gjenkjenne
- Regulatorer
- forholdet
- avhengige
- fjernkontroll
- rapportert
- Rapporter
- representerer
- behov
- Krav
- Krever
- resultere
- ikke sant
- robust
- rennende
- ivaretakelse
- samme
- sier
- sikre
- sikkerhet
- Sikkerhetstrusler
- sensitive
- separat
- Tjenester
- sett
- flere
- forskjøvet
- enkelt
- smartere
- Software
- Solutions
- noen
- spesifikk
- pigger
- Standard
- startet
- Still
- stjålet
- lagring
- Strategi
- Streng
- strengere
- sterkere
- slik
- overgå
- mistenkelig
- system
- Systemer
- Ta
- tar
- talentfull
- Teknisk
- Teknologi
- vilkår
- enn
- Det
- De
- Fremtiden
- verden
- deres
- derved
- Disse
- de
- denne
- grundig
- De
- selv om?
- trusler
- tre
- Gjennom
- ganger
- til
- i dag
- verktøy
- topp
- handel
- Stol
- TRUST Framework
- klarert
- troverdig
- to
- typisk
- ukjent
- til
- bruke
- brukt
- Bruker
- Brukere
- bruker
- ved hjelp av
- variasjon
- ulike
- leverandører
- verifisere
- verifisere
- av
- vital
- VPN
- vs
- Sårbar
- Wake
- måter
- we
- Hva
- når
- hvilken
- mens
- HVEM
- hvorfor
- med
- innenfor
- Arbeid
- virker
- verden
- ville
- år
- zephyrnet
- null
- null tillit