يوضح تقرير Gartner أن انعدام الثقة ليس حلًا سحريًا
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
لقد جمعت قلة من عربات الأمن قدرًا كبيرًا من الاهتمام والزخم مثل الثقة المعدومة. في الواقع ، 97٪ من الشركات إما لديها مبادرة انعدام الثقة أو تخطط لتنفيذ واحدة خلال 12 إلى 18 شهرًا القادمة. ومع ذلك ، يشير تقرير جديد صادر عن مؤسسة Gartner هذا الأسبوع إلى أن انعدام الثقة ليس حلًا سحريًا أو حلًا لإصلاح جميع المشكلات.
يحذر البحث من أنه بحلول عام 2026 ، ستستهدف 50٪ من الهجمات الإلكترونية مناطق غير محمية أو لا يمكن حمايتها من خلال ضوابط عدم الثقة ، مثل واجهات برمجة التطبيقات التي تواجه الجمهور وعمليات الاحتيال في الهندسة الاجتماعية.
يسلط التقرير الضوء أيضًا على أن نضج الثقة الصفري ما زال بعيد المنال بالنسبة لمعظم المؤسسات. تشير التقديرات إلى أن 10٪ فقط من الشركات الكبيرة سيكون لديها برنامج عدم ثقة ناضجة وقابل للقياس بحلول عام 2026 ، بزيادة من 1٪ فقط اليوم.
عند النظر معًا ، فإن التحديات في تحقيق نضج انعدام الثقة والاتجاه المتزايد للتهديدات المستندة إلى واجهة برمجة التطبيقات وهجمات الهندسة الاجتماعية تسلط الضوء على أن المؤسسات لا تستطيع تحمل الاعتماد على إطار عمل أمان واحد لتأمين بيئاتها.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
ما الخطأ في انعدام الثقة؟
في صميم تنبؤات Gartner بأن الثقة الصفرية ستصبح أقل فعالية هو أن الجهات المهددة تستهدف قطاعات من سطح الهجوم السحابي ، والتي يصعب حمايتها باستخدام عناصر التحكم في الوصول وحدها.
“سطح هجوم المؤسسة يتوسع بشكل أسرع ويهاجم[er]قال جيريمي ديهوين ، نائب المحلل في شركة Gartner ، إن الشركة ستنظر بسرعة في تحديد واستهداف الأصول ونقاط الضعف خارج نطاق هياكل عدم الثقة (ZTAs).
قال D’Hoinne: “يمكن أن يأخذ هذا شكل مسح واستغلال واجهات برمجة التطبيقات التي تواجه الجمهور أو استهداف الموظفين من خلال الهندسة الاجتماعية ، أو بناء أو استغلال العيوب بسبب قيام الموظفين بإنشاء” تجاوز “خاص بهم لتجنب سياسات عدم الثقة الصارمة”.
يمكن للمؤسسات تطبيق ضوابط عدم الثقة والمصادقة متعددة العوامل على واجهات برمجة التطبيقات ، مع إمكانية توفير الآلاف من واجهات برمجة التطبيقات وإلغاء توفيرها في جميع أنحاء المؤسسة. لكن هذا النهج يصعب قياسه.
على الجانب الإيجابي ، في حين أن عدم الثقة لا يمكن أن يمنع الهندسة الاجتماعية وعمليات التصيد الاحتيالي من الحصول على معرف تسجيل الدخول عبر الإنترنت وكلمة المرور الخاصة بالمستخدم ، إلا أنه يمكن أن يساعد في تنفيذ مبدأ الامتياز الأقل والحد من كمية البيانات التي يمكن للمتطفل الوصول إليها.
ومع ذلك ، إذا كان D’Hoinne محقًا في أن استغلال واجهات برمجة التطبيقات التي تواجه الجمهور هو خارج نطاق الثقة الصفرية ، فإن هذا يعد إشرافًا كبيرًا ، لا سيما بالنظر إلى أنه استنادًا إلى أبحاث Gartner الخاصة ، بحلول عام 2023 ، ستنتقل إساءة استخدام واجهة برمجة التطبيقات من غير متكرر إلى متجه الهجوم الأكثر شيوعًا.
إنها أيضًا نقطة ضعف لا تستطيع فرق الأمان التغاضي عنها ، خاصة بعد تعرض Twitter و T-Mobile لخروقات API التي أدت إلى كشف المعلومات الشخصية لملايين المستخدمين.
معالجة تحدي أمان واجهة برمجة التطبيقات
على أقل تقدير ، تحتاج المؤسسات إلى البدء في الاستثمار في إمكانات أمان واجهة برمجة التطبيقات إذا أرادت التخفيف من المخاطر. في الممارسة العملية ، يعني ذلك نشر أنظمة لإنشاء مخزون من واجهات برمجة التطبيقات التي تواجه الجمهور ، وتحديد نقاط الضعف وإصلاحها قبل أن يتمكن المهاجم من استغلالها.
أبرزت أبحاث Forrester السابقة حاجة المؤسسات إلى الابتعاد عن حماية واجهات برمجة التطبيقات باستخدام نهج أمان قائم على المحيط ، والبدء بدلاً من ذلك في تضمين الأمان في تطوير واجهات برمجة التطبيقات والتحقق من الاتصالات بشكل استباقي.
”مصادقة في كل مكان ؛ تصميم سلاسل ثقة واضحة كجزء لا يتجزأ من تطوير API وخطوط أنابيب النشر ، “قال التقرير.
ومع ذلك ، يقول تيد ميراكو ، الرئيس التنفيذي لواجهة برمجة التطبيقات وموفر حماية تطبيقات الأجهزة المحمولة موافق ، إن مناهج التحول إلى اليسار لأمان واجهة برمجة التطبيقات لديها بعض نقاط الضعف الخطيرة.
إن ما يسمى بمناهج “shift-left” للأمان مقصرة ، حيث أن العديد من عمليات استغلال واجهة برمجة التطبيقات تحدث بالفعل ضد واجهات برمجة التطبيقات المصادق عليها. في الماضي ، كان إبطاء المهاجمين كافياً للخروج من الخطر ، لكن اليوم لا يوجد مكان للاختباء من المتسللين المصممين ، “قال ميراكو.
بالنسبة إلى Miracco ، يتمثل الحل في تنفيذ مراقبة مستمرة في الوقت الفعلي لواجهات برمجة التطبيقات لتأمين سطح الهجوم.
“إصدار التطبيقات ، وخاصة تطبيقات الأجهزة المحمولة ، بدون القدرة على إجراء المراقبة في الوقت الفعلي ، والحماية الذاتية للتطبيقات ، والتحديثات عبر الهواء [and] وقال ميراكو: “مفاتيح واجهة برمجة التطبيقات الجديدة تدعو إلى الخطر ، حيث أن تهديدات واجهة برمجة التطبيقات تنمو بشكل كبير في هذا الفضاء”.
قيود أخرى لعدم الثقة
بينما توفر الثقة الصفرية نموذجًا قويًا لإدارة الوصول إلى البيانات داخل شبكة قائمة على المحيط ، فهي ليست محطة واحدة للتخفيف من المخاطر. قال ستيف هان ، نائب الرئيس التنفيذي في BullWall: “حتى إذا نفذت المؤسسة نموذج انعدام الثقة بالكامل ، فإنها لا تضمن الحماية الكاملة ضد الهجمات الإلكترونية”.
يجادل هان بأن استغلال واجهة برمجة التطبيقات ، والهندسة الاجتماعية ، ونقاط الضعف في الأجهزة والبرامج ، وبيانات الاعتماد المسروقة أو المخترقة ، وحملات التصيد الاحتيالي ، والبرامج الضارة ، والوصول المادي إلى الأجهزة والبنية التحتية للشبكة يمكن استخدامها جميعها لتجاوز ضوابط عدم الثقة للوصول إلى الأنظمة والبيانات.
نتيجة لذلك ، تحتاج المؤسسات إلى استكمال الضوابط التي توفرها الثقة الصفرية بإجراءات أمنية إضافية لتحسين قدرتها على الصمود السيبراني.
“من المهم للمؤسسات ألا تنفذ الحلول التقنية فحسب ، بل توفر أيضًا تدريبًا دوريًا للتوعية الأمنية للموظفين للمساعدة في منع هذه الأنواع من الهجمات ، ومراقبة وتقييم أنظمتها وشبكاتها بانتظام بحثًا عن أي علامات على التسوية. أخيرًا ، سيكون من الحكمة أن تبدأ المنظمات في الاستثمار في احتواء الهجوم النشط ، حيث لا تزال الأساليب الوقائية غير كافية ، “قال هان.
الدور الحقيقي لعدم الثقة: الحد من المخاطر
من الآن فصاعدًا ، لا يتمثل الدور الحقيقي لعدم الثقة في القضاء على المخاطر الإلكترونية تمامًا ، ولكن زيادة المرونة الإلكترونية ومساعدة المؤسسات على تطبيق الحد من المخاطر في المؤسسة.
في الختام ، يجادل التقرير بأن أكبر المنظمات يجب أن تنفذ الثقة الصفرية لتعزيز التخفيف من المخاطر للأصول الهامة أولاً ، لتوليد العوائد. لكنه يشير أيضًا إلى أنه يجب على CISOs تنفيذ نظام إدارة التعرض للتهديدات المستمرة (CTEM) لإنشاء جرد للتهديدات خارج نطاق الثقة الصفرية.
من خلال الجمع بين إطار عمل عدم الثقة مع برنامج CTEM ، يمكن للمؤسسات تحديد المخاطر والتخفيف منها عند ظهورها والالتزام بإجراء تحسينات مستمرة على الوضع الأمني العام.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
اكتشاف المزيد من إشراق التقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.