ما هي الثقة الصفرية، وما هي أطر العمل والمعايير التي يمكن أن تساعد في تنفيذ مبادئ أمان الثقة الصفرية في استراتيجيات الأمن الإلكتروني لديك؟
يرغب العديد من عملاء IBM في معرفة ما هو أمن الثقة الصفرية بالضبط وما إذا كان ينطبق عليهم. سيساعدك فهم مفهوم الثقة الصفرية وكيف تطور أنت والعديد من عملائنا على فهم أفضل طريقة لتنفيذه لحماية أصول شركتك الأكثر قيمة.
الثقة الصفرية هي إطار عمل يفترض أن كل اتصال ونقطة نهاية تشكل تهديدات، سواء على المستوى الخارجي أو الداخلي ضمن أمن شبكة الشركة. فهي تمكّن الشركات من بناء استراتيجية شاملة لتكنولوجيا المعلومات لتلبية الاحتياجات الأمنية لبيئة السحابة الهجينة. تنفذ الثقة الصفرية الحماية التكيّفية والمستمرة، وتوفر القدرة على إدارة التهديدات بشكل استباقي.
بعبارة أخرى، لا يثق هذا النهج أبدًا في المستخدمين أو الأجهزة أو الاتصالات لأي معاملات وسيتحقق من كل ذلك لكل معاملة على حدة. يسمح ذلك للشركات بالحصول على الأمان والرؤية عبر أعمالها بالكامل وفرض سياسات أمنية متسقة، مما يؤدي إلى اكتشاف التهديدات والاستجابة لها بشكل أسرع.
بدأت الثقة الصفرية في مبادرة "BeyondCorp" التي طورتها Google في عام 2010. كان هدف المبادرة هو تأمين الوصول إلى الموارد استناداً إلى الهوية والسياق، والابتعاد عن النموذج الأمني التقليدي القائم على المحيط الخارجي. وقد سمحت هذه الاستراتيجية لشركة Google بتزويد الموظفين بإمكانية الوصول الآمن إلى تطبيقات الشركة وبياناتها من أي مكان، باستخدام أي جهاز، دون الحاجة إلى شبكة افتراضية خاصة (VPN).
في عام 2014، صاغ John Kindervag المحلل في Forrester Research مفهوم ”الثقة الصفرية“ لوصف هذا النموذج الأمني الجديد في تقرير بعنوان "نموذج الثقة الصفرية لأمن المعلومات". واقترح نموذجًا أمنيًا جديدًا يفترض أنه لا يمكن الوثوق بأي شخص—سواء كان داخل شبكة المؤسسة أو خارجها—دون التحقق من ذلك. حدد التقرير نموذج الثقة الصفرية بناءً على مبدأين أساسيين: "لا تثق أبدًا، تحقق دائمًا".
يُفترض أن جميع المستخدمين والأجهزة والتطبيقات غير موثوق بها ويجب التحقق منها قبل منحها حق الوصول إلى الموارد. يعني مبدأ الامتيازات الصغرى أن كل مستخدم أو جهاز يُمنح الحد الأدنى من مستوى الوصول المطلوب لأداء وظيفته، ولا يُمنح الوصول إلا على أساس الحاجة إلى المعرفة.
ومنذ ذلك الحين، استمر مفهوم الثقة الصفرية في اكتساب الزخم، حيث تبنت العديد من المؤسسات بنيته لحماية أصولها الرقمية بشكل أفضل من التهديدات الإلكترونية. وهو يشمل مختلف المبادئ والتقنيات الأمنية التي يتم نشرها لتعزيز الأمن وتقليل مخاطر الاختراقات الأمنية.
تم تصميم هذه النماذج لتعمل معًا لإنشاء بنية ثقة صفرية شاملة يمكن أن تساعد المؤسسات على تقليل سطح الهجوم، وتحسين وضعها الأمني وتقليل مخاطر الاختراقات الأمنية. ومع ذلك، من المهم ملاحظة أن الأنواع المحددة لنماذج أمن الثقة الصفرية وتطبيقها قد تختلف باختلاف حجم المؤسسة ومجال عملها واحتياجاتها الأمنية المحددة.
أصبحت الثقة الصفرية نهجًا شائعًا للأمن الإلكتروني الحديث. وقد تبنته العديد من المؤسسات لمواجهة التهديد المتزايد للهجمات الإلكترونية واختراقات البيانات في عالم اليوم المعقد والمترابط. ونتيجة لذلك، قام العديد من مورّدي التكنولوجيا بتطوير منتجات وخدمات مصممة خصيصاً لدعم البنى التي لا تعتمد على الثقة الصفرية.
هناك أيضًا العديد من أطر العمل والمعايير التي يمكن للمؤسسات استخدامها لتطبيق مبادئ أمن الثقة الصفرية في استراتيجيات الأمن الإلكتروني الخاصة بها بتوجيه من المعهد الوطني الأمريكي للمعايير والتقنية (NIST).
NIST هو وكالة حكومية غير تنظيمية في وزارة التجارة الأمريكية، تهدف إلى مساعدة الشركات على فهم مخاطر الأمن الإلكتروني وإدارتها والحد منها بشكل أفضل لحماية الشبكات والبيانات. لقد نشرت دليلين شاملين موصى بهما بشدة حول الثقة الصفرية:
كان NIST SP 800-207، بنية الثقة الصفرية (الرابط موجود خارج ibm.com) أول منشور يؤسس لبنية الثقة الصفرية. وهو يقدم تعريفاً للثقة الصفرية كمجموعة من المبادئ التوجيهية (بدلاً من تقنيات وتطبيقات محددة) ويتضمن أمثلة على بنى الثقة الصفرية.
يؤكد NIST SP 800-207 على أهمية المراقبة المستمرة واتخاذ القرارات التكيّفية القائمة على المخاطر. يوصون بتنفيذ بنية الثقة الصفرية مع الركائز السبع للثقة الصفرية (المعروفة تقليديًا باسم المبادئ السبعة للثقة الصفرية)
بشكل عام، يشجع NIST SP 800-207 على اتباع نهج شامل للثقة الصفرية يستند إلى مبادئ الامتيازات الأقل والتجزئة الدقيقة والمراقبة المستمرة، مما يشجع المؤسسات على تنفيذ نهج أمني متعدد الطبقات يتضمن تقنيات وضوابط متعددة للحماية من التهديدات.
NIST SP 1800-35B، تنفيذ بنية الثقة الصفرية (الرابط موجود خارج موقع ibm.com) هو المنشور الآخر الموصى به بشدة من NIST ويتألف من موضوعين رئيسيين:
يربط المنشور التحديات الأمنية لتكنولوجيا المعلومات (التي تنطبق على القطاعين العام والخاص) بمبادئ ومكونات بنية الثقة الصفرية بحيث يمكن للمؤسسات أولاً تشخيص احتياجاتها بشكل صحيح. يمكنهم بعد ذلك اعتماد مبادئ ومكونات بنية الثقة الصفرية لتلبية احتياجات مؤسستهم. ولذلك، فإن NIST SP 1800-35B لا يحدد أنواعًا معينة من نماذج الثقة الصفرية.
يستفيد NIST من التطوير التكراري للبنى الأربع للثقة الصفرية التي نفذوها، مما يتيح لهم السهولة والمرونة في إجراء تحسينات تدريجية والاستمرارية في إطار عمل الثقة الصفرية مع تطورها بمرور الوقت.
لدى NIST شراكات استراتيجية مع العديد من مؤسسات التكنولوجيا (مثل IBM) التي تتعاون للبقاء في صدارة هذه التغييرات والتهديدات الناشئة.
ويتيح هذا التعاون لشركة IBM تحديد أولويات التطوير لضمان توافق الحلول التقنية مع التعاليم والمبادئ السبعة للثقة الصفرية وتأمين وحماية أنظمة وبيانات عملاء IBM.
تعرف على المزيد عن أهمية الثقة الفرية في تقرير IBM لعام 2022 عن تكلفة اختراق أمن البيانات أو تواصل مباشرةً مع أحد خبراء الثقة الصفرية في IBM.