BeyondTrust. Μηδενική εμπιστοσύνη και έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης
Η κυβερνοασφάλεια δεν είναι μια βιομηχανία συνώνυμη με τη μόδα. Δεν είχαμε ποτέ πριν κάποια στιγμή «iPhone», δηλαδή μία στιγμή που κάνει την εμφάνιση της μία έξυπνη, αστραφτερή νέα τεχνολογία που είναι τόσο χρήσιμη και εύχρηστη που από το πουθενά γίνεται πλέον το απόλυτο πρότυπο μέσα σε ελάχιστα χρόνια.
Τα περισσότερα από τα νέα που βρίσκονται στα «πρωτοσέλιδα» του Τύπου και που σχετίζονται με την κυβερνοασφάλεια είναι του τύπου – ποιας εταιρείας εξοντώθηκε το όνομα και η φήμη από μία μεγάλη δημόσια παραβίαση; Ή ποια νέα τάση αξιοποιούν οι κυβερνοεγκληματίες;
Είναι ωραίο να έχουμε κάποια καλά νέα για αλλαγή.
Και τα καλά νέα εδώ είναι: Οι κωδικοί πρόσβασης πρόκειται να αφανιστούν.
Όχι, πραγματικά πρόκειται να αφανιστούν.
Βεβαίως και θα εξακολουθήσουν να υπάρχουν ορισμένοι κωδικοί πρόσβασης, ΑΛΛΑ λόγω της σχετικά πρόσφατης ανάπτυξης ορισμένων νέων προτύπων και πρωτοκόλλων ασφαλείας – οι οργανισμοί είναι πλέον σε θέση να μεταβούν σε ένα μοντέλο επαλήθευσης της ταυτότητας χωρίς κωδικούς πρόσβασης. Και όπως αποδεικνύεται -αυτό το μοντέλο χωρίς κωδικό πρόσβασης φέρει αρκετά σημαντικά πλεονεκτήματα στον τομέα της ασφάλειας- αν ενώσετε τα κομμάτια (του παζλ) σωστά.
Στο κατ’ απαίτηση διαδικτυακό σεμινάριο του Raef Meeuwisse, συγγραφέα και ειδικού σε θέματα κυβερνοασφάλειας Zero Trust = Zero PasswordS?, διερευνάται «τι σημαίνει πραγματικά να μην υπάρχει κωδικός πρόσβασης (password)» -και για καλό λόγο- καθώς οποιοσδήποτε οργανισμός εξακολουθεί να εξαρτάται από τους κωδικούς πρόσβασης καθίσταται ως ένας εξαιρετικά ευάλωτος στόχος για τους κυβερνοεγκληματίες. Με άλλα λόγια, κανένας οργανισμός δεν θέλει να βρεθεί στη θέση να μην γνωρίζει τι σημαίνει «passwordless» και ποια οφέλη μπορεί να αποφέρει για την ασφάλεια.
«Μπορεί να φταίει το γεγονός ότι ξεκίνησα ως αξιολογητής/ ελεγκτής» λέει ο Raef Meeuwisse, «αλλά δεν υπάρχει τίποτα πιο ανησυχητικό για μένα. αυτή τη στιγμή, από κάποιον προμηθευτή που εξακολουθεί να χρειάζεται από κάθε χρήστη να πιστοποιεί την ταυτότητα του με όνομα χρήστη και κωδικό πρόσβασης, και μάλιστα να το κάνει σε κάθε συνεδρία, και που πέρα από αυτό, δεν αξιοποιεί δευτερεύοντα έλεγχο ταυτότητας (π.χ. έλεγχο ταυτότητας δύο παραγόντων)». «Κυριολεκτικά» λέει ο Raef Meeuwisse «θα μπορούσαν κάλλιστα να ζωγραφίσουν έναν μεγάλο στόχο στην πόρτα των κεντρικών γραφείων της εταιρείας τους και να έχουν ένα “πατάκι” στην είσοδο με τη φράση “Καλώς ήρθατε hackers”».
Πέρα από τη μετάβαση στο «passwordless μοντέλο» μία άλλη ανερχόμενη τάση είναι η «μηδενική εμπιστοσύνη» (zero trust). Τι είναι η μηδενική εμπιστοσύνη; Εξαρτάται ο ορισμός από το με ποιον μιλάτε; Είναι εύκολο να εφαρμόσετε τη μηδενική εμπιστοσύνη; Και τέλος, ταιριάζει με τη συναρπαστική τάση της μετάβασης στην επαλήθευση ταυτότητας χωρίς κωδικό πρόσβασης;
«Αξιοποιώντας της εμπειρίες μου (καλές και κακές) και την έρευνα που έχω πραγματοποιήσει στη μηδενική εμπιστοσύνη και στην ασφάλεια χωρίς κωδικό πρόσβασης» λέει ο Raef Meeuwisse, «κατάφερα να συνθέσω μία συνοπτική εξήγηση των παραπάνω θεμάτων και του τρόπου με τον οποίο σχετίζονται μεταξύ τους. Έχω συμπεριλάβει επίσης μερικές σπουδαίες συμβουλές -και μία περίληψη των πιθανών παγίδων που πρέπει να γνωρίζετε κατά την εφαρμογή τους» σε ένα διαδικτυακό σεμινάριο κατ’ απαίτηση που θα βρείτε αρκετά ενδιαφέρον.
Το Zero Trust είναι πλέον το κορυφαίο θέμα συζήτησης στον τομέα της κυβερνοασφάλειας- αλλά τι είναι πραγματικά; Σε τελική ανάλυση – πολλές από τις αρχές (π.χ. εφαρμογή της αρχής του ελάχιστου προνομίου, το να μην εμπιστεύεστε κανέναν και τίποτα από προεπιλογή κ.ά.) δεν φαίνεται να διαφέρουν και πολύ από τις βασικές αρχές ασφαλείας που υποτίθεται ότι εφαρμόζουμε εδώ και πολλά χρόνια.
Λάβετε μέρος στο διαδικτυακό σεμινάριο κατ’ απαίτηση για ένα διασκεδαστικό και διορατικό ταξίδι στον κόσμο της μηδενικής εμπιστοσύνης και του ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης. Μηδενική εμπιστοσύνη σημαίνει μηδέν κωδικοί πρόσβασης; Παρακολουθήστε το σεμινάριο για να μάθετε!
Πηγή: BeyondTrust