תפיסת Zero Trust לא מספיקה - נדרשת התאמת מנגנוני האבטחה לטבע האדם
ארגונים רבים כבר מיישמים את גישת ״אפס אמון״ במערך האבטחה שלהם. אך גישה זו אינה מספיקה, אם פתרונות האבטחה אינם מותאמים למשתמשים, קלים לשימוש ואינטואיטיביים
גיא חורש | קרדיט: בינת תקשורת מחשבים
מודל האבטחה אפס אמון (Zero Trust) דורש אימות והרשאה מתמשכים של משתמשים ומכשירים לגישה למשאבים, ללא קשר למיקומם. זוהי מסגרת אבטחה שמניחה שאין לסמוך על משתמש או מכשיר כברירת מחדל, גם אם הוא נמצא בתוך הרשת הארגונית.
כלומר, כל בקשת גישה מטופלת כאילו היא מגיעה ממקור לא מהימן ויש לאמת אותה ולהסמיך אותה לפני מתן גישה למשאב המבוקש. גישה זו דורשת שכבות מרובות של בקרות אבטחה, כגון ניהול זהויות וגישה, פילוח רשת, אבטחת נקודות קצה והצפנת נתונים, כדי להבטיח שרק למשתמשים ולמכשירים מורשים תהיה גישה למשאבים ספציפיים.
גישה זו אינה מספיקה. לפי דו״ח של גרטנר שפורסם בחודש שעבר ועסק בתחזיות סייבר לשנתיים הקרובות, יותר מ-90% מהעובדים שהודו כי ביצעו מגוון פעולות לא מאובטחות במהלך עבודתם ידעו כי פעולות אלו עלולות להגדיל את הסיכון לארגון אך עשו זאת בכל זאת.
את מודל אפס אמון יש ללוות בעיצוב ממוקד אדם/משתמש (Human-Centric Design), כלומר, עיצוב פרוטוקולי אבטחה מתוך מחשבה על האלמנט האנושי. גישה זו מכירה בכך שבני אדם הם החוליה החלשה ביותר במעגל האבטחה, ולכן המטרה היא ליצור פתרונות אבטחה קלים לשימוש, אינטואיטיביים שאינם מפריעים לזרימת העבודה של המשתמשים.
שילוב מודל אפס אמון ועיצוב ממוקד באדם
מחקר משתמשים - מחקר כזה יוכל לסייע לנו להבין את האינטראקציה של המשתמשים עם מערכות אבטחה, מהם הצרכים שלהם ועם איזה אתגרים הם מתמודדים. בהתבסס על מחקר זה, ניתן לעצב פתרונות אבטחה המותאמים לצרכים הספציפיים של המשתמשים.
לדוגמה, כאשר אנו מתכננים מערכת ניהול סיסמאות כדאי לראיין את המשתמשים כדי להבין כיצד הם מנהלים את הסיסמאות שלהם, מהן נקודות הכאב שלהם ואלו תכונות הם היו רוצים לראות בכלי לניהול סיסמאות. בהתבסס על מחקר זה, ניתן לעצב את הכלי כך שיהיה ידידותי יותר למשתמשים, עם תכונות כמו מילוי אוטומטי של סיסמאות וסנכרון בין מכשירים.
תקשורת ברורה - פתרונות האבטחה צריכים לתקשר בצורה ברורה ויעילה למשתמשים, תוך שימוש בשפה פשוטה והימנעות מז'רגון טכני. יש לספק הנחיות ברורות כיצד להשתמש בפתרון, יחד עם מידע מדוע יש צורך באמצעי אבטחה מסוימים. לדוגמה, הסבר על מדיניות הסיסמאות של הארגון צריך להיות פשוט וברור, ולספק הוראות שלב אחר שלב כיצד ליצור סיסמה חזקה. כך נבטיח שהמשתמשים יבינו את אמצעי האבטחה, ויש סיכוי גבוה יותר שהם יפעלו בהתאם.
אבטחה מודעת להקשר - אמצעי אבטחה שעובדים היטב בהקשר אחד עשויים שלא להתאים לאחר. למשל, אמצעי אבטחה לסביבה ארגונית לעומת אמצעי אבטחה למשתמש ביתי. יש לקחת בחשבון את ההקשר שבו נעשה השימוש בפתרונות אבטחה, וכך גם עיצובם יהיה יעיל וידידותי יותר למשתמש. לדוגמה, פתרון אבטחה מודע להקשר עשוי להתאים את אמצעי האבטחה שלו על סמך מיקום המשתמש, סוג המכשיר שבו הוא משתמש והרשת שאליה הוא מחובר.
חינוך והכשרה - זהו המפתח לשיפור המודעות של העובדים לצרכי האבטחה. המשתמשים צריכים להבין מהם סיכוני אבטחה וכיצד להגן על עצמם ועל הארגון. בין הנושאים שכדאי לשוחח עליהם עם העובדים: זיהוי הונאות דיוג (פישינג), יצירת סיסמאות חזקות ואבטחת מכשירים ניידים.
לסיכום, על ידי שילוב מודל אפס אמון ועיצוב ממוקד באדם, ארגונים יכולים ליצור סביבת אבטחה שהיא גם מאובטחת וגם ידידותית למשתמש. גישת Zero trust מספקת בסיס אבטחה חזק המבטיח שכל המשתמשים והמכשירים מאושרים לפני שהם יכולים לגשת למשאבים, בעוד שעיצוב ממוקד משתמש מבטיח שבקרות האבטחה קלות לשימוש ואינן מפריעות לפרודוקטיביות.
גישה זו יכולה לעזור לארגונים לשפר את עמדת האבטחה הכוללת שלהם ובמקביל גם להקל על המשתמשים לבצע את עבודתם בצורה מאובטחת.
גיא חורש הוא מהנדס פריסייל בחטיבת אבטחת מידע וסייבר בבינת תקשורת מחשבים.
ארגונים רבים כבר מיישמים את גישת ״אפס אמון״ במערך האבטחה שלהם. אך גישה זו אינה מספיקה, אם פתרונות האבטחה אינם מותאמים למשתמשים, קלים לשימוש ואינטואיטיביים
גיא חורש | קרדיט: בינת תקשורת מחשבים
מודל האבטחה אפס אמון (Zero Trust) דורש אימות והרשאה מתמשכים של משתמשים ומכשירים לגישה למשאבים, ללא קשר למיקומם. זוהי מסגרת אבטחה שמניחה שאין לסמוך על משתמש או מכשיר כברירת מחדל, גם אם הוא נמצא בתוך הרשת הארגונית.
כלומר, כל בקשת גישה מטופלת כאילו היא מגיעה ממקור לא מהימן ויש לאמת אותה ולהסמיך אותה לפני מתן גישה למשאב המבוקש. גישה זו דורשת שכבות מרובות של בקרות אבטחה, כגון ניהול זהויות וגישה, פילוח רשת, אבטחת נקודות קצה והצפנת נתונים, כדי להבטיח שרק למשתמשים ולמכשירים מורשים תהיה גישה למשאבים ספציפיים.
גישה זו אינה מספיקה. לפי דו״ח של גרטנר שפורסם בחודש שעבר ועסק בתחזיות סייבר לשנתיים הקרובות, יותר מ-90% מהעובדים שהודו כי ביצעו מגוון פעולות לא מאובטחות במהלך עבודתם ידעו כי פעולות אלו עלולות להגדיל את הסיכון לארגון אך עשו זאת בכל זאת.
את מודל אפס אמון יש ללוות בעיצוב ממוקד אדם/משתמש (Human-Centric Design), כלומר, עיצוב פרוטוקולי אבטחה מתוך מחשבה על האלמנט האנושי. גישה זו מכירה בכך שבני אדם הם החוליה החלשה ביותר במעגל האבטחה, ולכן המטרה היא ליצור פתרונות אבטחה קלים לשימוש, אינטואיטיביים שאינם מפריעים לזרימת העבודה של המשתמשים.
שילוב מודל אפס אמון ועיצוב ממוקד באדם
מחקר משתמשים - מחקר כזה יוכל לסייע לנו להבין את האינטראקציה של המשתמשים עם מערכות אבטחה, מהם הצרכים שלהם ועם איזה אתגרים הם מתמודדים. בהתבסס על מחקר זה, ניתן לעצב פתרונות אבטחה המותאמים לצרכים הספציפיים של המשתמשים.
לדוגמה, כאשר אנו מתכננים מערכת ניהול סיסמאות כדאי לראיין את המשתמשים כדי להבין כיצד הם מנהלים את הסיסמאות שלהם, מהן נקודות הכאב שלהם ואלו תכונות הם היו רוצים לראות בכלי לניהול סיסמאות. בהתבסס על מחקר זה, ניתן לעצב את הכלי כך שיהיה ידידותי יותר למשתמשים, עם תכונות כמו מילוי אוטומטי של סיסמאות וסנכרון בין מכשירים.
תקשורת ברורה - פתרונות האבטחה צריכים לתקשר בצורה ברורה ויעילה למשתמשים, תוך שימוש בשפה פשוטה והימנעות מז'רגון טכני. יש לספק הנחיות ברורות כיצד להשתמש בפתרון, יחד עם מידע מדוע יש צורך באמצעי אבטחה מסוימים. לדוגמה, הסבר על מדיניות הסיסמאות של הארגון צריך להיות פשוט וברור, ולספק הוראות שלב אחר שלב כיצד ליצור סיסמה חזקה. כך נבטיח שהמשתמשים יבינו את אמצעי האבטחה, ויש סיכוי גבוה יותר שהם יפעלו בהתאם.
אבטחה מודעת להקשר - אמצעי אבטחה שעובדים היטב בהקשר אחד עשויים שלא להתאים לאחר. למשל, אמצעי אבטחה לסביבה ארגונית לעומת אמצעי אבטחה למשתמש ביתי. יש לקחת בחשבון את ההקשר שבו נעשה השימוש בפתרונות אבטחה, וכך גם עיצובם יהיה יעיל וידידותי יותר למשתמש. לדוגמה, פתרון אבטחה מודע להקשר עשוי להתאים את אמצעי האבטחה שלו על סמך מיקום המשתמש, סוג המכשיר שבו הוא משתמש והרשת שאליה הוא מחובר.
חינוך והכשרה - זהו המפתח לשיפור המודעות של העובדים לצרכי האבטחה. המשתמשים צריכים להבין מהם סיכוני אבטחה וכיצד להגן על עצמם ועל הארגון. בין הנושאים שכדאי לשוחח עליהם עם העובדים: זיהוי הונאות דיוג (פישינג), יצירת סיסמאות חזקות ואבטחת מכשירים ניידים.
לסיכום, על ידי שילוב מודל אפס אמון ועיצוב ממוקד באדם, ארגונים יכולים ליצור סביבת אבטחה שהיא גם מאובטחת וגם ידידותית למשתמש. גישת Zero trust מספקת בסיס אבטחה חזק המבטיח שכל המשתמשים והמכשירים מאושרים לפני שהם יכולים לגשת למשאבים, בעוד שעיצוב ממוקד משתמש מבטיח שבקרות האבטחה קלות לשימוש ואינן מפריעות לפרודוקטיביות.
גישה זו יכולה לעזור לארגונים לשפר את עמדת האבטחה הכוללת שלהם ובמקביל גם להקל על המשתמשים לבצע את עבודתם בצורה מאובטחת.
גיא חורש הוא מהנדס פריסייל בחטיבת אבטחת מידע וסייבר בבינת תקשורת מחשבים.
