あなたの組織で最も脆弱なのは、パッチが適用されていないシステムでも、推測しやすいパスワードでも、悩めるセキュリティ・チームでもない。
むしろ、最も重要な脆弱性とは、より広範で管理が難しいもの、つまり信頼である。
ここ数週間、さまざまな悪用方法を駆使し、組織のセキュリティを破るために信用を利用したサイバー攻撃が、さまざまな分野で相次いでいる:
- アメリカの ソーラーウインズの攻撃 国防総省、国土安全保障省、国家核安全保障局、病院、大手メディアを含む最大18,000の組織に悪意のあるコードをインストールするために、信頼されたアップデートシステムを使用した。
- 先週、ソーラーウインズ(ノーベルウインズ)の背後にいるのと同じグループによって組織された新たなキャンペーンが、米国AIDの電子メールプロバイダーであるコンスタント・コンタクトをハッキングし、悪質なURLを含む電子メールをおおよそ次のアドレスに送信した。 3,000アカウント 150を超える国際的な開発・人権団体において。
- ハッカーは次のような手段を用いている。 COVID-19の変更 最高情報責任者からの」偽メールを送信し、従業員の認証情報を盗む制限。
(を強要したグループかどうかはわからない)。 JBSフーズ、米国とオーストラリアでの事業を閉鎖へ しかし、信頼がどのような役割を果たしたかについては、今後も注視していきたい)。
これらのエクスプロイトのすべてにおいて、悪者はリンクやインストールを、おそらくは 信頼できる情報源.複雑で、リモートで、どこからでも仕事ができる社会では、仕事をし、発注し、支払いを行い、受け取るために、同僚、ベンダー、システムを信頼する必要がある。
ユーザーには信頼が必要だ。しかし、組織にはその余裕がない。オンラインでは、信頼は大きな負債となりうる。
私たちは話し合った ゼロトラスト before:品番でも製品でもない。SKUもないし、購入するための簡単な注文フォームもない。
その代わり、ゼロ・トラストは原則である。 マインドセット セキュリティチームが開発を開始すべきものである。大雑把に言えば、ゼロトラストは古典的な「最小特権」の考え方であり、それをより広い規模に拡大したものである。ユーザーを減速させたり、ビジネスを破綻させたりすることなく、最も重要なものを守るために、適切なコストと利益のトレードオフを行う方法である。
に向けて前進する最も効果的な方法のひとつが、次のようなものだ。 信頼ゼロはアイデンティティを優先すること そして、アイデンティティ・アクセス管理(IAM)とアイデンティティ・ガバナンス管理(IGA)は広範であることを忘れてはならない。これらは、ユーザー、リソース、アプリケーション また、 ベンダー:ゼロ・トラストの「決して信用せず、常に検証する」モデルを適用するには、まずガバナンス・ポリシーを設定し、適切なユーザーに適切なアクセスを許可し、その役割と権限のリストを管理する必要があります。企業は、情報を追跡し管理するための、より良く、より速く、よりスマートな方法を必要としている。
繰り返しになるが、IAMとIGAは広範なものである。最近のノーベルのハッキングは、すべてのインベントリーの必要性を強調している。 システムとアクセス、そして強力な認証を提供する。Office 365、Salesforce、Slack、Constant Contactのような全社的なクラウドベースのシステムには、より強力な認証が必要です、 リスクベース認証 を確保する。 クラウドセキュリティ そして、個人のアイデンティティと組織の機密資料の両方を保護する。さらに、今回のハッキングは、企業がパスワードやログイン情報を盗まれる脆弱性をなくす(そして大幅なコスト削減を実現する)必要性を示している。 パスワードレス.
ユーザーやリソースに与える信頼の量を特定し、管理し、減らすことで、私たちはつながりから恩恵を受け、それらが私たちや同僚、ビジネスに与えるダメージを抑えることができる。最終的に、ゼロ・トラストは目的地ではありません。それは私たちが歩む旅であり、オンラインの世界で私たちがしなければならないトレードオフを常に学び、再学習する旅なのです。それは、ますます価値のある旅になりつつある。
