الثقة الصفرية: رفع مستوى الأمان لمواكبة واقع سير “العمل من أي مكان”
بقلم أمير سهرابي،
نائب رئيس المنطقة للأسواق الناشئة،
لدى “سيتركس”
لقد اعتدنا اليوم على شراء البضائع عبر الإنترنت ببضع نقرات وتوصيلها لعتبات منازلنا بين عشية وضحاها. وبالمثل أصبحت طريقة عملنا أسرع وأكثر مرونة ومن مختلف الأماكن. ومع ذلك، لا تزال العديد من الشركات تلتزم بنهج الأمان التقليدي لتأمين أعمالها الرقمية والقوى العاملة لديها. حان الوقت لإدخال هندسة الأمان في العصر الحديث، لذلك تم إيجاد نهج “الثقة الصفرية” لتمكين ذلك بشكلٍ كامل.
أظهرت الأشهر الأخيرة الإمكانات الهائلة لاتجاه موجود مسبقاً نحو طريقة عمل أكثر موزعة ومرنة. وقد ساعد هذا في الحفاظ على استمرار الأعمال في وقت الأزمات، مع الحفاظ على إنتاجية الموظفين وصحتهم من خلال تمكين العمل من المنزل. حتى بدون الوباء، كان من الممكن أن يزداد الاتجاه نحو العمل الهجين والمرن فالموظفون يبحثون باستمرار عن أساليب جديدة تعمل على تحسين التوازن بين العمل والحياة الخاصة بهم، مع منح الشركات المرونة اللازمة لتسير العمل بالسرعة و الدقة المطلوبة.
ومع ذلك، فإن عصر العمل المرن اليوم يجلب معه بعض التحديات، فالموظفون يعملون الآن بشكل متكرر خارج محيط الأمان التقليدي. كما أن المزيد من الموظفين يستخدمون أجهزتهم الخاصة وعدداً متزايداً من الخدمات السحابية بدلاً من – أو بالإضافة إلى – الأجهزة التقليدية والمدارة مركزياً وتطبيقات الأعمال المحلية. هذه البيئة غير المتجانسة تجعل من الصعب بشكل متزايد تحقيق مستوى التحكم المطلوب لضمان استمرارية الأعمال بشكلٍ آمن. فإن نهج “القلعة والخندق” القديم الطراز – الذي يحاول تحقيق حالة آمنة جيداً من خلال إبقاء الخصوم في الخارج – هو مفهوم سيطر على التصاميم الأمنية في العقود الأخيرة، ولكن مشهد العمل الهجين غير المتجانس اليوم يرسم حدوداً جديدة بنفسه.
يتطلب واقع العمل المتطور بشكل متسارع بنية أمنية جديدة وهذا هو السبب في أن نهج “الثقة الصفرية” موضوع نقاش ساخن هذه الأيام. حيث أن نهج الثقة الصفرية لا يعني أن الشركات لم تعد تثق بموظفيها، بل على العكس تماماً لا يمكنهم و لا ينبغي لهم ذلك، بل هو يعني الإيمان الأعمى بالسياق التكنولوجي الذي يصل الموظفون من خلاله إلى الموارد الحساسة. بعد كل شيء، من المحتمل الآن أن يعمل الموظفون مع تطبيقات الأعمال وبيانات الشركة باستخدام أجهزتهم الخاصة واتصال شبكة غير موثوق به مثل شبكة “واي-فاي” المنزلية أو نقطة اتصال “واي-فاي” موجودة في أماكن عامة. هذا هو السبب في أن بيئة انعدام الثقة تعتمد على مبدأ أساسي هو لا تثق أبداً، وإنما تحقق دائماً!
لتحقيق ذلك، يقوم برنامج الأمان الحديث، بمساعدة الذكاء الاصطناعي والمراقبة المستمرة، بتقييم المستخدم باستمرار (أو بالأحرى: حساب المستخدم) وسلوك النهاية الطرفية لأي مؤشرات على نشاط غير اعتيادي تشير إلى اختراق أمني. ومع ذلك، ليست كل البيئات التي تفتقر إلى الثقة متماثلة. ففي شركة ناشئة تعمل بشكل كامل على نظام التطبيقات كخدمة (SaaS)، قد يكون كافياً تطبيق مفهوم الثقة الصفرية على التطبيقات كخدمة و أجهزة النهاية الطرفية. ومع ذلك، فإن معظم بيئات تكنولوجيا المعلومات الخاصة بالمؤسسات أكثر تعقيداً من هذا: فهي تميل إلى احتواء مجموعة متنوعة من التطبيقات المخصصة داخل الشركة أو حتى المطورة داخلياً، جنباً إلى جنب مع تقنية “الشبكات الخاصة الافتراضية” القديمة ومجموعة واسعة من أجهزة سطح المكتب والأجهزة المحمولة. وفقاً لذلك، يجب التخطيط بعناية لنهج الثقة الصفرية و تكييفه مع بيئة تكنولوجيا المعلومات الفردية.
تتمثل الخطوة الأولى نحو بيئة “الثقة الصفرية” في إنشاء بنية شبكة تغطي جميع جوانب تفاعل المستخدمين مع موارد تكنولوجيا المعلومات المؤسسية – الداخلية و / أو المستندة إلى السحابة – أينما تواجد هؤلاء المستخدمون أو تلك الموارد. وهذا يتطلب إجراء تقييم لسياق وصول المستخدم إلى جانب إنشاء ملفات تعريف المخاطر. بناءً على ملفات تعريف المخاطر هذه والتحليل المستمر للسياق، يمكن لفريق الأمان تنفيذ سياسات أمان مركزية وتطبيقها بشكل مستقل بغض النظر عن أي محيط جدار حماية للشبكة قديم الطراز.
يتطلب إنشاء السياق التحقق من العديد من الجوانب مثل عنوان “بروتوكولات الانترنت” (IP) والموقع الجغرافي، وحالة الجهاز (مملوك للشركة، أو مملوك لجهة خاصة)، وحالة نظام التشغيل (مكسور الحماية / أو جذر نظام مكسور الحماية أو آمن)، وحالة التصحيح وما إلى ذلك، بالإضافة إلى التحقق من الشهادات الرقمية للهوية و إدارة الوصول. ثم تتم مطابقة التقييم المستمر لجميع هذه البيانات مع السياسات المحددة مسبقاً. على سبيل المثال، قد تحدد الشركات أنه لا يمكن للموظفين الوصول إلى الموارد الحساسة إلا إذا كان الجهاز مؤمناً بالكامل، ويتم التعرف على المستخدم من خلال المصادقة متعددة العوامل. بخلاف ذلك، سيُعلم إشعار منبثق الموظف بكيفية المتابعة، بينما قد يتم وضع الجهاز في الحجر حتى يتم تحقيق الحالة المطلوبة.
تكمن الفائدة حقيقةً من نهج “الثقة الصفرية” بتحقيقه توازناً مثالياً بين الأمان وقابلية الاستخدام: ففي معظم الأوقات، لن يلاحظ الموظفون أن إعداد الثقة الصفرية يضمن باستمرار مستوى عالٍ من الأمان. ولكنهم سيلاحظون فقط الإجراءات الأمنية التي يتم تطبيقها عند حدوث شيء غير عادي، سواءً كان ذلك عن طريق الخطأ أو بسبب تمكن الخصم من اختراق أحد الحسابات الموجودة على الشبكة.
يجب أن تتكيَّف بنية أمن تكنولوجيا المعلومات مع عالم الأعمال المتسارع. فالثقة الصفرية تمهد الطريق للعمل بأمان من أي مكان مع تسهيل تجربة الموظف وجعلها أكثر سلاسة. حان الوقت لترك جدران القلعة القديمة خلفك والتحول إلى شيء مصمم من الألف إلى الياء لتحقيق السرعة وخفة الحركة وسهولة الاستخدام وأكثر تهيئة لواقع العمل الهجين.
