"מימוש מירבי של 'אפס אמון' – מתחיל במשתמשי הקצה"
כך אמר אדם קלייטר, ארכיטקט ראשי לסוכנויות אזרחיות ברד האט, בראיון לאנשים ומחשבים ● "מימוש של התפישה הוא תהליך, מסע"
"ארגוני ממשל ניצבים למול כמה אתגרים תפעוליים מרכזיים, כאשר הם באים לממש את תפישת האבטחה 'אפס אמון' (Zero Trust). ההנחיות של CISA, הסוכנות הפדרלית לאבטחת סייבר ותשתיות, מאוד ברורות: מימוש של התפישה הוא תהליך, מסע. וכמו כל מסע, הוא מתחיל בצעד הראשון. עבור רבים מארגוני הממשל, האתגר הוא ברוחב ההיקף של 'אפס אמון', מה הוא באמת אומר עבור הארגון שלהם ומה יידרש כדי ליישם את זה. אנחנו מאמינים שהכול מתחיל ממשתמשי הקצה", כך אמר אדם קלייטר, ארכיטקט ראשי לסוכנויות אזרחיות, רד האט (Red Hat).
אדם קלייטר, ארכיטקט ראשי לסוכנויות אזרחיות, רד האט. צילום: יח"צ
בראיון לאנשים ומחשבים אמר קלייטר כי "כלל מימוש ההגנה מתחיל ממשתמשי הקצה: הבנת השליטה בגישה, הכרה מיהם המשתמשים שלך, ואז בניית אוטומציה, אשר תאפשר את המימוש של אסטרטגיית 'אפס אמון' בארגון – עם יכולת לממש אותה תוך כדי תנועה".
לדברי קלייטר, "אני חושב שהאתגר הוא בהיקף, לאו דווקא 'גלישת התכולה' (scope creep), אלא פשוט העובדה שהיקף האתגר הוא רחב כל כך. מהבחינה התפעולית, ההמלצה שלי לארגונים היא 'התחילו. התקדמו. הבינו מי המשתמשים שלכם, יישמו אימותים חכמים לכלל הישויות, בני אנוש ומכונות (PIV to host authentication), ואז – תמשיכו משם".
לדבריו, "אמנם, מנהלים בכירים בסוכנויות הפדרליות בארה"ב מבינים באמת את היקף המשאבים הדרושים להשגת יעדי 'אפס אמון', אבל עדיין, אני חושב שזה מאד קשה. במיוחד עם כל הלוגים שצריך לאסוף ופעולות נוספות. איני מזלזל, חלילה, במנהל בכיר כלשהו בשירות הפדרלי, אלא שעל כולם להבין שההיקף העצום של אתגר 'אפס אמון', הופך את המימוש שלו למורכב מאוד. במקרים רבים, אנחנו פשוט עדיין לא יודעים את מה שאנחנו לא יודעים".
"לא משנה במי מהבכירים בארגון מדובר", הסביר קלייטר, "האם זהו המנמ"ר, סמנכ"ל הכספים, או המנכ"ל – כאשר הארגון יתחיל את המסע שלו למימוש תפישת האבטחה 'אפס אמון' – יהיו הרבה נעלמים שאנחנו והוא נגלה – והם יתגלו תוך כדי תנועה. חשוב להבין איך כלל הרכיבים פועלים יחד, כי אין רכיב בתפישה שיכול להתקיים לבד. ולכן, לצערי, לרוב אין הבנה מלאה של כל מה שנדרש כדי לממש את התפישה באופן כולל, פשוט – ובעיקר בהצלחה".
"לא קל להפנים", סיכם קלייטר, "שיש דרך לממש את תפיסת 'אפס אמון' – אבל זה פשוט טבעו של המסע שאנחנו בתוכו. בעולם טכנולוגי שמשתנה כל הזמן, האסטרטגיה של תפישת 'אפס אמון', שהייתה הגיונית בשנה שעברה, לא בהכרח תהיה רלוונטית לשנה הבאה. כך שמדובר במסע שהוא לא רק ארוך, אלא גם כזה שבו נקודת הסיום יכולה לנוע תוך כדי הליכה של הארגון לעברה. מדובר במצב שהוא באמת נזיל ודינמי".
רד האט תערוך באמצע יוני (18.6) את הכנס שלה, Unlocking Innovation, בהפקת אנשים ומחשבים. לפרטים נוספים על האירוע ולהרשמה – לחצו כאן.
ידיעות מובילות
איך מאפשרים לעובדים להשתמש ב-AI בלי לסכן מידע רגיש או קוד מקור?
מלם תים מגייסת יותר מ-500 עובדים
רשות החדשנות תשקיע כ-180 מיליון שקלים בשלוש תוכניות דגל חדשות
מה משמעות הירידות החדות בשער הביטקוין?
קבוצת אמן רוכשת במיליוני שקלים את SimplyCT, שמתמחה בפריוריטי
תגובות
(0)