Firmy wciąż mają problemy z zapewnieniem konsekwentnego podejścia podczas uwierzytelniania użytkowników i urządzeń

Fortinet, światowy lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, zaprezentował dokument Global State of Zero Trust Report zawierający wyniki badania dotyczącego aktualnego stanu wdrażania modelu Zero Trust w przedsiębiorstwach. Ujawniają one, że chociaż większość firm ma wizję dotyczącą zastosowania tego podejścia we własnej infrastrukturze lub wręcz jest w trakcie jego wdrażania, ponad połowa nie jest w stanie przekuć tej wizji na proces implementacji, ponieważ brakuje im podstawowej wiedzy dotyczącej tego zagadnienia. Poniżej znajduje się podsumowanie najważniejszych punktów raportu.

W raporcie dotyczącym krajobrazu cyberzagrożeń jego autorzy – eksperci z FortiGuard Labs – wykazali wzrost liczby i stopnia wyrafinowania ataków skierowanych przeciwko osobom prywatnym, przedsiębiorstwom oraz krytycznej infrastrukturze. Firmy poszukują rozwiązań chroniących przed tymi nieustannie rozwijanymi zagrożeniami, a model Zero Trust staje się dla nich najważniejszy z wielu powodów. Dodatkowo, masowe przechodzenie na pracę zdalną z dowolnego miejsca wymusiło konieczność położenia szczególnego nacisku na objęcie tym modelem także sieci (Zero Trust Network Access, ZTNA), ponieważ przedsiębiorstwa muszą chronić ważne zasoby przed pracownikami łączącymi się z firmową infrastrukturą za pośrednictwem słabo chronionych sieci domowych.

 

Niejasności wokół definicji strategii Zero-Trust

Wyniki badania wykazały często występujące nieporozumienia dotyczące zakresu strategii uwzględniającej model Zero Trust. Respondenci wskazali, że znają założenia modelu Zero Trust (77%) i ZTNA (75%), a ponad 80% stwierdziło, że ma już strategię uwzględniającą jeden lub oba te modele, albo jest w trakcie jej opracowywania. Jednak ponad 50% ankietowanych przyznało, że nie jest w stanie wdrożyć kluczowych funkcji składających się na model Zero Trust. Blisko 60% twierdzi, że nie ma możliwości ciągłego uwierzytelniania użytkowników i urządzeń, a 54% ma trudności z monitorowaniem działalności użytkowników po uwierzytelnieniu.

Obecność tak dużej luki jest niepokojąca, ponieważ wymienione przez ankietowanych funkcje, z których implementacją mają problemy, są kluczowymi w kontekście przyjęcia modelu Zero Trust i ich brak stawia pod znakiem zapytania rzeczywistą możliwość ich wdrożenia. Dodatkowym powodem zamieszania jest fakt używania zamiennie terminów „Zero Trust Access” i „Zero Trust Network Access”, których znaczenie jest zbliżone, ale różne.

Снимок экрана 2022 02 02 в 14.15.49

Priorytety dotyczące wdrażania modelu Zero Trust są zróżnicowane

Najważniejszym priorytetem podczas wdrażania modelu Zero Trust jest „zminimalizowanie skutków naruszenia systemu bezpieczeństwa”, a zaraz za nim „zabezpieczenie zdalnego dostępu” i „zapewnienie ciągłości działania”. „Poprawa komfortu pracy użytkowników” oraz „uzyskanie elastyczności umożliwiającej zapewnienie bezpieczeństwa w dowolnym miejscu” również znalazły się w czołówce 

Снимок экрана 2022 02 02 в 14.15.53

„Zabezpieczenie wszystkich potencjalnych celów ataku” było najważniejszą korzyścią wymienianą przez respondentów, kolejną zaś „większy komfort pracy użytkowników podczas pracy zdalnej (VPN)”.

Снимок экрана 2022 02 02 в 14.15.57

Zdecydowana większość respondentów uważa, że rozwiązania ochronne typu Zero Trust powinny być zintegrowane z istniejącą infrastrukturą, działać w środowiskach chmurowych i lokalnych oraz zabezpieczać warstwę aplikacyjną. Jednak ponad 80% ankietowanych stwierdziło, że wdrożenie strategii Zero Trust w całej rozległej sieci jest wyzwaniem. W przypadku firm, które nie mają zaimplementowanej lub wdrażanej strategii, przeszkodą jest brak wykwalifikowanych zasobów, zaś 35% przedsiębiorstw stosuje inne strategie IT w celu rozwiązania problemów związanych z uwierzytelnianiem.

 

Informacje o raporcie Zero Trust

Raport powstał na podstawie globalnego badania, przeprowadzonego wśród decydentów IT. Jego celem jest lepsze zrozumienie, na jakim etapie rozwoju jest implementacja modelu Zero Trust w firmach. Badanie miało na celu lepsze zrozumienie następujących kwestii:

  • Jak dobrze rozumiane są pojęcia Zero Trust i ZTNA
  • Dostrzegane korzyści i wyzwania związane z wdrażaniem strategii Zero Trust
  • Przyjmowanie strategii zerowego zaufania oraz elementy w niej zawarte

Badanie zostało przeprowadzone we wrześniu 2021 roku wśród 472 menedżerów odpowiedzialnych za IT i bezpieczeństwo z 24 różnych krajów, którzy reprezentowali niemal wszystkie branże, w tym sektor publiczny.

 

„Przejście od stosowania domniemanego zaufania do modelu Zero Trust jest dla przedsiębiorstw kwestią najwyższej wagi w kontekście nieustannie rosnącej liczby rodzajów zagrożeń, popularyzacji modelu pracy z dowolnego miejsca oraz potrzeby bezpiecznego zarządzania aplikacjami w chmurze. Nasze badanie pokazuje, że chociaż większość firm korzysta w jakimś stopniu z modelu Zero Trust, to brakuje im całościowej strategii i z trudem przychodzi im zaimplementowanie kilku podstawowych zasad bezpieczeństwa. Aby jej wdrożenie było skuteczne, konieczne jest zastosowanie siatkowej platformy cyberochronnej, która ułatwi wprowadzenie podstawowych zasad modelu Zero Trust w całej infrastrukturze, w tym na urządzeniach końcowych, w chmurze i w środowisku serwerowym w siedzibie firmy. Konsekwencją jej braku będzie przymus korzystania z fragmentarycznych, niezintegrowanych rozwiązań, które nie zapewniają szerokiej widzialności.” – John Maddison, EVP of Products and CMO, Fortinet