Chanzo: www.hackerone.com – Mwandishi: Ilona Cohen. Sababu moja kuu ya maendeleo ni agizo kuu la Mei 2021 ambalo linasukuma mashirika ya shirikisho kukumbatia haraka “kamwe usiamini; Thibitisha kila wakati ”paradigm ya cybersecurity ya uaminifu wa sifuri. Kama takwimu ya 72% inavyoonyesha, serikali ya shirikisho imefanya maendeleo makubwa kufikia lengo la agizo hilo la mtendaji. Mkakati wa mwisho, wa kina zaidi wa Zero Trust, iliyotolewa na Ofisi ya Usimamizi na Bajeti ya White House (OMB) mnamo Januari 2022, inabaini malengo matano ya msingi ya cyber ili kupatikana ifikapo Oktoba 2024 na inasaidia mashirika kupuuza msimamo wa kawaida wa uvivu wa serikali. Katika hatua hii, serikali ya shirikisho haijaamuru uaminifu wa Zero kwa wakandarasi wa serikali. Bado mabadiliko haya muhimu ya njia ya serikali ya shirikisho kwa usalama wa cybersecurity hakika yataathiri maelfu ya kampuni zinazoshikilia mikataba ya serikali. Mashirika yanahitaji kulinganisha haraka iwezekanavyo na mkakati wa Shirikisho la Zero Trust katika shughuli zao wenyewe na matoleo yao ya serikali; Inawezekana kwamba wale ambao ni wa haraka kufanya hivyo wataona fursa mpya za biashara wakati mashirika ya shirikisho yanaboresha bidhaa na huduma zao za teknolojia ili kuwezesha mbinu mpya. Kama mashirika yanabadilika kwa usanifu wa uaminifu wa Zero, lazima watambue programu yoyote na programu zao zote zinaweza kupatikana kutoka nje ya shirika lao. Hii inafanya kuwa muhimu zaidi kuliko hapo awali kwa upimaji wa usalama wa nje kutambua udhaifu wowote na uhakikishe kuwa kupelekwa kwao kwa uaminifu ni mzuri. Je! Uaminifu wa Zero ni nini? Mfano wa hapo awali wa cybersecurity ni msingi wa mzunguko, ambayo milango ya moto na VPNs huunda kizuizi kuzunguka mazingira ya shirika la IT. Ndani ya eneo salama, watumiaji na vifaa kwa ujumla vinaaminika na huru kupata programu nyingi za ndani na mifumo bila ukaguzi mkubwa wa ziada. Njia za msingi wa VPN mara nyingi huwa na ukaguzi mdogo wa usalama wa mfumo na hazijafungwa sana kwa mtumiaji kama tunavyotarajia. Kwa sababu uaminifu umepewa kwa upana, vijiti vya uvunjaji ni vya juu sana, na washambuliaji wote wa nje na wa ndani wabaya wanaweza kutumia uaminifu wa njia hiyo kwa njia ya baadaye ndani ya mtandao kusababisha madhara zaidi. Mzunguko unaweza kuwa mkubwa sana wa rasilimali kutunza na kufuatilia, haswa na kuongezeka kwa vifaa vilivyounganishwa na ufikiaji wa mbali. Katika mfano wa uaminifu wa Zero, hakuna mtumiaji au kifaa kinachoaminika kabisa, na uvunjaji unadhaniwa wakati wowote. Watumiaji wanakataliwa upatikanaji wa kila kitu lakini kiwango cha chini cha lazima kufanya kazi yao, ambayo inahakikisha usalama wa hali ya juu na ina uharibifu. Zero Trust inakusudia kudhibitisha kikamilifu, kuidhinisha, na kushinikiza kila ombi kana kwamba linatokana na mtandao wazi. Kitambulisho cha mikono badala ya mzunguko kuwa zana ya usalama wa msingi. Utekelezaji wa OMB wa Zero Trust unaelezea malengo matano (yaliyoambatana na nguzo tano za mfano wa usalama wa shirika la usalama na miundombinu ya Zero Trust) ili kupatikana ifikapo Oktoba 2024. Malengo ya nguzo ya kitambulisho ni pamoja na kutumia saini moja (SSO) na multifactor Uthibitishaji (MFA) kwa wafanyikazi wa wakala. Chini ya nguzo ya vifaa, serikali ya shirikisho itagundua vifaa vyao vinavyomilikiwa na kuendeshwa na kuweza kugundua na kujibu matukio kwenye vifaa hivyo. Kazi za wakala chini ya nguzo ya mitandao ni pamoja na usimbuaji wa DNS na trafiki ya HTTP na kugawanya viwanja vya mtandao karibu na matumizi. Maombi na mzigo wa kazi unajumuisha kutibu programu zote kama zilizounganishwa na mtandao wazi, mara kwa mara maombi ya wakala wa upimaji wa nguvu, na kukaribisha ripoti za hatari za nje. Nguzo ya data inahitaji mashirika ya kutekeleza ulinzi kulingana na “Uainishaji wa Takwimu kamili,” ukataji wa ukataji wa biashara na kugawana habari, na huduma za usalama wa wingu ili kufuatilia ufikiaji wa data zao nyeti. Mfano wa Zero Trust una nguvu nyingi ukilinganisha na mbinu ya msingi ya msingi wa mzunguko. Kupitishwa kwake hatimaye kutaleta usalama kuongezeka na uwezekano wa kupunguza mzigo wa matengenezo ya IT kwa mashirika. Walakini, Zero Trust inaleta hatari mpya kwa kufichua matumizi na mifumo kwenye mtandao wazi ambao haujawahi kuwa nje ya faraja ya mzunguko salama. Wakati wa mabadiliko haya, ni muhimu sana kuangalia na kuthibitisha usanidi wako mpya, uthibitishaji, zana, na utegemezi. Je! Mipango ya Programu ya Ufichuaji wa Vinjari inafaaje? Msingi wa suluhisho la uaminifu la sifuri ni kitambulisho chenye nguvu na udhibiti wa ufikiaji. Zaidi ya hayo, mashirika, ikiwa ni mashirika ya serikali au wakandarasi wanaoshirikiana nao, lazima waelewe udhaifu wa mitandao yao kutekeleza mbinu hii mpya ya usalama wa cybersecurity. Mwongozo wa OMB unaonyesha kwamba “mashirika yanapaswa kuchunguza matumizi yao kama wapinzani wa taifa letu hufanya,” ambayo inamaanisha kuwaalika “washirika wa nje na mitazamo huru ya kutathmini usalama wa ulimwengu wa kweli wa maombi ya wakala.” Kusisitiza zaidi hii, mwongozo huo unahitaji wazi kwa mashirika kutekeleza uaminifu wa Zero ili “kudumisha mpango mzuri na wa kukaribisha udhaifu wa umma kwa mifumo yao inayopatikana mtandao.” Jinsi Hackerone inavyopatana na agizo la uaminifu la Zero huko Hackerone, tunawezesha ulimwengu kufanya mtandao kuwa salama kwa kufunga pengo kati ya mashirika gani na nini wanaweza kulinda. Kwa kuchanganya utaalam wa usalama wa watapeli wa maadili na ugunduzi wa mali, tathmini inayoendelea, na uboreshaji wa mchakato kupata na kufunga mapungufu katika eneo la shambulio la dijiti linaloendelea, tunasaidia wateja wetu kuweka mifumo yao salama. Mfano wetu umeunganishwa sana na njia ya uaminifu ya sifuri, inategemea jamii kubwa zaidi ya wahusika wa maadili wa ulimwengu ili kuangalia kuendelea, kuthibitisha, na kuchunguza uso wa shambulio la shirika kuelewa ni wapi udhaifu unaweza uongo. Chini ya dhana ya zamani ya usalama wa mzunguko, ambayo kila kitu kilidhaniwa kuwa salama, shirika halikuhitaji kujaribu usalama programu yote kwa sababu ilitakiwa kulindwa na firewall au eneo lingine. Lakini katika ulimwengu wa uaminifu wa Zero, mashirika lazima yafikirie kuwa programu yoyote na yote inapatikana kutoka nje, na upimaji wa usalama lazima uwe unaojumuisha yote. Hii ni muhimu sana wakati wa mpito kwa uaminifu wa sifuri. Mashirika mengi hufanya utoaji wa Awamu ya Zero Trust, kutekeleza zana zao mpya za uaminifu wa Zero kwa uthibitisho wa kitambulisho na usalama wa mfumo na kisha kusonga programu kwa wakati nje ya eneo. Bidhaa na jukwaa letu huruhusu mashirika kugeukia jamii ya maadili ya utapeli kama washirika ili kuthibitisha njia yao ya uaminifu kama inavyopelekwa, kubaini upotovu, vitongoji vilivyo wazi, na utegemezi uliovunjika. Mashirika yanaweza kusasisha wigo wa upimaji wao wanapoenda, na kukaribisha mwonekano mpya katika programu mpya za hivi karibuni kutoa chini ya mbinu ya Zero Trust. Kwa njia hii, Hackerone husaidia kuhakikisha kuwa utekelezaji wa uaminifu wa sifuri unafanikiwa kwa kutambua na kushughulikia udhaifu katika eneo lote la kushambulia, kutoa mashirika kujiamini kabisa mifumo yao iko salama. Mara tu mabadiliko ya usanifu wa uaminifu wa sifuri yamekamilika kwa kiasi kikubwa, bado ni muhimu kupokea na kujibu ripoti za hatari. Hackerone ndiye kiongozi wa tasnia katika kuwezesha mashirika kuendesha mipango ya mafanikio ya kufichua hatari ya nje, ambayo ni muhimu kwa mashirika ya kisasa kujaribu mifumo yao, kuelewa ni wapi udhaifu wao uko, na unakaa mbele ya vitisho. Utambuzi wa OMB wa umuhimu wa mipango ya kufichua hatari katika mkakati wa uaminifu wa Zero ni hatua muhimu mbele katika kusaidia mashirika kuelewa vyema mazingira yao ya kushambulia na kulinda mali zao. Hackerone iko tayari kuwa sehemu muhimu ya suluhisho lako la uaminifu la sifuri. URL ya chapisho la asili: https://www.hackerone.com/blog/how-human-security-testing-helps-us-governments-zero-trust-mandate