Firmy wciąż mają problemy z zapewnieniem konsekwentnego podejścia podczas uwierzytelniania użytkowników i urządzeń. Fortinet, światowy lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, zaprezentował dokument Global State of Zero Trust Report zawierający wyniki badania dotyczącego aktualnego stanu wdrażania modelu Zero Trust w przedsiębiorstwach. Ujawniają one, że chociaż większość firm ma wizję dotyczącą zastosowania tego podejścia we własnej infrastrukturze lub wręcz jest w trakcie jego wdrażania, ponad połowa nie jest w stanie przekuć tej wizji na proces implementacji, ponieważ brakuje im podstawowej wiedzy dotyczącej tego zagadnienia. Poniżej znajduje się podsumowanie najważniejszych punktów raportu, a jego pełne opracowanie można przeczytać na blogu.
W raporcie dotyczącym krajobrazu cyberzagrożeń jego autorzy – eksperci z FortiGuard Labs – wykazali wzrost liczby i stopnia wyrafinowania ataków skierowanych przeciwko osobom prywatnym, przedsiębiorstwom oraz krytycznej infrastrukturze. Firmy poszukują rozwiązań chroniących przed tymi nieustannie rozwijanymi zagrożeniami, a model Zero Trust staje się dla nich najważniejszy z wielu powodów. Dodatkowo, masowe przechodzenie na pracę zdalną z dowolnego miejsca wymusiło konieczność położenia szczególnego nacisku na objęcie tym modelem także sieci (Zero Trust Network Access, ZTNA), ponieważ przedsiębiorstwa muszą chronić ważne zasoby przed pracownikami łączącymi się z firmową infrastrukturą za pośrednictwem słabo chronionych sieci domowych.
Niejasności wokół definicji strategii Zero-Trust
Wyniki badania wykazały często występujące nieporozumienia dotyczące zakresu strategii uwzględniającej model Zero Trust. Respondenci wskazali, że znają założenia modelu Zero Trust (77%) i ZTNA (75%), a ponad 80% stwierdziło, że ma już strategię uwzględniającą jeden lub oba te modele, albo jest w trakcie jej opracowywania. Jednak ponad 50% ankietowanych przyznało, że nie jest w stanie wdrożyć kluczowych funkcji składających się na model Zero Trust. Blisko 60% twierdzi, że nie ma możliwości ciągłego uwierzytelniania użytkowników i urządzeń, a 54% ma trudności z monitorowaniem działalności użytkowników po uwierzytelnieniu.
Obecność tak dużej luki jest niepokojąca, ponieważ wymienione przez ankietowanych funkcje, z których implementacją mają problemy, są kluczowymi w kontekście przyjęcia modelu Zero Trust i ich brak stawia pod znakiem zapytania rzeczywistą możliwość ich wdrożenia. Dodatkowym powodem zamieszania jest fakt używania zamiennie terminów „Zero Trust Access” i „Zero Trust Network Access”, których znaczenie jest zbliżone, ale różne.
Priorytety dotyczące wdrażania modelu Zero Trust są zróżnicowane
Najważniejszym priorytetem podczas wdrażania modelu Zero Trust jest „zminimalizowanie skutków naruszenia systemu bezpieczeństwa”, a zaraz za nim „zabezpieczenie zdalnego dostępu” i „zapewnienie ciągłości działania”. „Poprawa komfortu pracy użytkowników” oraz „uzyskanie elastyczności umożliwiającej zapewnienie bezpieczeństwa w dowolnym miejscu” również znalazły się w czołówce
„Zabezpieczenie wszystkich potencjalnych celów ataku” było najważniejszą korzyścią wymienianą przez respondentów, kolejną zaś „większy komfort pracy użytkowników podczas pracy zdalnej (VPN)”.
Zdecydowana większość respondentów uważa, że rozwiązania ochronne typu Zero Trust powinny być zintegrowane z istniejącą infrastrukturą, działać w środowiskach chmurowych i lokalnych oraz zabezpieczać warstwę aplikacyjną. Jednak ponad 80% ankietowanych stwierdziło, że wdrożenie strategii Zero Trust w całej rozległej sieci jest wyzwaniem. W przypadku firm, które nie mają zaimplementowanej lub wdrażanej strategii, przeszkodą jest brak wykwalifikowanych zasobów, zaś 35% przedsiębiorstw stosuje inne strategie IT w celu rozwiązania problemów związanych z uwierzytelnianiem.
Informacje o raporcie Zero Trust
Raport powstał na podstawie globalnego badania, przeprowadzonego wśród decydentów IT. Jego celem jest lepsze zrozumienie, na jakim etapie rozwoju jest implementacja modelu Zero Trust w firmach. Badanie miało na celu lepsze zrozumienie następujących kwestii:
- Jak dobrze rozumiane są pojęcia Zero Trust i ZTNA
- Dostrzegane korzyści i wyzwania związane z wdrażaniem strategii Zero Trust
- Przyjmowanie strategii zerowego zaufania oraz elementy w niej zawarte
Badanie zostało przeprowadzone we wrześniu 2021 roku wśród 472 menedżerów odpowiedzialnych za IT i bezpieczeństwo z 24 różnych krajów, którzy reprezentowali niemal wszystkie branże, w tym sektor publiczny.
John Maddison, EVP of Products and CMO, Fortinet
„Przejście od stosowania domniemanego zaufania do modelu Zero Trust jest dla przedsiębiorstw kwestią najwyższej wagi w kontekście nieustannie rosnącej liczby rodzajów zagrożeń, popularyzacji modelu pracy z dowolnego miejsca oraz potrzeby bezpiecznego zarządzania aplikacjami w chmurze. Nasze badanie pokazuje, że chociaż większość firm korzysta w jakimś stopniu z modelu Zero Trust, to brakuje im całościowej strategii i z trudem przychodzi im zaimplementowanie kilku podstawowych zasad bezpieczeństwa. Aby jej wdrożenie było skuteczne, konieczne jest zastosowanie siatkowej platformy cyberochronnej, która ułatwi wprowadzenie podstawowych zasad modelu Zero Trust w całej infrastrukturze, w tym na urządzeniach końcowych, w chmurze i w środowisku serwerowym w siedzibie firmy. Konsekwencją jej braku będzie przymus korzystania z fragmentarycznych, niezintegrowanych rozwiązań, które nie zapewniają szerokiej widzialności.”
Dodatkowe zasoby
- Na blogu dostępne są dodatkowe wnioski płynące z badania, jak też pełna wersja raportu.
- Więcej informacji o tym jak zabezpieczyć dostęp użytkowników zdalnych do aplikacji w dowolnym miejscu dzięki rozwiązaniu Fortinet Zero Trust Network Access.
- Więcej informacji o tym jak szkolenia Zero Trust Education Pathway, w tym certyfikaty wystawiane przez Fortinet NSE Institute mogą pomóc w zdobyciu wiedzy oraz umiejętności praktycznych, ułatwiających rozwój kariery w obszarze Zero Trust Access.
- Więcej informacji o tym jak platforma Fortinet Security Fabric zapewnia szeroką, zintegrowaną i zautomatyzowaną ochronę w cyfrowej infrastrukturze przedsiębiorstwa.
- Więcej informacji o tym jak klienci zabezpieczają swoje przedsiębiorstwa z wykorzystaniem rozwiązań firmy Fortinet.
- Uzyskanie dodatkowych informacji o produktach i technologiach oraz udział w dyskusjach z ekspertami z branży możliwe są na forum użytkowników rozwiązań Fortinet (Fuse).
- Profile firmy Fortinet w mediach społecznościowych: Twitter, LinkedIn, Facebook, YouTube oraz Instagram.
Informacja o firmie Fortinet
Firma Fortinet (NASDAQ: FTNT), dzięki swojej misji zabezpieczania ludzi, urządzeń i danych, gdziekolwiek się znajdują, umożliwia stworzenie cyfrowego świata, któremu zawsze można ufać. Dlatego największe światowe przedsiębiorstwa, dostawcy usług i organizacje rządowe wybierają Fortinet, aby bezpiecznie przyspieszyć swoją cyfrową transformację. Platforma Fortinet Security Fabric zapewnia szeroką, zintegrowaną i zautomatyzowaną ochronę przed różnego rodzajami ataków. Zabezpiecza urządzenia, dane i aplikacje o znaczeniu krytycznym oraz połączenia od centrum danych, przez chmurę, po biuro domowe. Ponad 550 tys. klientów zaufało Fortinetowi w zakresie ochrony swoich firm, co sprawia, że firma zajmuje pierwsze miejsce na świecie pod względem liczby dostarczonych urządzeń zabezpieczających. Instytut szkoleniowy Fortinet NSE, działający w ramach programu firmy Training Advancement Agenda (TAA), zapewnia jeden z najobszerniejszych programów edukacyjnych w branży, dzięki czemu szkolenia z zakresu cyberbezpieczeństwa i nowe możliwości zawodowe są dostępne dla wszystkich zainteresowanych. Więcej informacji można znaleźć pod adresem https://www.fortinet.com, na blogu Fortinet lub w FortiGuard Labs
