Вам знакомо это чувство, когда вы видите кого-то совершенно потрясающего в другом конце комнаты и думаете: "Я бы ни за что не смог быть с таким человеком"? Именно так большинство ИТ-отделов относятся к безопасности с нулевым уровнем доверия. Она - супермодель систем кибербезопасности - утонченная, элегантная и, казалось бы, недостижимая.
Любовь с первого взгляда (но пугает цена)
Когда вы впервые узнали о нулевом доверии, это, вероятно, была любовь с первого слайда PowerPoint. Вот этот революционный подход, который обещал решить все ваши проблемы с безопасностью благодаря ее философии "никогда не доверяй, всегда проверяй". Ей все равно, работаете ли вы в сети много лет или работаете за ноутбуком у генерального директора – ко всем относятся одинаково скептически. Это все равно что встречаться с кем-то, кто проверяет ваши истории даже после того, как вы прожили вместе несколько месяцев.
Проблема в том, что отсутствие доверия связано с требованиями уровня супермодели. Она хочет постоянного мониторинга, микросегментации, многофакторной аутентификации и подтверждения личности буквально для всего. Ваша текущая инфраструктура взглянула на ее список пожеланий и, извинившись, тихо удалилась поплакать в серверную.
Фактор устрашения
Нулевое доверие - это тот человек, который мимоходом упоминает, что говорит на пяти языках, имеет степень доктора компьютерных наук и каким-то образом все еще находит время для участия в марафонах. А вы тем временем гордитесь тем, что ваш принтер наконец-то подключился к беспроводной сети. Она рассказывает о таких понятиях, как "программно-определяемые периметры" и "контекстно-зависимые средства контроля доступа", в то время как вы все еще пытаетесь вспомнить, обновляли ли вы Adobe в этом месяце.
При нынешней системе охраны периметра вы чувствуете себя так, словно пришли на торжественное мероприятие в шортах-карго. Конечно, это сослужило вам хорошую службу на корпоративном барбекю, но теперь вы сидите напротив человека, который делает корпоративную охрану легкой и элегантной.
Синдром "Она мне не по зубам"
Хуже всего, когда тебя пугает отсутствие доверия, это то, что ты начинаешь искать оправдания, почему ты не готов к встрече с ней. "Моя сеть слишком сложная", - говоришь ты себе. "Сначала мне нужно избавиться от 50 устаревших систем". "Может быть, когда я проведу аудит соответствия требованиям". Звучит знакомо? Это эквивалент фразы "Я приглашу ее на свидание, когда, наконец, пойду в этот спортзал".
Вы убеждаете себя, что нулевое доверие работает только для компаний, входящих в список Fortune 500, с неограниченными бюджетами и командами инженеров по безопасности. Она для крутых ребят с их облачными архитектурами и конвейерами DevSecOps, а не для вашей скромной организации, в которой все еще работает одно критически важное приложение 2003 года, которое никто не знает, как заменить.
А вот и сюжетный поворот: Она более доступна, чем Вы думаете
Вот что может вас удивить в Zero Trust – на самом деле она не так требовательна к обслуживанию, как кажется. Да, у нее есть стандарты, но она также удивительно практична. Вам не нужно полностью перестраивать всю инфраструктуру в первый же день. Zero Trust вполне устраивает постепенный подход, начинающийся с ваших самых важных активов и расширяющийся с этого момента.
Она не просит вас выбрасывать все, что вы создали. Вместо этого она хочет работать с тем, что у вас есть, и сделать это лучше. Какой VPN вы используете? Она может с этим работать. Те брандмауэры, на которые вы потратили целое состояние? Они все еще могут быть частью общей картины. Нулевое доверие - это скорее основа, которая усиливает то, что у вас уже есть, а не требует, чтобы вы начинали с нуля.
Сделайте уже наконец-то первый шаг
Секрет достижения нулевого уровня доверия заключается в осознании того, что она не стремится к совершенству, а стремится к совершенствованию. Начните с малого: внедрите многофакторную аутентификацию, начните сегментировать свою сеть, начните отслеживать поведение пользователей. Это не масштабные инфраструктурные проекты; это практические первые шаги, которые показывают, что вы серьезно относитесь к отношениям.
Zero Trust ценит аутентичность, а не показуху. Она предпочла бы видеть, как вы последовательно применяете принципы безопасности в своей среде, а не тратите свой бюджет на одну впечатляющую, но изолированную реализацию, которую вы не можете поддерживать.
Долгосрочные отношения
Как только вы преодолеете первоначальный страх и начнете работать с нулевым доверием, вы обнаружите, что на самом деле она самый надежный партнер, который когда-либо был у вашей службы безопасности. Она не играет в игры и не заставляет вас гадать об угрозах. Когда происходит что-то подозрительное, она немедленно сообщает вам. Она открыто говорит о том, что ей от вас нужно, и четко представляет, что она может предоставить взамен.
Конечно, отношения требуют постоянных усилий. Нулевое доверие - это не тот тип людей, которые пускают все на самотек или считают, что "все и так хорошо". Но взамен она предлагает то, чего не может дать большинство систем безопасности: подлинное душевное спокойствие. При нулевом доверии вы будете спокойнее спать, зная, что даже если кто-то проникнет за ваш периметр, он не получит права свободно разгуливать по вашей сети, как будто это его собственность.
Проверка на практике
Может показаться, что отсутствие доверия - это не для вас, но, вероятно, она ждала, когда вы сделаете первый шаг, дольше, чем вы думаете. Пока вы восхищались ею издалека, она наблюдала за тем, как организации, подобные вашей, успешно внедряют ее принципы каждый день. Вопрос не в том, достаточно ли вы хороши для нулевого доверия, а в том, готовы ли вы перестать искать оправдания и начать строить что–то лучшее вместе.
Так что дерзайте, делайте первый шаг. Начните с одного небольшого принципа нулевого доверия и посмотрите, к чему это приведет. Возможно, вы просто обнаружите, что супермодель систем кибербезопасности всегда была доступна – вам просто нужна была уверенность, чтобы представиться.
