top of page

Zero Trust ir identiteto saugumas: kaip keičiasi požiūris į svetainių saugumą

  • Writer: Valdonė Butrimaitė
    Valdonė Butrimaitė
  • prieš 3 dienas
  • 2 min. skaitymo

Ilgą laiką kibernetinis saugumas buvo suprantamas gana paprastai:

apsaugok sistemas, pasirūpink serveriais ir technine infrastruktūra.


Tačiau realybė pasikeitė.


Šiandien dauguma saugumo incidentų įvyksta ne todėl, kad sistema buvo silpna, o todėl, kad buvo išnaudota žmogaus tapatybė – prisijungimai, paskyros, pasitikėjimas.

Todėl vis dažniau kalbama apie identiteto saugumą ir vadinamąjį Zero-Trust modelį.


Kas yra identiteto saugumas (paprastai)


Identiteto saugumas – tai ne apie dokumentus ar vardus. Tai apie tai, kas ir kaip prisijungia prie sistemų:

  • el. pašto

  • svetainės administravimo

  • banko

  • socialinių tinklų

  • verslo įrankių


Jei kažkas turi tavo prisijungimus, sistema dažnai „mano“, kad tai esi tu. Ir elgiasi atitinkamai.

Būtent todėl tapatybė tapo pagrindiniu atakų taikiniu.


Kodėl „tvirtos sistemos“ nebėra pakankamos


Šiuolaikinės platformos, bankai ir paslaugos dažniausiai yra techniškai saugios. Jos atnaujinamos, stebimos, testuojamos.


Problema atsiranda čia:

  • kai prisijungimai nuteka per el. paštą

  • kai paspaudžiama netikra nuoroda

  • kai tas pats slaptažodis naudojamas visur

  • kai sistema „patiki“, kad prisijungimas normalus


Tokiais atvejais nieko „nulaužti“ nereikia. Pakanka prisijungti.


Kas yra Zero-Trust modelis


Zero-Trust reiškia labai paprastą dalyką:


sistema nepasitiki niekuo automatiškai, net jei prisijungimas atrodo teisingas.

Tai priešingybė senam mąstymui „jei jau prisijungei – viskas gerai“.


Zero-Trust klausia:

  • ar tai tas pats įrenginys?

  • ar ta pati vieta?

  • ar tas pats elgesys?

  • ar tai normalus laikas?


Jei kažkas atrodo neįprasta – prieiga ribojama, prašoma papildomo patvirtinimo arba ji laikinai blokuojama.


Kodėl vis daugiau dėmesio skiriama MFA


MFA (multi-factor authentication) – tai papildomas patvirtinimo žingsnis:

  • programėlė

  • biometrika

  • fizinis raktas


Tai nėra tobulas sprendimas, bet:

  • jis ženkliai sumažina automatines atakas

  • apsaugo net tada, kai slaptažodis jau nutekėjęs


Svarbu suprasti: slaptažodis šiandien nebėra pakankamas saugumo elementas.


Ką reiškia adaptuota prieiga


Adaptuota prieiga reiškia, kad sistema stebi ne tik kas prisijungia, bet ir kaip.


Pavyzdžiui:

  • prisijungimas iš naujos šalies

  • prisijungimas naktį, kai paprastai to nebūna

  • neįprasti veiksmai po prisijungimo


Tokiais atvejais sistema:

  • prašo papildomo patvirtinimo

  • apriboja tam tikras funkcijas

  • laikinai sustabdo veiksmus


Tai ne nepatogumas. Tai signalas, kad kažkas gali būti ne taip.


Ką tai reiškia svetainių savininkams


Jei turi svetainę, ypač su:

  • administravimo prieiga

  • formomis

  • klientų duomenimis

  • integracijomis


svarbu suprasti, kad saugumas neprasideda ir nesibaigia „užraktu“.


Jis prasideda nuo:

  • el. pašto apsaugos

  • prisijungimų valdymo

  • prieigų peržiūros

  • aiškaus supratimo, kas turi teisę prie ko prieiti


Tvarkinga, graži svetainė dar nereiškia, kad ji saugi.


Skaitmeninis budrumas – nauja norma


Zero-Trust ir identiteto saugumas nereiškia baimės ar paranojos. Tai reiškia sąmoningą naudojimąsi technologijomis.


Technologijos keičiasi greičiau nei mūsų įpročiai. Todėl svarbu ne tik naudotis įrankiais, bet ir suprasti, kaip jie veikia.


Skaitmeninis budrumas šiandien tampa tokia pat higiena kaip ir atsargumas realiame gyvenime.

 
 
 

Komentarai

bottom of page