การกล่าวถึงความไม่ไว้วางใจเป็นศูนย์ครั้งแรกมาจากสถานที่ปกติ สภาคองเกรส Jason Chaffetz อดีตประธานคณะกรรมการกำกับดูแลและปฏิรูปสภานิติบัญญัติ (R-Utah) เขียนคอลัมน์ในปี 2559 เรียกร้องให้หน่วยงานต่าง ๆ นำแนวทางนี้ไปใช้หลังจากมีรายละเอียดเกิดขึ้นจากการละเมิดโดยสำนักงานบริหารงานบุคคลหลังจากคอลัมน์นั้น ใช้เวลาสองปีกว่าที่ชุมชนกลางจะเริ่มได้ยินเกี่ยวกับแนวคิดของการไม่ไว้วางใจเป็นศูนย์ และจากนั้นทุกอย่างก็ไร้ความน่าเชื่อถือภายในปี 2562 จนถึงปัจจุบัน
วันนี้ คำสั่งผู้บริหารของประธานาธิบดีโจ ไบเดน กำหนดให้หน่วยงานต่าง ๆ
บรรลุเป้าหมายของการไม่ไว้วางใจ OMB, NIST, CISA และ DoD ต่างมีส่วนร่วมในช่วงสองปีที่ผ่านมาด้วยคำแนะนำ มาตรฐาน นักบิน และกลยุทธ์ที่หลากหลายในช่วงสองปีที่ผ่านมา มีบางสิ่งที่ชัดเจนเกี่ยวกับความเชื่อใจเป็นศูนย์: มันไม่ใช่ผลิตภัณฑ์ มันไม่ใช่ความสามารถ เป็นวิธีคิดและการรักษาความปลอดภัยของข้อมูล ระบบ และผู้คนZero trust ก็เป็นการเดินทางเช่นกัน การเดินทางนั้นเริ่มต้นเมื่อหลายปีก่อนด้วยความสามารถต่างๆ เช่น โปรแกรมการวินิจฉัยและบรรเทาปัญหาอย่างต่อเนื่อง (CDM) สถาปัตยกรรมการเชื่อมต่ออินเทอร์เน็ตที่เชื่อถือได้ และเครื่องมือการจัดการตัวตนและการเข้าถึง
และเช่นเดียวกับความพยายามทางไซเบอร์อื่นๆ การเดินทางนั้นยาวนาน ยาก มีค่าใช้จ่าย และที่สำคัญที่สุดคือ หน่วยงานต้องมีความยืดหยุ่นเมื่อภัยคุกคามเปลี่ยนแปลงและเทคโนโลยีใหม่ๆ เกิดขึ้น
Gerald Caron หัวหน้าเจ้าหน้าที่สารสนเทศในสำนักงาน
ผู้ตรวจราชการกรมอนามัยและบริการมนุษย์กล่าวว่ายังมีการศึกษาอีกมากเกี่ยวกับความเชื่อถือศูนย์คืออะไรและเหตุใดจึงสำคัญ”
แต่ไม่ต้องสงสัยเลยว่าหน่วยงานต่าง ๆ กำลังเคลื่อนไปในทิศทางนั้นเนื่องจากภัยคุกคามทางไซเบอร์ยังคงเพิ่มขึ้นและพัฒนาอย่างต่อเนื่อง
“ผมคิดว่าส่วนที่ยากและเป็นสิ่งที่ผู้คนต้องเข้าใจคือ คุณต้องใช้ความพยายามมากพอๆ กับนโยบาย บุคลากร ขั้นตอน และความเข้าใจของคุณว่าอะไรคือการยอมรับความเสี่ยงของคุณ เพื่อที่ว่าเมื่อคุณลงทะเบียนปัจจัยเหล่านี้ทั้งหมด ที่กำลังเข้ามา หากคุณดูสิ่งพิมพ์พิเศษของ NIST 800-207 แนวคิดของเครื่องมือนโยบายเข้ามาที่ใด เมื่อคุณนำการวัดและส่งข้อมูลทางไกลทั้งหมดนี้และปัจจัยทั้งหมดเหล่านี้และความเข้าใจ ความเสี่ยงของแต่ละรายการจะรวมกันเป็นสิ่งที่ฉันเรียกว่า คะแนนความเสี่ยงแบบไดนามิก” Caron กล่าวระหว่างการอภิปรายCyber Leaders Focus on Zero Trustสนับสนุนโดย Carahsoft “แล้วถ้าคุณถึงเกณฑ์ ฉันจะดำเนินการอย่างไรเนื่องจากปัจจัยเหล่านั้นรวมกันแล้วเกินเกณฑ์ความเสี่ยงนั้น ทันใดนั้น ความเสี่ยงก็เปลี่ยนไปเล็กน้อย ฉันให้คุณเข้าไปก่อนเพื่อเข้าถึงสิ่งที่คุณต้องการ ฉันอาจให้คุณดาวน์โหลดเพื่ออ่านอย่างเดียว ดังนั้นคุณจึงไม่สามารถดาวน์โหลดหรือพิมพ์ได้ในขณะนี้จนกว่าฉันจะเข้าใจ หรือระดับความเสี่ยงมีการเปลี่ยนแปลงต่ำกว่าเกณฑ์นั้น และฉันจะเตะคุณออกจากเครือข่ายเพียงเพราะคุณเรียกใช้นโยบายการเข้าถึงแบบมีเงื่อนไขซึ่งฉันทนไม่ได้”
เพื่อไปยังจุดที่ Caron อธิบายหมายถึงการรวมโฮสต์ของความสามารถทางไซเบอร์ที่มีอยู่และใหม่
สิ่งเหล่านี้รวมถึงความคิดริเริ่มที่มีมาอย่างยาวนาน เช่น CDM และ TIC จาก Cybersecurity and Infrastructure Agency (CISA) ตลอดจนความสามารถใหม่ที่เกิดขึ้นจากอุตสาหกรรม
Sean Connelly ผู้จัดการโปรแกรม Trusted Internet Connections (TIC) ของ CISA กล่าวว่าหน่วยงานสนับสนุนการย้ายหน่วยงานไปสู่ความเชื่อถือเป็นศูนย์ผ่านการพัฒนาแบบจำลองที่มีวุฒิภาวะ
“เรากำลังทำงานเพื่อรวมโมเดลวุฒิภาวะเพื่อทำความเข้าใจว่าหน่วยงานใดต้องการความช่วยเหลือโดยรวม ไม่ใช่ในแง่ของกลยุทธ์และโมเดลวุฒิภาวะ แต่ในแง่ของการบรรเทาทุกข์ในด้านอื่นๆ ด้านเทคนิค กระบวนการ ผู้คน และความคิดที่ว่า จำเป็นต้องมีความไว้วางใจเป็นศูนย์ในการก้าวไปข้างหน้า” คอนเนลลีกล่าว “มันไม่เกี่ยวกับการสร้างกำแพงที่สูงขึ้น ไม่เกี่ยวกับการสร้างกำแพงเพิ่ม การป้องกันเชิงลึกที่มากขึ้น แต่มันเกี่ยวกับการสร้างประตูที่ฉลาดขึ้น หรือการรวมระบบต่างๆ เข้าด้วยกัน”
วัตถุประสงค์การเรียนรู้:
การเดินทางที่ไม่ไว้วางใจ
การตัดสินใจที่ขับเคลื่อนด้วยข้อมูลและความไว้วางใจเป็นศูนย์
การตรวจสอบความปลอดภัยทางไซเบอร์และความไว้วางใจเป็นศูนย์
