Những rào cản khiến doanh nghiệp chưa triển khai giải pháp bảo mật zero trust
An toàn thông tin - Ngày đăng : 05:18, 10/12/2021
Tình hình an ninh mạng ngày càng phức tạp, đặc biệt kể từ khi bùng nổ đại dịch, chính vì vậy, mô hình an ninh mạng “không tin cậy ai, không tin cậy thiết bị nào” (zero trust) đã ra đời. Zero Trust ngày càng được coi là một giải pháp có thể khắc phục nhiều vấn đề và điểm yếu bảo mật mà các tổ chức phải đối mặt. Nhưng việc triển khai mô hình zero trust “nói dễ hơn làm” vì nó đòi hỏi phải suy nghĩ lại về toàn bộ hệ thống và môi trường bảo mật của doanh nghiệp (DN). Một báo cáo được công bố ngày 7/12 vừa qua của công ty bảo mật danh tính One Identity đã xem xét những thách thức khi các tổ chức tìm cách áp dụng giải pháp bảo mật zero trust.
Để biên soạn báo cáo "Zero Trust and IT Security", One Identity đã ủy quyền cho Dimensional Research thực hiện một cuộc khảo sát với 1.009 chuyên gia bảo mật CNTT để lấy ý kiến của họ về việc áp dụng và trải nghiệm với zero trust. Các câu trả lời đến từ nhiều ngành, quốc gia và nhiều công ty ở mọi quy mô.
Doanh nghiệp đánh giá thế nào về giải pháp bảo mật zero trust?
Trong số những người được hỏi, 75% cho rằng giải pháp bảo mật zero trust “quan trọng hoặc rất quan trọng” đối với tình hình an ninh của tổ chức. Khoảng 24% cho rằng zero trust “có phần quan trọng”, trong khi chỉ 1% bác bỏ và cho rằng zero trust “không quan trọng”.
Đối với hầu hết các tổ chức được thăm dò ý kiến, giải pháp bảo mật zero trust vẫn là một giải pháp mà họ đang “suy nghĩ”. Chỉ có 14% đã áp dụng mô hình bảo mật này. Trong số những tổ chức còn lại, 39% nói rằng họ đã bắt đầu triển khai nhưng chưa hoàn thành, 22% có kế hoạch thiết lập mô hình “không tin cậy hoàn toàn” trong vòng 12 tháng tới và 14% nói rằng sẽ triển khai nhưng phải mất hơn 12 tháng. Chỉ 8% cho biết không có kế hoạch thiết lập giải pháp zero trust, trong khi 2% không biết zero trust nghĩa là gì.
Không có một cách tiếp cận chính xác nào để bắt đầu một sáng kiến "không tin tưởng”. Thay vào đó, những người được hỏi chỉ ra có nhiều phương pháp khác nhau. 49% đề xuất rằng các tổ chức bắt đầu bằng cách liên tục xác minh xem ai có quyền truy cập vào cái gì và khi nào. Khoảng 48% khuyên các tổ chức nên giám sát tốt hơn quyền truy cập và đặc quyền của người dùng, 41% khuyến nghị bắt đầu bằng cách thiết lập công nghệ quản lý truy cập mới và 35% đề xuất lập bản đồ lưu lượng dữ liệu nhạy cảm.
Các đề xuất khác nhằm bắt đầu một dự án zero trust là tận dụng nhận thức tình huống và giám sát hành vi, sửa đổi các đặc quyền kịp thời và kiến trúc lại mạng. Chỉ 1% nói rằng giải pháp zero trust thiếu sự rõ ràng, vì vậy rất khó để biết bắt đầu từ đâu.
Khi được hỏi về cách thức và địa điểm mà tổ chức có kế hoạch bắt đầu với sáng kiến zero trust, 61% cho biết họ sẽ định cấu hình lại các chính sách truy cập, 54% sẽ xác định cách dữ liệu nhạy cảm di chuyển trong toàn mạng, 51% sẽ bắt đầu bằng cách thiết lập công nghệ mới và 39% sẽ kiến trúc lại mạng.
Cho đến nay, những đề xuất và kế hoạch này đều có vẻ khả thi. Vậy, vấn đề là gì? Đầu tiên, những người được hỏi thể hiện sự thiếu tự tin hoàn toàn. Chỉ 21% cho biết họ rất tin tưởng vào sự hiểu biết của tổ chức về mô hình zero trust. Khoảng 69% cho biết họ hơi tự tin, 9% tự tin tối thiểu và 1% không tự tin.
Khi được hỏi về những rào cản mà họ gặp phải khi thiết lập mô hình “không tin cậy”, những người được khảo sát đã trích dẫn một loạt các rào cản.
Hai rào cản phổ biến nhất là sự thiếu rõ ràng về cách thực hiện giải pháp zero trust và yêu cầu của zero trust đối với việc quản lý danh tính và truy cập liên tục. Lý do thứ ba và thứ tư là thực tế là các mô hình bảo mật zero trust ảnh hưởng đến năng suất của nhân viên và nhân viên an ninh quá bận rộn và có các ưu tiên khác.
Ngoài ra, những trở ngại khác khiến các tổ chức chưa khởi động sáng kiến zero trust là thiếu nguồn lực hoặc ngân sách, những thách thức trong việc dự đoán lợi ích và xây dựng kế hoạch, chưa tiếp cận phương pháp không tin cậy và thiếu khả năng tiếp cận công nghệ zero trust. Chỉ 6% cho biết họ không gặp phải rào cản nào khi thực hiện giải pháp này.
Làm thế nào DN vượt qua trở ngại và triển khai thành công mô hình zero trust?
Larry Chinski, Phó chủ tịch chiến lược IAM toàn cầu tại One Identity cho biết: “Để vượt qua những rào cản chính, các tổ chức cần bắt đầu suy nghĩ tổng thể hơn về Zero Trust bằng cách thực hiện một cách tiếp cận thống nhất đối với bảo mật danh tính. Theo ông, quản lý bảo mật chặt chẽ sẽ hạn chế khả năng hiển thị và gây ra lỗ hổng, hạn chế sự không nhất quán và tất nhiên là có khả năng ngăn cản nhiều rủi ro. Nhưng điều quan trọng là DN phải thực hiện một chiến lược an ninh mạng linh hoạt và năng động, không bị bó buộc vào một bộ quy trình cụ thể hoặc bị hạn chế bởi cơ sở hạ tầng kết hợp.
Chinski gợi ý rằng các chuyên gia đang tìm cách thiết lập mô hình zero trust, bắt đầu bằng cách “gia tăng danh tính”. Nghĩa là, để loại bỏ sự tin tưởng và đặc quyền quá mức trong tổ chức, DN cần xem xét không chỉ “danh tính con người” mà cả “danh tính máy móc”.
“Nhìn chung, chìa khóa để thực hiện thành công và triển khai zero trust là tập trung vào khái niệm tổng thể về “không bao giờ tin tưởng” mà hãy luôn xác minh”, Chinski nói thêm. Hiện nay, các tổ chức như Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã phát triển các tiêu chuẩn để triển khai zero trust dựa trên khái niệm này, cho phép các tổ chức đưa mô hình zero trust vào chiến lược tổng thể của họ.