Zero Trust, noua paradigmă în securitatea cibernetică: ce înseamnă și de ce este esențială
Conceptul de „Zero Trust” (Încredere Zero) nu mai este considerat un simplu concept teoretic sau un element de marketing. În prezent, acesta s-a transformat într-un cadru de referință crucial pentru modernizarea securității în numeroase sectoare. Definit inițial de Institutul Național de Standarde și Tehnologie (NIST) prin documentul SP 800-207, modelul a fost dezvoltat de Agenția pentru Securitate Cibernetică și Infrastructură (CISA) sub forma unui model de maturitate. În plus, Agenția Națională de Securitate (NSA) a extins în 2024 și 2026 liniile directoare de implementare, structurându-le pe piloni și faze concrete. Astfel, „Zero Trust” nu mai reprezintă doar o idee abstractă, ci un model operațional cu un impact vizibil asupra modului în care organizațiile gestionează accesul, identitatea, segmentarea și răspunsul la incidente.
Principii de bază ale modelului Zero Trust
Conform principiului de bază al modelului, nu se acordă niciun grad de încredere implicită. Nici utilizatorii, nici dispozitivele, nici aplicațiile, nici serverele și nici chiar conexiunile provenite din zone considerate anterior „sigure” nu sunt exceptate de la această regulă. Fiecare solicitare de acces este evaluată în funcție de o serie de factori de context: identitatea solicitantului, tipul dispozitivului utilizat, locația, resursa vizată, nivelul de risc asociat, tipul de autentificare și durata accesului. NIST subliniază că, într-o arhitectură „Zero Trust”, principiile acesteia sunt aplicate pentru a construi infrastructura și fluxurile de lucru, accesul fiind acordat dinamic, granular și bazat pe politici specifice.
Implementarea „Zero Trust” implică mai mult decât achiziționarea și instalarea unui produs software. Aceasta reprezintă o filozofie tehnică și operațională care include mecanisme precum autentificarea puternică, verificarea continuă a identității, evaluarea stării dispozitivului, aplicarea politicilor de acces cu privilegii minime, microsegmentarea, monitorizarea permanentă și automatizarea răspunsului. Organizațiile nu ar trebui să considere activarea autentificării multifactoriale (MFA) și utilizarea unui VPN ca fiind o abordare completă a modelului „Zero Trust”. Acestea sunt doar elemente dintr-un sistem mai amplu.
De ce modelele tradiționale nu mai sunt suficiente
În trecut, companiile se bazau pe o abordare simplă: acces mai larg în interiorul rețelei și controale mai stricte în afara acesteia. Însă, odată cu evoluția tehnologică, această împărțire s-a dovedit depășită. Resursele critice nu se mai limitează la centrele de date locale, iar angajații pot lucra de oriunde. Atacatorii cibernetici exploatează cu ușurință această flexibilitate, infiltrându-se prin conturi compromise, puncte finale vulnerabile sau servicii slab segmentate.
Modelul „Zero Trust” abordează această problemă, limitând drastic acțiunile posibile după o compromitere inițială. Organizațiile trebuie să opereze cu ideea că amenințările pot exista deja în mediul lor. De aceea, NSA a insistat ca structura să reducă oportunitățile de exploatare a lacunelor. Din ce în ce mai frecvent, atacurile cibernetice nu încep cu spargerea unui firewall, ci cu furtul de acreditări, o sesiune compromisă sau o aplicație configurată necorespunzător.
În practică, „Zero Trust” se traduce în decizii tehnice concrete. Primul pilon este identitatea, implicând autentificarea multifactorială, managementul identității, controlul privilegiilor și revizuirea permanentă a drepturilor de acces. Al doilea pilon este reprezentat de dispozitiv, iar accesul este condiționat de „starea de sănătate” a terminalului. Urmează rețeaua și segmentarea, cu microsegmentarea ca element central, care limitează mișcarea laterală a atacatorilor. Aplicațiile și workload-urile reprezintă un alt pilon, cu NIST extinzând cadrul inițial pentru a oferi control al accesului în mediile cloud-native și multi-locație. Ultimul pilon major vizează protecția datelor și observabilitatea. Zero Trust necesită monitorizare continuă, analiză comportamentală și politici care urmăresc utilizarea datelor.
Pentru companii, modelul reduce riscurile, concentrându-se mai degrabă pe limitarea impactului unui eventual compromis decât pe prevenirea totală. Pentru instituțiile publice și operatorii de infrastructură critică, importanța este și mai mare, iar agenții precum CISA și NSA au investit resurse considerabile pentru a transforma „Zero Trust” în modele și faze de implementare.
În 2026, NSA a lansat un nou set de linii directoare de implementare pe faze, ceea ce demonstrează că subiectul este tratat drept o prioritate operațională actuală.
Sursa: Playtech.ro
