Analysts Will Explore an Effective Approach to Implement Zero Trust at the Gartner Security Summit & Risk Management Summits 2023, in Mumbai, India and Dubai, UAE
Dubai, United Arab Emirates., January 25, 2023 — Zero trust is top of mind for most organizations as a critical strategy to reduce risk, but few organizations have actually completed zero-trust implementations. Gartner, Inc. predicts that by 2026, 10% of large enterprises will have a mature and measurable zero-trust program in place, up from less than 1% today.
Gartner defines zero trust as a security paradigm that explicitly identifies users and devices and grants them just the right amount of access so the business can operate with minimal friction while risks are reduced.
“Many organizations established their infrastructure with implicit rather than explicit trust models to ease access and operations for workers and workloads. Attackers abuse this implicit trust in infrastructure to establish malware and then move laterally to achieve their objectives,” said John Watts, VP Analyst at Gartner. “Zero trust is a shift in thinking to address these threats by requiring continuously assessed, explicitly calculated and adaptive trust between users, devices, and resources.”
To help organizations complete the scope of their zero-trust implementations, it is critical that chief information security officers (CISOs) and risk management leaders start by developing an effective zero-trust strategy which balances the need for security with the need to run the business.
“It means starting with an organization’s strategy and defining a scope for zero-trust programs,” said Watts. “Once the strategy is defined, CISOs and risk management leaders must start with identity - it is foundational to zero trust. They also need to improve not only technology, but the people and processes to build and manage those identities.
“However, CISOs and risk management leaders should not assume that zero trust will eliminate cyberthreats. Rather, zero trust reduces risk and limits impacts of an attack.”
Gartner analysts predict that through 2026, more than half of cyberattacks will be aimed at areas that zero- trust controls don’t cover and cannot mitigate.
“The enterprise attack surface is expanding faster and attackers will quickly consider pivoting and targeting assets and vulnerabilities outside of the scope of zero-trust architectures (ZTAs),” said Jeremy D’Hoinne, VP Analyst at Gartner.” This can take the form of scanning and exploiting of public-facing APIs or targeting employees through social engineering, bullying or exploiting flaws due to employees creating their own “bypass” to avoid stringent zero-trust policies.”
Gartner recommends that organizations implement zero trust to improve risk mitigation for the most critical assets first, as this is where the greatest return on risk mitigation will occur. However, zero trust does not solve all security needs. CISOs and risk management leaders must also run a continuous threat exposure management (CTEM) program to better inventory and optimize their exposure to threats beyond the scope of ZTA.
Gartner clients can learn more in “Predicts 2023: Zero Trust Moves Past Marketing Hype Into Reality.”
Learn how to prepare for any cybersecurity attack in the complimentary Gartner ebook 3 Must-Haves in Your Cybersecurity Incident Response Plan.
جارتنر: 10% من الشركات الكبرى ستعتمد برامج لتوفير أمان الثقة الصفرية بحلول العام 2026
فريق المحللين يستعرض منهجية فعّالة لتطبيق مستويات أمان الثقة الصفرية خلال قمة "جارتنر" للحماية وإدارة المخاطر 2023 في دبي، بدولة الإمارات
دبي، الإمارات العربية المتحدة 25 يناير 2023 – تبدو استراتيجيات تطبيق أمان الثقة الصفرية على رأس أولويات معظم المؤسسات كاستراتيجية جوهرية للحدّ من المخاطر، غير أن القليل من المؤسسات أنهى بالفعل تطبيق حلول أمان الثقة الصفرية. وتتوقع شركة "جارتنر" أنه وبحلول العام 2026 فإن قرابة 10% من قطاع المؤسسات الكبرى سوف يمتلك برامج ناضجة وقابلة للقياس لأمان الثقة الصفرية، في حين أن النسبة لا تتجاوز اليوم 1%.
وتعرّف "جارتنر" أمان الثقة الصفرية بكونها نموذجا أمنيا يعمل صراحة على تحديد المستخدمين والأجهزة ليمنحها الصلاحيات الأمنية اللازمة فقط لتسيير الأعمال بأقل قدر ممكن من الاعتراض لسير الأعمال، مع الحرص المتواصل على الحدّ من المخاطر.
وقال جون واتس، نائب الرئيس للأبحاث لدى "جارتنر":" لقد عمد العديد من المؤسسات إلى إنشاء بنية تحتية تعتمد نماذج ثقة ضمنية لتسهيل الدخول وسير عمليات التشغيل للعاملين وأعباء العمل، بدلا من الاعتماد على نماذج صريحة لذلك. وهذا ما يدفع بالجهات التي تحاول الاختراق أمنيا إلى إساءة استغلال هذه الثقة الضمنية في البنية التحتية لإطلاق البرامج الخبيثة ومن ثمّ التنقّل أفقيا حتى يتمكنون من تحقيق أهدافهم. إن نموذج أمان الثقة الصفرية يمثّل تحوّلا في أسلوب التفكير لمعالجة هذه التهديدات من خلال اشتراط صلاحيات وثقة يتم تقييمها بصورة مستمرة، وإعادة حساباتها ضبط الثقة بصورة قابلة للتكيّف ما بين المستخدمين، والأجهزة، والموارد".
وبهدف مساعدة المؤسسات في إكمال نطاق عمليات تطبيق أمان الثقة الصفرية، فإنه من الضرورة بمكان للرؤساء التنفيذيين لأمن المعلومات CISOs وقادة إدارة المخاطر أن يبدأ العمل على وضع استراتيجية فعالة لأمان الثقة الصفرية والتي تضمن التوازن ما بين المتطلبات الأمنية للحماية واحتياجات سير الأعمال بسلاسة.
وأضاف واتس:" هذا يعني البدء باستراتيجية المؤسسة وتحديد نطاق برنامج أمان الثقة الصفرية. وبمجرد تحديد الاستراتيجية، يجب أن يبدأ الرؤساء التنفيذيين لأمن المعلومات وقادة أمن المخاطر بتعريف الهوية – فهي الجزء الأساسي في أمان الثقة الصفرية. كما لا يتوجب عليهم تطوير التقنية فحسب، بل كذلك الأشخاص والعمليات التي تعمل على إنشاء وإدارة هذه الهويات".
واختتم حديثه قائلا:" مع ذلك، لا يجدر بالرؤساء التنفيذيين لأمن المعلومات وقادة أمن المخاطر اعتبار أن أمان الثقة الصفرية سوف يضع حدّا نهائيا لهجمات التهديدات الإلكترونية. عوضا عن ذلك فإن أمان الثقة الصفرية يقلّل من المخاطر ويحدّ من آثار الهجوم".
ويتوقع فريق المحلّلين لدى "جارتنر" أنه وبحلول العام 2026 فإن أكثر من نصف الهجمات السيبرانية سوف تستهدف المناطق التي لا تغطيها ضوابط أمان الثقة الصفرية والتي لا يمكنها الحدّ من تأثيراتها.
وقال جيريمي ديهوين، نائب الرئيس للأبحاث لدى "جارتنر":" إن المساحات المعرّضة لاستقبال الهجمات في قطاع المؤسسات تواصل نموها بسرعة أكبر، كما أن الجهات التي تقف خلف هذه الهجمات سوف تعمل بسرعة على تعديل أساليب عملها لاستهداف الأصول والثغرات التي لا تقع ضمن نطاق منظومات أمان الثقة الصفرية ZTA. ويمكن يأخذ ذلك أشكال مثل إجراء مسح ومحاولة استغلال واجهات برمجة التطبيقات العامة أو استهداف الموظفين من خلال هجمات الهندسة الاجتماعية، والتسلّط على أو استغلال بعض الثغرات بسبب سعي بعض الموظفين لتفادي الضوابط الصارمة لسياسات أمان الثقة الصفرية".
