Αρχιτεκτονική μηδενικής εμπιστοσύνης 2026: τεκμήρια έτοιμα για έλεγχο

Ο απρογραμμάτιστος έλεγχος μηδενικής εμπιστοσύνης της Δευτέρας το πρωί
Στις 08:12 ένα πρωί Δευτέρας, ο CISO μιας ευρωπαϊκής SaaS fintech λαμβάνει τρία μηνύματα μέσα σε πέντε λεπτά.
Το πρώτο είναι από τραπεζικό πελάτη: «Παρακαλούμε να μας παράσχετε τον φάκελο τεκμηρίων της αρχιτεκτονικής μηδενικής εμπιστοσύνης για την ετήσια ανασκόπηση τρίτων μερών ΤΠΕ.»
Το δεύτερο είναι από το νομικό τμήμα: «Ενδέχεται να ταξινομηθούμε ως σημαντική οντότητα βάσει NIS2 σε ένα κράτος μέλος, και ορισμένοι πελάτες ρωτούν αν οι απαιτήσεις DORA μετακυλίονται σε εμάς ως πάροχο υπηρεσιών ΤΠΕ.»
Το τρίτο είναι από τον επικεφαλής μηχανικής: «Έχουμε MFA, SSO, EDR, πολιτικές δικτύου Kubernetes και ειδοποιήσεις SIEM. Αυτό είναι μηδενική εμπιστοσύνη;»
Σε αυτό το σημείο κολλούν πολλοί οργανισμοί. Διαθέτουν εργαλεία ασφάλειας, αλλά όχι λειτουργικό μοντέλο συμμόρφωσης μηδενικής εμπιστοσύνης. Μπορούν να δείξουν στιγμιότυπα οθόνης MFA, αλλά δεν μπορούν να εξηγήσουν πώς συνδέονται η ταυτότητα, η κατάσταση ασφάλειας συσκευής, το ελάχιστο προνόμιο, η τμηματοποίηση, η παρακολούθηση, η αναφορά περιστατικών, οι δικλίδες προστασίας της ιδιωτικότητας και οι εξαρτήσεις από προμηθευτές. Μπορούν να δείξουν ελέγχους, αλλά όχι ιχνηλασιμότητα.
Το 2026, η αρχιτεκτονική μηδενικής εμπιστοσύνης βάσει του NIST SP 800-207 πρέπει να είναι κάτι περισσότερο από το «ποτέ μην εμπιστεύεσαι, πάντα να επαληθεύεις». Για CISOs, υπευθύνους συμμόρφωσης, ελεγκτές και επιχειρησιακούς ιδιοκτήτες, το πρακτικό ερώτημα είναι πιο συγκεκριμένο:
Πώς μετατρέπουμε τη μηδενική εμπιστοσύνη σε τεκμήρια που ικανοποιούν το ISO/IEC 27001:2022, τις προσδοκίες κυβερνοϋγιεινής του NIS2, τη διαχείριση κινδύνων ΤΠΕ του DORA, την ασφάλεια της επεξεργασίας του GDPR Article 32, τη δέουσα επιμέλεια πελατών και την εποπτεία του Διοικητικού Συμβουλίου;
Η απάντηση δεν είναι ακόμη ένα εργαλείο. Είναι ένα μοντέλο τεκμηρίων βάσει κινδύνου που συνδέει πολιτική, ελέγχους, τεχνική υλοποίηση, παρακολούθηση και λογοδοσία της διοίκησης.
Η μηδενική εμπιστοσύνη το 2026: από στρατηγική ασφάλειας σε τεκμήρια συμμόρφωσης
Το NIST SP 800-207 ορίζει τη μηδενική εμπιστοσύνη ως σύνολο αρχών για τον σχεδιασμό και τη λειτουργία ασφαλών συστημάτων όπου η εμπιστοσύνη δεν θεωρείται ποτέ δεδομένη. Η πρόσβαση χορηγείται βάσει ταυτότητας, πλαισίου, πολιτικής, κατάστασης περιουσιακού στοιχείου και συνεχούς αξιολόγησης.
Οι επτά αρχές μηδενικής εμπιστοσύνης του NIST είναι ιδιαίτερα χρήσιμες, επειδή μετατρέπουν ένα ασαφές σύνθημα ασφάλειας σε κάτι που μπορεί να χαρτογραφηθεί, να δοκιμαστεί και να ελεγχθεί:
- Όλες οι πηγές δεδομένων και οι υπολογιστικές υπηρεσίες θεωρούνται πόροι.
- Όλη η επικοινωνία προστατεύεται ανεξάρτητα από τη θέση στο δίκτυο.
- Η πρόσβαση σε μεμονωμένους εταιρικούς πόρους χορηγείται ανά συνεδρία.
- Η πρόσβαση σε πόρους καθορίζεται από δυναμική πολιτική, συμπεριλαμβανομένων χαρακτηριστικών ταυτότητας, συσκευής, εφαρμογής και συμπεριφοράς.
- Η επιχείρηση παρακολουθεί και μετρά την ακεραιότητα και την κατάσταση ασφάλειας όλων των ιδιόκτητων και συνδεδεμένων περιουσιακών στοιχείων.
- Η αυθεντικοποίηση και η εξουσιοδότηση όλων των πόρων είναι δυναμικές και επιβάλλονται αυστηρά πριν επιτραπεί η πρόσβαση.
- Η επιχείρηση συλλέγει πληροφορίες για περιουσιακά στοιχεία, υποδομή και επικοινωνίες και τις χρησιμοποιεί για τη βελτίωση της κατάστασης ασφάλειας.
Για έναν σύγχρονο πάροχο SaaS, μια ψηφιακή τράπεζα, έναν πάροχο διαχειριζόμενων υπηρεσιών ή μια πλατφόρμα cloud-native, οι αρχές αυτές μεταφράζονται σε πρακτικούς τομείς ελέγχου:
- Η ταυτότητα επαληθεύεται και υπόκειται σε διακυβέρνηση.
- Οι συσκευές αξιολογούνται πριν χορηγηθεί πρόσβαση.
- Η προνομιούχα πρόσβαση ελαχιστοποιείται και ανασκοπείται.
- Οι διαδρομές δικτύου τμηματοποιούνται και ελέγχονται.
- Οι εφαρμογές, τα API και τα αποθετήρια δεδομένων επιβάλλουν εξουσιοδότηση.
- Τα αρχεία καταγραφής και η τηλεμετρία υποστηρίζουν συνεχή παρακολούθηση.
- Τα περιστατικά ενεργοποιούν περιορισμό, αναφορά και ανάκαμψη.
- Τα τεκμήρια αποδεικνύουν ότι οι έλεγχοι λειτουργούν και δεν είναι απλώς σχεδιασμένοι.
Σε αυτό το τελευταίο σημείο εισέρχεται η συμμόρφωση.
Το ISO/IEC 27001:2022 απαιτεί από τους οργανισμούς να ορίζουν το πλαίσιο, τα ενδιαφερόμενα μέρη, τις εφαρμοστέες νομικές και συμβατικές απαιτήσεις, το πεδίο εφαρμογής, τις διεπαφές και τις εξαρτήσεις. Απαιτεί επίσης αξιολόγηση κινδύνου, αντιμετώπιση κινδύνου, Δήλωση Εφαρμοσιμότητας, λογοδοσία της ηγεσίας, εσωτερικό έλεγχο, Ανασκόπηση της Διοίκησης και συνεχή βελτίωση.
Η μηδενική εμπιστοσύνη εντάσσεται φυσικά σε αυτή τη δομή όταν αντιμετωπίζεται ως σύστημα ελέγχων. Δεν πρέπει να βρίσκεται εκτός του ISMS ως πρωτοβουλία μηχανικής. Πρέπει να αποτελεί μέρος της αξιολόγησης κινδύνου, της επιλογής ελέγχων, της διακυβέρνησης πολιτικών, της διαχείρισης προμηθευτών, της προστασίας ιδιωτικότητας, της απόκρισης σε περιστατικά και της αναφοράς προς το Διοικητικό Συμβούλιο.
Η κανονιστική πίεση πίσω από τα τεκμήρια μηδενικής εμπιστοσύνης
Η πίεση για τεκμήρια μηδενικής εμπιστοσύνης συνήθως προέρχεται από αλληλεπικαλυπτόμενες υποχρεώσεις και όχι από ένα μόνο πρότυπο.
Το NIS2 μπορεί να εφαρμόζεται σε δημόσιες ή ιδιωτικές οντότητες σε τομείς του Annex I ή του Annex II που πληρούν όρια μεγέθους και δραστηριότητας, και μπορεί επίσης να εφαρμόζεται σε ορισμένες μικρότερες αλλά κρίσιμες οντότητες. Το Annex I περιλαμβάνει παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους κέντρων δεδομένων, παρόχους δικτύων παράδοσης περιεχομένου, παρόχους υπηρεσιών εμπιστοσύνης, παρόχους διαχειριζόμενων υπηρεσιών, παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας, τραπεζικές οντότητες και οντότητες υποδομών χρηματοπιστωτικών αγορών. Το Annex II περιλαμβάνει ψηφιακούς παρόχους, όπως επιγραμμικές αγορές, μηχανές αναζήτησης και πλατφόρμες κοινωνικής δικτύωσης.
Το NIS2 Article 20 καθιστά την κυβερνοασφάλεια ευθύνη του διοικητικού οργάνου. Το Διοικητικό Συμβούλιο πρέπει να εγκρίνει μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύει την υλοποίησή τους και να λαμβάνει εκπαίδευση κυβερνοασφάλειας. Το Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα που καλύπτουν ανάλυση κινδύνου, χειρισμό περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια εφοδιαστικής αλυσίδας, ασφαλή ανάπτυξη, διαχείριση ευπαθειών, αξιολόγηση αποτελεσματικότητας, κυβερνοϋγιεινή, εκπαίδευση, κρυπτογραφία, ασφάλεια ανθρώπινου δυναμικού, έλεγχο πρόσβασης, διαχείριση περιουσιακών στοιχείων και, όπου ενδείκνυται, MFA ή συνεχή αυθεντικοποίηση. Το Article 23 εισάγει κλιμακωτή αναφορά σημαντικών περιστατικών, συμπεριλαμβανομένης προειδοποίησης εντός 24 ωρών, ειδοποίησης εντός 72 ωρών και τελικής αναφοράς.
Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 και θεσπίζει ενιαίο καθεστώς ψηφιακής επιχειρησιακής ανθεκτικότητας για χρηματοπιστωτικές οντότητες. Καλύπτει τη διαχείριση κινδύνων ΤΠΕ, την αναφορά μειζόνων περιστατικών που σχετίζονται με ΤΠΕ, τις δοκιμές επιχειρησιακής ανθεκτικότητας, την ανταλλαγή πληροφοριών απειλών και τον κίνδυνο τρίτων μερών ΤΠΕ. Τα DORA Articles 5 και 6 απαιτούν διακυβέρνηση και τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ. Το Article 9 αφορά την προστασία και την πρόληψη, συμπεριλαμβανομένων πολιτικών, διαδικασιών, πρωτοκόλλων και εργαλείων για την προστασία συστημάτων ΤΠΕ. Το Article 17 απαιτεί διαδικασία διαχείρισης περιστατικών που σχετίζονται με ΤΠΕ.
Το GDPR εφαρμόζεται στην επεξεργασία στο πλαίσιο εγκατάστασης στην ΕΕ, καθώς και σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες σε άτομα στην ΕΕ ή παρακολουθούν τη συμπεριφορά τους. Το GDPR Article 5 απαιτεί λογοδοσία. Το Article 32 απαιτεί κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση επιπέδου ασφάλειας ανάλογου προς τον κίνδυνο. Το Article 33 απαιτεί κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, εντός 72 ωρών από τη στιγμή που έγινε γνωστή η παραβίαση.
Ένα μοντέλο τεκμηρίων μηδενικής εμπιστοσύνης βοηθά επειδή ο ίδιος έλεγχος μπορεί να υποστηρίζει πολλαπλά πλαίσια. Το MFA μπορεί να υποστηρίζει τον έλεγχο πρόσβασης του ISO/IEC 27001:2022, τα μέτρα αυθεντικοποίησης του NIS2, τις απαιτήσεις προστασίας του DORA και την ασφάλεια της επεξεργασίας του GDPR. Μόνο όμως εφόσον ο οργανισμός μπορεί να αποδείξει πεδίο εφαρμογής, ιδιοκτησία, υλοποίηση, παρακολούθηση και ανασκόπηση.
Χαρτογράφηση των αρχών μηδενικής εμπιστοσύνης του NIST σε ελέγχους ISO/IEC 27001:2022
Οι έλεγχοι του Annex A του ISO/IEC 27001:2022, με την υποστήριξη της καθοδήγησης υλοποίησης του ISO/IEC 27002:2022, παρέχουν τη γλώσσα ελέγχων που χρειάζονται οι περισσότεροι οργανισμοί. Ο παρακάτω πίνακας μεταφράζει τις αρχές μηδενικής εμπιστοσύνης του NIST σε περιοχές ελέγχου ISO που αναγνωρίζουν οι ελεγκτές.
| Αρχή μηδενικής εμπιστοσύνης NIST SP 800-207 | Βασική αρχή μηδενικής εμπιστοσύνης | Σχετικοί έλεγχοι Annex A ISO/IEC 27001:2022 |
|---|---|---|
| Όλες οι πηγές δεδομένων και οι υπολογιστικές υπηρεσίες είναι πόροι | Αναγνώριση περιουσιακών στοιχείων και δεδομένων | A.5.9 Αποθετήριο πληροφοριών και άλλων συνδεδεμένων περιουσιακών στοιχείων, A.5.10 Αποδεκτή χρήση πληροφοριών και άλλων συνδεδεμένων περιουσιακών στοιχείων, A.5.12 Ταξινόμηση πληροφοριών |
| Όλη η επικοινωνία προστατεύεται ανεξάρτητα από τη θέση στο δίκτυο | Ασφαλείς επικοινωνίες και κρυπτογραφημένα κανάλια | A.8.20 Ασφάλεια δικτύου, A.8.22 Διαχωρισμός δικτύων, A.8.24 Χρήση κρυπτογραφίας |
| Η πρόσβαση χορηγείται ανά συνεδρία | Αυθεντικοποίηση και εξουσιοδότηση βάσει συνεδρίας | A.5.17 Πληροφορίες αυθεντικοποίησης, A.8.5 Ασφαλής αυθεντικοποίηση |
| Η πρόσβαση καθορίζεται από δυναμική πολιτική | Πρόσβαση με επίγνωση πλαισίου και βάσει ελάχιστου προνομίου | A.5.15 Έλεγχος πρόσβασης, A.5.18 Δικαιώματα πρόσβασης, A.8.3 Περιορισμός πρόσβασης σε πληροφορίες |
| Η ακεραιότητα και η κατάσταση ασφάλειας των περιουσιακών στοιχείων παρακολουθούνται | Επαλήθευση κατάστασης ασφάλειας τερματικών σημείων και φόρτων εργασίας | A.8.1 Συσκευές τερματικών σημείων χρηστών, A.8.8 Διαχείριση τεχνικών ευπαθειών |
| Η αυθεντικοποίηση και η εξουσιοδότηση είναι δυναμικές και εφαρμόζονται αυστηρά | Κύκλος ζωής ταυτότητας και διαχείριση προνομιούχας πρόσβασης | A.5.16 Διαχείριση ταυτοτήτων, A.8.2 Δικαιώματα προνομιούχας πρόσβασης, A.8.5 Ασφαλής αυθεντικοποίηση |
| Συλλέγονται πληροφορίες για τη βελτίωση της κατάστασης ασφάλειας | Συνεχής παρακολούθηση, καταγραφή και βελτίωση | A.8.15 Καταγραφή, A.8.16 Δραστηριότητες παρακολούθησης, A.8.23 Φιλτράρισμα ιστού |
Αυτή η χαρτογράφηση δεν είναι απλώς άσκηση τεχνικού σχεδιασμού. Γίνεται η δομή για το Μητρώο Κινδύνων, τη Δήλωση Εφαρμοσιμότητας, τον φάκελο τεκμηρίων και την ατζέντα της Ανασκόπησης της Διοίκησης.
Για παράδειγμα, ένα σενάριο κινδύνου όπως «συμβιβασμένος λογαριασμός προγραμματιστή τροποποιεί κώδικα παραγωγής και αποκτά πρόσβαση σε δεδομένα πελατών» πρέπει να χαρτογραφείται σε διαχείριση ταυτοτήτων, MFA, προνομιούχα πρόσβαση, διαχωρισμό δικτύων, καταγραφή, παρακολούθηση, ασφαλή ανάπτυξη, διαχείριση αλλαγών και απόκριση σε περιστατικά. Αυτό το ένα σενάριο μπορεί να υποστηρίζει ISO/IEC 27001:2022, NIS2 Article 21, διαχείριση κινδύνων ΤΠΕ του DORA και GDPR Article 32.
Η στοίβα ελέγχων μηδενικής εμπιστοσύνης της Clarysec
Η Clarysec δομεί τη μηδενική εμπιστοσύνη γύρω από πέντε τομείς τεκμηρίων: ταυτότητα, συσκευή, δίκτυο, εφαρμογή και δεδομένα, με παρακολούθηση και διακυβέρνηση σε όλους τους τομείς.
Η βάση είναι ο έλεγχος πρόσβασης και η διαχείριση ταυτοτήτων. Στο Zenith Controls: The Cross-Compliance Guide, ο έλεγχος 5.15 του ISO/IEC 27002:2022, Έλεγχος πρόσβασης, ταξινομείται ως προληπτικός έλεγχος που υποστηρίζει την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα, ευθυγραμμισμένος με την έννοια Protect της κυβερνοασφάλειας και την ικανότητα Identity and Access Management. Ο έλεγχος 5.16, Διαχείριση ταυτοτήτων, είναι επίσης προληπτικός και συνδέεται με τις ίδιες ιδιότητες CIA και την ικανότητα IAM. Ο έλεγχος 8.16, Δραστηριότητες παρακολούθησης, ταξινομείται ως ανιχνευτικός και διορθωτικός, υποστηρίζοντας τις λειτουργίες Detect και Respond μέσω διαχείρισης συμβάντων ασφάλειας πληροφοριών.
Αυτός ο συνδυασμός έχει σημασία. Η μηδενική εμπιστοσύνη δεν είναι μόνο έλεγχος πρόσβασης. Είναι έλεγχος πρόσβασης συν κύκλος ζωής ταυτότητας συν κατάσταση ασφάλειας συσκευής συν διαχωρισμός δικτύων συν παρακολούθηση συν απόκριση.
Οι ρήτρες πολιτικών της Clarysec μετατρέπουν αυτό το μοντέλο σε εφαρμόσιμη διακυβέρνηση.
Από την Enterprise Access Control Policy, ενότητα Στόχοι, ρήτρα 3.4:
Να υποστηρίζει τις αρχές μηδενικής εμπιστοσύνης, αρνούμενη την πρόσβαση εξ ορισμού εκτός εάν έχει εγκριθεί και αιτιολογηθεί ρητά.
Από την Enterprise User Account and Privilege Management Policy, ενότητα Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.2.1:
Σε όλους τους χρήστες πρέπει να αποδίδεται το ελάχιστο επίπεδο πρόσβασης που απαιτείται για την εκτέλεση των εργασιακών τους καθηκόντων.
Από την Enterprise Network Security Policy, ενότητα Απαιτήσεις διακυβέρνησης, ρήτρα 5.2:
Όλη η κίνηση μεταξύ ζωνών πρέπει να ελέγχεται από τείχη προστασίας ή λύσεις περιμέτρου οριζόμενης από λογισμικό, με ρητές διαμορφώσεις άρνησης εξ ορισμού.
Από την Enterprise Logging and Monitoring Policy, ενότητα Στόχοι, ρήτρα 3.4:
Να θεσπίζονται κεντρικοποιημένη καταγραφή και συστήματα ειδοποίησης (π.χ. SIEM) για τη συγκέντρωση, συσχέτιση και κλιμάκωση ύποπτης δραστηριότητας σχεδόν σε πραγματικό χρόνο.
Από την Enterprise Information Security Policy, ενότητα Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.6.1:
Όλοι οι υλοποιημένοι έλεγχοι πρέπει να είναι ελέγξιμοι, να υποστηρίζονται από τεκμηριωμένες διαδικασίες και από διατηρούμενα τεκμήρια λειτουργίας.
Για τις ΜΜΕ, η ίδια πρόθεση διακυβέρνησης μπορεί να υλοποιηθεί με ελαφρύτερη τεκμηρίωση πολιτικών. Η User Account and Privilege Management Policy - SME, ενότητα Στόχοι, ρήτρα 3.2 αναφέρει:
Να επιβάλλεται η αρχή των ελάχιστων προνομίων, διασφαλίζοντας ότι στους χρήστες χορηγείται μόνο το ελάχιστο επίπεδο πρόσβασης που απαιτείται για την εκτέλεση των καθηκόντων τους.
Η Access Control Policy - SME, ενότητα Απαιτήσεις διακυβέρνησης, ρήτρα 5.4.3 προσθέτει:
Οι προνομιούχοι λογαριασμοί πρέπει να χρησιμοποιούν πολυπαραγοντική αυθεντικοποίηση (MFA) όπου υποστηρίζεται.
Η Network Security Policy - SME, ενότητα Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.2.3 αναφέρει:
Η κίνηση μεταξύ τμημάτων πρέπει να φιλτράρεται και η διατμηματική πρόσβαση πρέπει να ακολουθεί την αρχή των ελάχιστων προνομίων.
Η Logging and Monitoring Policy - SME, ενότητα Σκοπός, ρήτρα 1.3 εξηγεί:
Η καταγραφή και η παρακολούθηση υποστηρίζουν την ανίχνευση απειλών, την κανονιστική συμμόρφωση, την αναφορά και διαχείριση περιστατικών, καθώς και την ψηφιακή διερεύνηση.
Για μηδενική εμπιστοσύνη με γνώμονα την ιδιωτικότητα, η Data Protection and Privacy Policy - SME, ενότητα Απαιτήσεις διακυβέρνησης, ρήτρα 5.3.2 αναφέρει:
Η πρόσβαση χρηστών σε δεδομένα προσωπικού χαρακτήρα πρέπει να περιορίζεται σε ρόλους με τεκμηριωμένη επιχειρησιακή ανάγκη.
Αυτές οι ρήτρες δημιουργούν σημεία αναφοράς για τον έλεγχο. Ένας ελεγκτής μπορεί να εξετάσει αν η πρόσβαση αρνείται εξ ορισμού, αν τα προνόμια ελαχιστοποιούνται, αν η κίνηση μεταξύ ζωνών ελέγχεται, αν τα αρχεία καταγραφής είναι κεντρικοποιημένα και αν τα τεκμήρια διατηρούνται.
Χάρτης τεκμηρίων μηδενικής εμπιστοσύνης μεταξύ πλαισίων
Ένα ισχυρό μοντέλο τεκμηρίων μηδενικής εμπιστοσύνης πρέπει να αποφεύγει τα αποσπασματικά στιγμιότυπα οθόνης. Τα τεκμήρια πρέπει να αποτυπώνουν διακυβέρνηση, σχεδιασμό, υλοποίηση, παρακολούθηση και ανασκόπηση.
| Ικανότητα μηδενικής εμπιστοσύνης | Τεκμήρια ISO/IEC 27001:2022 και ISO/IEC 27002:2022 | Τεκμήρια NIS2 | Τεκμήρια DORA | Τεκμήρια GDPR |
|---|---|---|---|---|
| Επαλήθευση ταυτότητας και κύκλος ζωής | Πεδίο εφαρμογής του ISMS, Μητρώο Κινδύνων, εγγραφές SoA για A.5.15 και A.5.16, αρχεία εισερχόμενων, μετακινούμενων και αποχωρούντων χρηστών | Μέτρα Article 21 για ασφάλεια ανθρώπινου δυναμικού, έλεγχο πρόσβασης και διαχείριση περιουσιακών στοιχείων | Διακυβέρνηση περιουσιακών στοιχείων ΤΠΕ και πρόσβασης χρηστών εντός του πλαισίου κινδύνων ΤΠΕ | Πρόσβαση περιορισμένη σε εξουσιοδοτημένους ρόλους, αρχεία λογοδοσίας υπευθύνου επεξεργασίας |
| MFA και συνεχής αυθεντικοποίηση | Πολιτική Ελέγχου Πρόσβασης, διαδικασία προνομιούχας πρόσβασης, αναφορές εφαρμογής MFA | Μέτρα Article 21 για MFA ή συνεχή αυθεντικοποίηση, όπου ενδείκνυται | Έλεγχοι που υποστηρίζουν ασφαλή πρόσβαση σε συστήματα ΤΠΕ και κρίσιμες λειτουργίες | Τεκμήρια ασφάλειας της επεξεργασίας κατά Article 32 για πρόσβαση σε δεδομένα προσωπικού χαρακτήρα |
| Κατάσταση ασφάλειας συσκευής και εμπιστοσύνη τερματικών σημείων | Αποθετήριο Περιουσιακών Στοιχείων, βασική γραμμή ρυθμίσεων τερματικών σημείων, κάλυψη EDR, εγκρίσεις εξαιρέσεων | Κυβερνοϋγιεινή, διαχείριση ευπαθειών και πολιτικές ασφαλών συστημάτων | Αποθετήριο περιουσιακών στοιχείων ΤΠΕ, δοκιμές ανθεκτικότητας, παρακολούθηση συστημάτων ΤΠΕ | Προστασία έναντι μη εξουσιοδοτημένης ή παράνομης επεξεργασίας από συμβιβασμένα τερματικά σημεία |
| Τμηματοποίηση δικτύου και μικροτμηματοποίηση | Διαγράμματα δικτύου, κανόνες τείχους προστασίας, αποτελέσματα δοκιμών τμηματοποίησης, αρχεία αλλαγών | Μέτρα για την πρόληψη ή ελαχιστοποίηση αντικτύπου περιστατικών και την υποστήριξη επιχειρησιακής συνέχειας | Αρχιτεκτονική αναφοράς, ανοχή αντικτύπου, δοκιμές κρίσιμων συστημάτων | Απομόνωση δεδομένων, ελαχιστοποίηση έκτασης παραβίασης |
| Ελάχιστο προνόμιο εφαρμογών και API | Μήτρες RBAC ή ABAC, πολιτικές cloud IAM, πεδία εφαρμογής διακριτικών, ανασκοπήσεις πρόσβασης API | Ασφαλής απόκτηση, ανάπτυξη και συντήρηση, διαχείριση ευπαθειών | Χαρτογράφηση λειτουργιών που υποστηρίζονται από ΤΠΕ και τεκμηρίωση εξαρτήσεων | Περιορισμός σκοπού, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα βάσει επιχειρησιακής ανάγκης |
| Συνεχής παρακολούθηση και ανίχνευση | Περιπτώσεις χρήσης SIEM, διαλογή ειδοποιήσεων, διαδικασία παρακολούθησης, αρχεία περιστατικών | Ετοιμότητα για χειρισμό περιστατικών και αναφορά σημαντικών περιστατικών | Ταξινόμηση περιστατικών, κλιμάκωση προς τη διοίκηση και κύκλος ζωής αναφοράς | Ανίχνευση παραβίασης δεδομένων προσωπικού χαρακτήρα και τεκμήρια λογοδοσίας |
| Εμπιστοσύνη προμηθευτών και νέφους | Συμφωνίες προμηθευτών, σχέδιο εξόδου από υπηρεσίες νέφους, παρακολούθηση προμηθευτών, χαρτογράφηση κοινής ευθύνης | Ασφάλεια εφοδιαστικής αλυσίδας για άμεσους προμηθευτές και παρόχους υπηρεσιών | Στρατηγική κινδύνου τρίτων μερών ΤΠΕ, μητρώο συμβάσεων ΤΠΕ, δικαιώματα ελέγχου και σχέδια εξόδου | Δέουσα επιμέλεια εκτελούντος την επεξεργασία, συμβατικές δικλίδες και έλεγχοι ασφάλειας |
Αυτός ο πίνακας αποτελεί τον πυρήνα ενός προγράμματος μηδενικής εμπιστοσύνης κατάλληλου για το Διοικητικό Συμβούλιο. Δείχνει πώς ένα περιβάλλον ελέγχων μπορεί να υποστηρίζει πολλαπλές απαιτήσεις διασφάλισης χωρίς να δημιουργούνται ξεχωριστοί φάκελοι τεκμηρίων για κάθε πλαίσιο.
Χρήση του Zenith Blueprint για τη δημιουργία ιχνηλασιμότητας
Το Zenith Blueprint: An Auditor’s 30-Step Roadmap της Clarysec έχει σχεδιαστεί ώστε να αποτρέπει τη μετατροπή της μηδενικής εμπιστοσύνης σε μη τεκμηριωμένη φιλοσοφία μηχανικής. Στη φάση Διαχείρισης κινδύνων, Βήμα 13, Σχεδιασμός αντιμετώπισης κινδύνων και Δήλωση Εφαρμοσιμότητας, εξηγεί:
Η SoA είναι ουσιαστικά ένα έγγραφο γέφυρα: συνδέει την αξιολόγηση/αντιμετώπιση κινδύνου σας με τους
πραγματικούς ελέγχους που διαθέτετε. Με την ολοκλήρωσή της, ελέγχετε επίσης αν παραλείψατε ελέγχους.
Το ίδιο βήμα συνιστά τη χαρτογράφηση ελέγχων σε κινδύνους, την προσθήκη αναφορών ελέγχων Annex A στις εγγραφές αντιμετώπισης κινδύνων και τη διασταύρωση κανονισμών όπως GDPR, NIS2 ή DORA όπου οι έλεγχοι υλοποιούνται για την ικανοποίηση αυτών των υποχρεώσεων.
Για τη μηδενική εμπιστοσύνη, αυτή είναι η γέφυρα που λείπει. Αν ένας ελεγκτής ρωτήσει γιατί υλοποιήσατε υπό όρους πρόσβαση, η απάντηση δεν πρέπει να είναι «επειδή το λέει η μηδενική εμπιστοσύνη». Καλύτερη απάντηση είναι:
- Το σενάριο κινδύνου είναι μη εξουσιοδοτημένη πρόσβαση σε δεδομένα πελατών μέσω συμβιβασμένων διαπιστευτηρίων.
- Ο ιδιοκτήτης κινδύνου είναι ο CTO ή ο Επικεφαλής Μηχανικής.
- Η αντιμετώπιση περιλαμβάνει SSO, MFA, υπό όρους πρόσβαση, επικύρωση κατάστασης ασφάλειας τερματικών σημείων, ελάχιστο προνόμιο, τμηματοποίηση και παρακολούθηση.
- Η SoA χαρτογραφεί την αντιμετώπιση σε έλεγχο πρόσβασης, διαχείριση ταυτοτήτων, καταγραφή, παρακολούθηση, κρυπτογραφία, διαχείριση ευπαθειών και διαχείριση υπηρεσιών νέφους.
- Η ίδια αντιμετώπιση υποστηρίζει NIS2 Article 21, διαχείριση κινδύνων ΤΠΕ του DORA και GDPR Article 32.
- Τα τεκμήρια περιλαμβάνουν ρήτρες πολιτικών, ανασκοπήσεις δικαιωμάτων πρόσβασης, ειδοποιήσεις SIEM, αναφορές κατάστασης ασφάλειας EDR, κανόνες τείχους προστασίας, εξαγωγές IAM, ασκήσεις περιστατικών και πρακτικά Ανασκόπησης της Διοίκησης.
Έτσι η αρχιτεκτονική μηδενικής εμπιστοσύνης γίνεται έτοιμη για έλεγχο.
Εμπιστοσύνη τερματικών σημείων, API και διαχωρισμός δικτύων στην πράξη
Η μηδενική εμπιστοσύνη συχνά αποτυγχάνει επειδή οι οργανισμοί επικεντρώνονται στην ταυτότητα και αγνοούν το πλαίσιο συσκευής, φόρτου εργασίας, δεδομένων και δικτύου.
Το Βήμα 19 του Zenith Blueprint, Τεχνολογικοί έλεγχοι I, εξηγεί με σαφήνεια την απαίτηση κατάστασης ασφάλειας τερματικών σημείων:
Η πρόσβαση σε πληροφορίες μέσω τερματικών σημείων πρέπει να έχει επίγνωση πλαισίου. Για παράδειγμα, πληροί η συσκευή
τα ελάχιστα πρότυπα ασφάλειας πριν αποκτήσει πρόσβαση σε εταιρικούς πόρους; Έχει περάσει πρόσφατα
σάρωση κακόβουλου λογισμικού; Συνδέεται από ασυνήθιστη τοποθεσία ή δίκτυο; Με την ενσωμάτωση των αρχών
μηδενικής εμπιστοσύνης, η κατάσταση ασφάλειας τερματικών σημείων μπορεί να τροφοδοτεί την υπό όρους πρόσβαση, αρνούμενη την είσοδο έως ότου
η συσκευή αποδείξει ότι είναι ασφαλής.
Αυτό εντάσσει τη συσκευή στην απόφαση εξουσιοδότησης. Ένας έγκυρος κωδικός πρόσβασης από μη διαχειριζόμενο φορητό υπολογιστή δεν πρέπει να αντιμετωπίζεται το ίδιο με μια έγκυρη σύνδεση από συμμορφούμενο, κρυπτογραφημένο και παρακολουθούμενο εταιρικό τερματικό σημείο.
Το ίδιο βήμα τονίζει ότι οι περιορισμοί πρόσβασης εφαρμόζονται σε εφαρμογές, υπηρεσίες και API, όχι μόνο σε χρήστες:
Οι περιορισμοί πρόσβασης πρέπει επίσης να εφαρμόζονται σε εφαρμογές, υπηρεσίες και API, όχι μόνο σε ανθρώπους.
Για παράδειγμα, μια μικροϋπηρεσία μπορεί να χρειάζεται μόνο πρόσβαση ανάγνωσης σε έναν πίνακα βάσης δεδομένων, όχι πλήρη δικαιώματα CRUD.
Ένα εργαλείο αντιγράφων ασφαλείας μπορεί να χρειάζεται πρόσβαση μόνο σε συγκεκριμένους κάδους αποθήκευσης, όχι σε όλους τους πόρους tenant.
Αυτή η καθοδήγηση είναι κρίσιμη για cloud-native περιβάλλοντα. Τα πεδία εφαρμογής API, οι λογαριασμοί υπηρεσίας, οι ταυτότητες φόρτων εργασίας, οι ρόλοι Kubernetes και οι πολιτικές cloud IAM πρέπει όλα να ακολουθούν το ελάχιστο προνόμιο. Η ανθρώπινη πρόσβαση είναι μόνο ένα μέρος της επιφάνειας ελέγχου.
Το Βήμα 20 του Zenith Blueprint αφορά τον διαχωρισμό δικτύων:
Ο διαχωρισμός είναι μία από τις παλαιότερες και πιο αποτελεσματικές αρχές στην κυβερνοασφάλεια: περιορίστε τη
διάδοση, μειώστε τον κίνδυνο και συγκρατήστε τη ζημία. Ο έλεγχος 8.22 εστιάζει στον διαχωρισμό δικτύων,
την πρακτική διαχωρισμού συστημάτων, υπηρεσιών και χρηστών σε διαφορετικές λογικές ή
φυσικές ζώνες για την αποτροπή μη εξουσιοδοτημένης πρόσβασης και τον περιορισμό της πλευρικής κίνησης σε περίπτωση
συμβιβασμού.
Αυτό είναι κρίσιμο για την ανθεκτικότητα κατά DORA και NIS2. Ένα δίκτυο μηδενικής εμπιστοσύνης πρέπει να υποθέτει ότι ένας λογαριασμός, ένας φόρτος εργασίας ή ένα τερματικό σημείο μπορεί να συμβιβαστεί. Η τμηματοποίηση αποτρέπει τη μετατροπή ενός τοπικού συμβάντος σε συστημικό περιστατικό.
Φάκελος τεκμηρίων μηδενικής εμπιστοσύνης σε 10 ημέρες
Φανταστείτε μια SaaS fintech που παρέχει αναλύσεις απάτης σε τράπεζες. Επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, χρησιμοποιεί υποδομή νέφους, βασίζεται σε διαχειριζόμενο Kubernetes, ενσωματώνεται με API πελατών και χρησιμοποιεί τρίτο πάροχο ταυτότητας. Ένας πελάτης ζητά τεκμήρια μηδενικής εμπιστοσύνης και η εταιρεία έχει δέκα εργάσιμες ημέρες.
Ένας πρακτικός κύκλος εργασιών τεκμηρίων Clarysec θα έμοιαζε ως εξής.
| Χρονοδιάγραμμα | Ενέργεια | Παραδοτέο τεκμηρίων |
|---|---|---|
| Ημέρα 1 έως 2 | Καθορισμός πεδίου εφαρμογής μηδενικής εμπιστοσύνης σε λογαριασμούς νέφους παραγωγής, πάροχο ταυτότητας, CI/CD, σταθμούς εργασίας διαχειριστών, πύλη API πελατών, αποθήκη δεδομένων, SIEM, EDR και κρίσιμους προμηθευτές | Δήλωση πεδίου εφαρμογής, χάρτης εξαρτήσεων, διάγραμμα ορίων |
| Ημέρα 3 | Δημιουργία ιχνηλασιμότητας κινδύνου προς έλεγχο με χρήση του Βήματος 13 του Zenith Blueprint | Εγγραφές Μητρώου Κινδύνων, σχέδιο αντιμετώπισης, χαρτογραφήσεις SoA |
| Ημέρα 4 έως 5 | Εφαρμογή ρητρών πολιτικών enterprise ή SME και τεκμηρίωση εξαιρέσεων | Εγκεκριμένες πολιτικές, Μητρώο Εξαιρέσεων, αρχεία αποδοχής κινδύνου |
| Ημέρα 6 έως 7 | Συλλογή τεχνικών τεκμηρίων | Αναφορές MFA, πολιτικές υπό όρους πρόσβασης, αρχεία PAM, πίνακες ελέγχου τερματικών σημείων, κανόνες τείχους προστασίας, πολιτικές δικτύου Kubernetes, εξαγωγές IAM, περιπτώσεις χρήσης SIEM |
| Ημέρα 8 | Προσθήκη τεκμηρίων ιδιωτικότητας και προστασίας δεδομένων | Μήτρα ρόλων προς δεδομένα, αρχεία επεξεργασίας, τεκμήρια κρυπτογράφησης, κανόνες διατήρησης, διαδικασία κλιμάκωσης παραβιάσεων |
| Ημέρα 9 | Προσθήκη επικαλύψεων NIS2 και DORA | Χαρτογράφηση Article 21, ετοιμότητα αναφοράς περιστατικών, χάρτης λειτουργιών ΤΠΕ, μητρώο προμηθευτών, τεκμήρια σχεδίου εξόδου |
| Ημέρα 10 | Δημιουργία σύνοψης για τη διοίκηση | Αφήγημα κατάλληλο για το Διοικητικό Συμβούλιο, σύνοψη υπολειπόμενου κινδύνου, οδικός χάρτης βελτίωσης |
Ο στόχος δεν είναι να προσποιηθεί ο οργανισμός ότι πέτυχε τέλεια μηδενική εμπιστοσύνη σε δέκα ημέρες. Ο στόχος είναι να δημιουργηθεί μια τεκμηριώσιμη αλυσίδα τεκμηρίων για τους σημαντικότερους κινδύνους και να αποδειχθεί ότι το πρόγραμμα υπόκειται σε διακυβέρνηση, είναι μετρήσιμο και βελτιώνεται.
Πώς διαφορετικοί ελεγκτές θα εξετάσουν τη μηδενική εμπιστοσύνη
Συνηθισμένο λάθος είναι η προετοιμασία μιας τεχνικής αφήγησης με την υπόθεση ότι κάθε ελεγκτής θα θέσει τις ίδιες ερωτήσεις. Δεν θα το κάνει.
Ένας ελεγκτής ISO/IEC 27001:2022 θα αναζητήσει το σύστημα διαχείρισης. Θα ρωτήσει αν οι κίνδυνοι μηδενικής εμπιστοσύνης περιλαμβάνονται στην αξιολόγηση κινδύνου, αν οι αντιμετωπίσεις έχουν εγκριθεί, αν η SoA είναι πλήρης, αν οι πολιτικές είναι ελεγχόμενα έγγραφα, αν πραγματοποιούνται ανασκοπήσεις δικαιωμάτων πρόσβασης, αν οι εσωτερικοί έλεγχοι δοκιμάζουν τους ελέγχους και αν οι Ανασκοπήσεις της Διοίκησης παρακολουθούν την απόδοση.
Ένας αξιολογητής DORA θα ρωτήσει αν οι έλεγχοι μηδενικής εμπιστοσύνης αποτελούν μέρος του τεκμηριωμένου πλαισίου διαχείρισης κινδύνων ΤΠΕ. Θα αναμένει αποθετήρια περιουσιακών στοιχείων και εξαρτήσεων, χαρτογράφηση κρίσιμων ή σημαντικών λειτουργιών, ταξινόμηση περιστατικών, κλιμάκωση προς το Διοικητικό Συμβούλιο, δοκιμές, συμβατικές απαιτήσεις τρίτων, δικαιώματα ελέγχου, στρατηγικές εξόδου και παρακολούθηση αποκατάστασης.
Ένας αξιολογητής NIS2 θα εστιάσει στη λογοδοσία του διοικητικού οργάνου, στα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας του Article 21 και στην ετοιμότητα αναφοράς περιστατικών του Article 23. Θα αναμένει επίσης τεκμήρια ότι η ασφάλεια εφοδιαστικής αλυσίδας, η επιχειρησιακή συνέχεια, η διαχείριση ευπαθειών, ο έλεγχος πρόσβασης και η κυβερνοϋγιεινή τελούν υπό διαχείριση.
Ένας αξιολογητής GDPR ή ελεγκτής ιδιωτικότητας θα ρωτήσει αν η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα είναι αναγκαία, τεκμηριωμένη, περιορισμένη, παρακολουθούμενη και ευθυγραμμισμένη με τους σκοπούς επεξεργασίας. Θα εξετάσει ρόλους υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, ανίχνευση παραβίασης δεδομένων προσωπικού χαρακτήρα, πρόσβαση βάσει ρόλων, κρυπτογράφηση, ψευδωνυμοποίηση όπου ενδείκνυται, διατήρηση και λογοδοσία.
| Οπτική ελεγκτή | Πιθανή ερώτηση | Τεκμήρια που την απαντούν |
|---|---|---|
| Ελεγκτής ISO/IEC 27001:2022 | Είναι η μηδενική εμπιστοσύνη βάσει κινδύνου, εγκεκριμένη και αποτυπωμένη στη SoA; | Μητρώο Κινδύνων, SoA, Σχέδιο Αντιμετώπισης Κινδύνων, εγκρίσεις πολιτικών, πρακτικά Ανασκόπησης της Διοίκησης |
| Αξιολογητής NIST CSF | Είναι ενσωματωμένα τα αποτελέσματα διακυβέρνησης, ταυτότητας, προστασίας, ανίχνευσης, απόκρισης και ανάκαμψης; | Προφίλ CSF, σχέδιο κενών, έλεγχοι IAM, περιπτώσεις χρήσης καταγραφής, σχέδια ενεργειών απόκρισης, δοκιμές ανάκαμψης |
| Αξιολογητής DORA | Υποστηρίζει η μηδενική εμπιστοσύνη τη διαχείριση κινδύνων ΤΠΕ και την ανθεκτικότητα κρίσιμων λειτουργιών; | Αποθετήριο περιουσιακών στοιχείων ΤΠΕ, χάρτης εξαρτήσεων, πρόγραμμα δοκιμών, ταξινόμηση περιστατικών, μητρώο προμηθευτών |
| Ελεγκτής GDPR/ιδιωτικότητας | Είναι η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα περιορισμένη και αποδεδειγμένα προστατευμένη; | Μήτρα ρόλων προς δεδομένα, ανασκοπήσεις δικαιωμάτων πρόσβασης, τεκμήρια κρυπτογράφησης, διαδικασίες παραβίασης, αρχεία επεξεργασίας |
| Ελεγκτής COBIT 2019/ISACA | Τελούν υπό διακυβέρνηση οι αρμοδιότητες, οι μετρικές και η απόδοση ελέγχων; | RACI, KPIs, Μητρώο Εξαιρέσεων, ευρήματα ελέγχου, σύστημα παρακολούθησης αποκατάστασης |
Ο ίδιος έλεγχος μπορεί να ικανοποιεί πολλαπλές ερωτήσεις, αλλά μόνο εφόσον τα τεκμήρια είναι οργανωμένα.
Κίνδυνος προμηθευτών, νέφους και τρίτων μερών ΤΠΕ
Η μηδενική εμπιστοσύνη δεν σταματά στο τείχος προστασίας, και σε περιβάλλοντα νέφους μπορεί να μην υπάρχει καθόλου παραδοσιακό όριο τείχους προστασίας. Πάροχοι ταυτότητας, πλατφόρμες νέφους, εργαλεία CI/CD, πάροχοι διαχειριζόμενης ανίχνευσης, επεξεργαστές πληρωμών, πύλες API και ομάδες εξωτερικής ανάπτυξης γίνονται όλα μέρος του ιστού εμπιστοσύνης.
Το NIS2 Article 21 περιλαμβάνει ρητά την ασφάλεια εφοδιαστικής αλυσίδας για άμεσους προμηθευτές και παρόχους υπηρεσιών, συμπεριλαμβανομένων ευπαθειών προμηθευτών, ανθεκτικότητας προϊόντων και υπηρεσιών, πρακτικών κυβερνοασφάλειας προμηθευτών και διαδικασιών ασφαλούς ανάπτυξης.
Το DORA απαιτεί τη διαχείριση του κινδύνου τρίτων μερών ΤΠΕ ως μέρος του πλαισίου διαχείρισης κινδύνων ΤΠΕ, με μητρώο συμβάσεων υπηρεσιών ΤΠΕ, προσυμβατική δέουσα επιμέλεια, αξιολόγηση κρισιμότητας, κίνδυνο συγκέντρωσης, συμβατικές απαιτήσεις ασφάλειας, υποστήριξη περιστατικών, συνεργασία με αρχές, δικαιώματα ελέγχου, δικαιώματα καταγγελίας, στρατηγικές εξόδου και σχέδια μετάβασης.
Για τη μηδενική εμπιστοσύνη, ο πρακτικός κανόνας είναι απλός: μην εμπιστεύεστε μια σύνδεση προμηθευτή μόνο επειδή είναι συμβατική. Απαιτήστε τεχνικούς ελέγχους και τεκμήρια.
Μια ενσωμάτωση API πελάτη πρέπει να διαθέτει περιορισμένα διακριτικά, περιορισμό ρυθμού, παρακολούθηση, περιοδική αλλαγή, ιδιοκτησία και ανάκληση. Ένας πάροχος διαχειριζόμενων υπηρεσιών πρέπει να χρησιμοποιεί MFA, ονομαστικούς λογαριασμούς χρηστών, ελάχιστο προνόμιο, καταγραφή συνεδριών και χρονικά περιορισμένη πρόσβαση. Μια σχέση με πάροχο νέφους πρέπει να διαθέτει χαρτογράφηση κοινής ευθύνης, ρύθμιση κρυπτογράφησης, διατήρηση αρχείων καταγραφής, δοκιμές αντιγράφων ασφαλείας και σχεδιασμό εξόδου.
Γι’ αυτό τα τεκμήρια προμηθευτών και νέφους ανήκουν μέσα στο μοντέλο μηδενικής εμπιστοσύνης και όχι σε ξεχωριστό φάκελο προμηθειών.
Μετρικές που αποδεικνύουν ότι η μηδενική εμπιστοσύνη λειτουργεί
Τα Διοικητικά Συμβούλια και οι ελεγκτές δεν θέλουν μόνο διαγράμματα αρχιτεκτονικής. Θέλουν τεκμήρια λειτουργίας και τάσεις βελτίωσης.
Χρήσιμες μετρικές μηδενικής εμπιστοσύνης περιλαμβάνουν:
- Ποσοστό προνομιούχων λογαριασμών που προστατεύονται με MFA.
- Ποσοστό χρηστών που καλύπτονται από υπό όρους πρόσβαση.
- Αριθμός μόνιμων προνομιούχων λογαριασμών σε σύγκριση με λογαριασμούς Just-in-Time.
- Αριθμός εκπρόθεσμων ανασκοπήσεων δικαιωμάτων πρόσβασης.
- Ποσοστό τερματικών σημείων που συμμορφώνονται με τις απαιτήσεις κατάστασης ασφάλειας.
- Κάλυψη EDR σε κρίσιμα περιουσιακά στοιχεία.
- Αριθμός απορριφθεισών απόπειρων πρόσβασης λόγω κινδύνου συσκευής ή τοποθεσίας.
- Μέσος χρόνος έως την ανίχνευση ύποπτης προνομιούχας δραστηριότητας.
- Μέσος χρόνος ανάκλησης πρόσβασης μετά την αποχώρηση.
- Ποσοστό κανόνων τείχους προστασίας μεταξύ ζωνών που ανασκοπήθηκαν το τελευταίο τρίμηνο.
- Αριθμός κρίσιμων προμηθευτών με τρέχοντα τεκμήρια ασφάλειας.
- Αριθμός εξαιρέσεων μηδενικής εμπιστοσύνης μετά την ημερομηνία αποκατάστασης.
- Ποσοστό κρίσιμων εφαρμογών που αποστέλλουν αρχεία καταγραφής στο SIEM.
- Αποτελέσματα προσομοιώσεων περιστατικών για συμβιβασμό διαπιστευτηρίων.
Αυτές οι μετρικές υποστηρίζουν τη συνεχή βελτίωση του ISO/IEC 27001:2022, την αξιολόγηση αποτελεσματικότητας του NIS2, τις προσδοκίες δοκιμών και αποκατάστασης του DORA και τη λογοδοσία του GDPR.
Συνήθεις αστοχίες τεκμηρίων μηδενικής εμπιστοσύνης
Οι συχνότερες αστοχίες δεν προκαλούνται από έλλειψη εργαλείων. Προκαλούνται από αδύναμη ιχνηλασιμότητα.
Πρώτον, οι οργανισμοί υλοποιούν MFA αλλά δεν μπορούν να αποδείξουν ότι οι προνομιούχοι λογαριασμοί καλύπτονται πλήρως. Οι λογαριασμοί υπηρεσίας, οι λογαριασμοί διαχειριστή έκτακτης πρόσβασης «break glass» και οι τοπικοί λογαριασμοί διαχειριστή συχνά παραμένουν εκτός του ελέγχου.
Δεύτερον, οι ανασκοπήσεις δικαιωμάτων πρόσβασης εκτελούνται χειροκίνητα αλλά δεν συνδέονται με επιχειρησιακούς ρόλους, ευαισθησία δεδομένων ή ιδιοκτήτες κινδύνου. Τα τεκμήρια δείχνουν ότι κάποιος πάτησε «ανασκοπήθηκε», όχι ότι αφαιρέθηκε περιττή πρόσβαση.
Τρίτον, η τμηματοποίηση δικτύου υπάρχει στα διαγράμματα αλλά όχι σε δοκιμασμένους κανόνες. Οι ελεγκτές θα ρωτήσουν αν η διατμηματική πρόσβαση αρνείται εξ ορισμού και αν οι εξαιρέσεις έχουν εγκριθεί.
Τέταρτον, τα αρχεία καταγραφής συλλέγονται αλλά δεν είναι αξιοποιήσιμα. Ένα SIEM χωρίς καθορισμένες περιπτώσεις χρήσης, διαλογή ειδοποιήσεων και διαδικασίες απόκρισης δεν αποδεικνύει συνεχή παρακολούθηση.
Πέμπτον, η πρόσβαση προμηθευτών δεν τελεί υπό διαχείριση. Οι προμηθευτές μπορεί να χρησιμοποιούν κοινόχρηστους λογαριασμούς, μόνιμη πρόσβαση VPN ή ευρείς ρόλους νέφους χωρίς παρακολούθηση συνεδριών.
Έκτον, τα τεκμήρια ιδιωτικότητας διαχωρίζονται από τα τεκμήρια ασφάλειας. Το GDPR απαιτεί αποδεδειγμένη προστασία δεδομένων προσωπικού χαρακτήρα, επομένως οι έλεγχοι ταυτότητας και πρόσβασης πρέπει να συνδέονται με κατηγορίες δεδομένων και σκοπούς επεξεργασίας.
Τέλος, οι εξαιρέσεις δεν τεκμηριώνονται. Η μηδενική εμπιστοσύνη μπορεί να ανεχθεί εξαιρέσεις εφόσον έχουν αξιολογηθεί ως προς τον κίνδυνο, έχουν εγκριθεί, είναι χρονικά περιορισμένες και παρακολουθούνται. Δεν μπορεί να ανεχθεί αόρατες εξαιρέσεις.
Δημιουργήστε τον φάκελο τεκμηρίων μηδενικής εμπιστοσύνης με την Clarysec
Η αρχιτεκτονική μηδενικής εμπιστοσύνης το 2026 δεν είναι σύνθημα. Είναι λειτουργικό μοντέλο συμμόρφωσης που συνδέει ταυτότητα, συσκευές, εφαρμογές, τμηματοποίηση δικτύου, ελάχιστο προνόμιο, συνεχή παρακολούθηση, έλεγχο προμηθευτών και δικλίδες προστασίας ιδιωτικότητας σε ένα ενιαίο ελέγξιμο σύστημα.
Αν προετοιμάζεστε για πιστοποίηση ISO/IEC 27001:2022, απαντάτε σε ερωτήματα πελατών για NIS2, ευθυγραμμίζεστε με τη διαχείριση κινδύνων ΤΠΕ του DORA ή αποδεικνύετε την ασφάλεια της επεξεργασίας κατά GDPR Article 32, ξεκινήστε από την ιχνηλασιμότητα.
Χρησιμοποιήστε το Zenith Blueprint: An Auditor’s 30-Step Roadmap για να χαρτογραφήσετε τους κινδύνους μηδενικής εμπιστοσύνης στο Μητρώο Κινδύνων, στο σχέδιο αντιμετώπισης και στη SoA. Χρησιμοποιήστε το Zenith Controls: The Cross-Compliance Guide για να ευθυγραμμίσετε τον έλεγχο πρόσβασης, τη διαχείριση ταυτοτήτων και την παρακολούθηση με τις προσδοκίες πολλαπλών πλαισίων. Χρησιμοποιήστε τη βιβλιοθήκη πολιτικών της Clarysec, συμπεριλαμβανομένων των Enterprise Access Control Policy, Enterprise User Account and Privilege Management Policy, Enterprise Network Security Policy, Enterprise Logging and Monitoring Policy, Enterprise Information Security Policy και Data Protection and Privacy Policy - SME, για να μετατρέψετε την αρχιτεκτονική σε εφαρμόσιμη διακυβέρνηση.
Το επόμενο πρακτικό βήμα σας είναι να επιλέξετε ένα σενάριο υψηλού κινδύνου, όπως συμβιβασμένη προνομιούχα πρόσβαση σε δεδομένα πελατών, και να δημιουργήσετε γύρω του μια πλήρη αλυσίδα τεκμηρίων μηδενικής εμπιστοσύνης. Αν μπορείτε να αποδείξετε αυτό το σενάριο από άκρο σε άκρο, έχετε τη βάση για ένα κλιμακώσιμο, ελέγξιμο και έτοιμο για ρυθμιστικό έλεγχο πρόγραμμα μηδενικής εμπιστοσύνης.
Κατεβάστε τα πακέτα πολιτικών της Clarysec ή προγραμματίστε μια στρατηγική συνάντηση για να δείτε πώς τα Zenith Blueprint και Zenith Controls μπορούν να μετατρέψουν τη μηδενική εμπιστοσύνη από κίνδυνο ελέγχου σε πλεονέκτημα συμμόρφωσης.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


