ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
とチャットする絶好の機会がありました 情報セキュリティメディアグループ (ISMG) のトム・フィールド 先月はゼロトラストについて。彼が知りたかったのは、Menloがサイバーセキュリティに関するこの新しい考え方をどのように実現しているのか、そして私たちの隔離アプローチが成熟した金融サービス部門にどのように適用できるのかを知りたかったからです。
ゼロトラストは、単なるマーケティングスローガンではなく、すべてのウェブコンテンツが有害であると想定し、ウェブサイトがユーザーのデバイス上でコードを実行するのを防ぐことを可能にします。これは絶対に理にかなっています。私はCISOとして働き、長年シリコンバレー全域のCISOに助言してきました。攻撃の大半は、完全に信頼できない Web サイトにユーザーがアクセスしたときに発生することを理解しています。しかし、このような信頼の欠如にもかかわらず、私たちはこれらのウェブサイトにローカルブラウザを介してエンドポイントへのアクセスを許可し、ユーザーが私たちのマシン上でコードを実行できるようにしています。
セキュリティの観点から見ると、これは非常識です。しかし、ビジネスの観点から見ると、インターネットを介した自由で自由なアクセスはミッションクリティカルな場合があります。
Menloは、ゼロトラストを、仕事の能力を妨げることなく、信頼できないアクターからユーザーを保護する方法と定義しています。トムは会話の中で、ゼロトラストは「無実であることが証明されるまで有罪」のようなもので、ある意味では絶対的に正しいと冗談を言った。信頼できない外部のエンティティにユーザーのデバイスでのコード実行を許可するのはなぜでしょうか?
では、なぜ誰もがゼロトラストを採用し、マルウェアやその他のWebベースの脅威を歴史のゴミ箱に捨てないのでしょうか。
その答えは、技術的にも文化的にも、難しいということです。私たちは人間であり、生まれてから他人を信頼するようにできています。デフォルトのマインドセットとして信頼できないマインドセットに突然切り替えるよう人々に求めることは、多くのことを求めています。第二に、人々が本人が言うとおりの人物であることを保証することは困難です。悪意のある攻撃者は、自分たちが関与していないシステムにアクセスするために、嘘をついたり、不正行為をしたり、盗んだりします。同僚、友人、家族になりすまします。彼らはユーザーを騙して、玄関を通り抜けるのに必要な鍵を渡させます。悪者たちは私たちを打ち負かし、ツールボックスにあるツールでは不十分です。
多くの組織では、技術不足を補うためにユーザー教育を行っています。しかし、この苦境から抜け出す方法を訓練することはできません。はい、教育を通じて人々の考え方を変え、ゼロトラストを受け入れる必要がありますが、マルウェアがデバイスにアクセスするのを防ぐための一連のツールも必要です。
その答えは、もちろん、インターネットの隔離です。ユーザーが仕事をするために Web サイトにアクセスする必要があることはわかっていますが、Web サイトがユーザーのコンピューターにアクセスする必要がある理由はありません。その代わり、ユーザーに代わってウェブサイトを操作し、良質で安全なコンテンツのみを端末に表示する仮想ブラウザをクラウド上で起動できます。ウェブサイトが良いか悪いかはわかりませんが、率直に言って、それは問題ではありません。CISOとして、私のネットワーク上でコードを実行する権限が外部にないことは間違いありません。
聴いてみてください トムとのインタビュー そして詳細情報をチェックしてください Menloのゼロトラストソリューション。それまでの間、お気軽に 手を差し伸べて Menloがビジネスでどこにいてもユーザーの仕事を確保する方法について、いつでも話し合うことができます。
