این دو مفهوم امنیتی ممکن است شبیه به نظر برسند اما کاملاً متفاوت هستند.
در حالی که هر دو مفهوم اعتماد صفر و دانش صفر اجزای حیاتی روند امنیت سایبری امروزی هستند، اما یکسان نیستند.
آنها تا حدودی شبیه به نظر می رسند و هدف مشترکی دارند، اما دانش صفر یک قدم فراتر از اعتماد صفر در ایجاد یک سیستم امنیتی است که می تواند با تهدیدات سایبری همیشه در حال تکامل مقابله کند.
در واقع، اثبات دانش صفر می تواند برای تبدیل ایده های مدل امنیتی صفر اعتماد به واقعیت استفاده شود. با این حال، قبل از ادامه، بیایید روشن کنیم که این دو مفهوم چیست.
اعتماد صفر چیست؟
به طور خلاصه، ایده اصلی پشت مفهوم اعتماد صفر این است که “به هیچ کس اعتماد نکنید، همه را بررسی کنید”. بنابراین، در یک چارچوب بدون اعتماد، هیچ اعتمادی بین یک شبکه و کاربرانش، یک شبکه و اجزای سخت افزاری و نرم افزاری آن، یا بین یک سازمان و کاربرانش وجود ندارد.
با این فرض که همه و همه چیز تهدیدی هستند تا زمانی که خلاف آن ثابت شود، امنیت صفر اعتماد همیشه قبل از اجازه دسترسی به برنامهها و دادههای پشت سرشان، نوعی احراز هویت را درخواست میکند. همه کاربران در چارچوب اعتماد صفر باید احراز هویت شوند، مجاز باشند و ابتدا از ارزیابی وضعیت امنیتی عبور کنند.
همچنین، اعتماد صفر به مدیران فناوری اطلاعات این امکان را می دهد که از دید کامل همه کاربران، دستگاه ها و سیستم ها اطمینان حاصل کنند. این نه تنها انطباق با مقررات را ایمن می کند، بلکه به جلوگیری از حملات سایبری ناشی از به خطر افتادن اعتبار کاربر و کاهش نقض داده ها کمک می کند. بنابراین، بیش از چند دلیل برای اتخاذ یک مدل امنیتی بدون اعتماد وجود دارد.
دانش صفر چیست؟
یک مفهوم دانش صفر تلاش میکند بفهمد که چگونه یک نفر میتواند ثابت کند که چیزی محرمانه، مانند یک قطعه اطلاعات حساس، بدون افشای هیچ یک از آنها، دارد. در زمینه رمزگذاری دانش صفر، امنیت دانش صفر تضمین می کند که داده های کاربر قبل از برقراری ارتباط کاربر با ارائه دهنده خدمات، رمزگذاری شده است. همچنین، داده ها را می توان با یک کلید منحصر به فرد، که برای ارائه دهنده ناشناخته است، رمزگشایی کرد – فقط کاربر آن کلید را دارد.
بنابراین، با رمزگذاری دانش صفر، هیچ کس جز کاربر نمی تواند به داده های خود به شکل رمزگذاری نشده دسترسی پیدا کند. در حالت ایدهآل، هیچ کس غیر از کاربر نباید به دادهها به صورت رمزگذاری شده دسترسی داشته باشد، اما کشورهای عضو پنج چشم، نه چشم و 14 چشم غیر از این میگویند.
در امنیت سایبری، دانش صفر را می توان به عنوان جزئی از مدل اعتماد صفر در نظر گرفت، زیرا امکان انجام اقداماتی مانند احراز هویت را بدون افشای هرگونه اطلاعات حساس در مورد کاربران فراهم می کند.
اعتماد صفر در مقابل دانش صفر: شباهت ها و تفاوت ها
اگر عبارت کلیدی مفهوم صفر اعتماد “به هیچ کس اعتماد نکن” باشد، پس شعار دانش صفر این است “ما هیچ چیز نمی دانیم”. در حالی که این دو مفهوم یک هدف مشترک دارند – یعنی تقویت امنیت داده ها و امنیت سایبری به طور کلی – آنها به یک شکل کار نمی کنند.
در امنیت سایبری، دانش صفر را می توان به عنوان جزئی از مدل اعتماد صفر در نظر گرفت، زیرا امکان انجام اقداماتی مانند احراز هویت را بدون افشای هرگونه اطلاعات حساس در مورد کاربران فراهم می کند.
مدل دانش صفر را می توان برای محافظت از حریم خصوصی داده ها مورد استفاده قرار داد زیرا ارائه دهنده خدمات “دانش صفر” در مورد آن دارد. در بیشتر موارد، این داده ها شامل رمزهای عبور، اعتبار ورود به سیستم و سایر اطلاعات حساس است. بسیاری از انواع احراز هویت دو مرحله ای (2FA) و احراز هویت چند عاملی (MFA) از مدل دانش صفر استفاده می کنند، به این معنی که برای تأیید هویت خود نیازی به اشتراک گذاری اسرار یا ارائه هیچ گونه اطلاعات حساسی نخواهید داشت.
هر دو 2FA و MFA اجزای حیاتی چارچوب صفر اعتماد هستند که بیشتر توسط رمزگذاری و تفکیک داده ها پشتیبانی می شود. ارائهدهنده خدماتی که از چارچوبهای امنیتی بدون دانش و بدون اعتماد استفاده میکند، میتواند مطمئن باشد که سیستمهایش در برابر تهدیدات داخلی و خارجی محافظت میشوند و در صورت نقض دادهها، هیچ داده حساسی به خطر نمیافتد.
اعتماد صفر در مقابل دانش صفر: کدام یک برای امنیت سایبری مهم تر است؟
هیچ دلیلی وجود ندارد که چرا متخصصان امنیت سایبری باید بین مفاهیم امنیتی بدون اعتماد و دانش صفر یکی را انتخاب کنند. پس از پی بردن به نحوه عملکرد این دو در امنیت سایبری، میتوانیم دانش صفر را بهعنوان مؤلفهای حیاتی از مدل امنیتی صفر اعتماد ببینیم.
همچنین باید توجه داشته باشیم که اگرچه اجرای مفهوم اعتماد صفر ممکن است در تئوری ساده به نظر برسد، اما در مورد عمل گفتن آن آسانتر از انجام آن است.