Disse to sikkerhedskoncepter kan lyde ens, men de er helt forskellige.
Selvom både nul-tillid og nul-viden-koncepter er kritiske komponenter i nutidens cybersikkerhedstrends, er de ikke de samme.
De lyder lidt ens og deler et formål, men nul viden går et skridt videre end nul tillid til at skabe et sikkerhedssystem, der kan imødegå stadigt udviklende cybertrusler.
Faktisk kan nul-viden bevis bruges til at omsætte ideerne om nul-tillid sikkerhedsmodellen til virkelighed. Men før vi fortsætter, lad os opklare, hvad disse to begreber er.
Hvad er Zero Trust?
Kort sagt er den centrale idé bag nultillid-konceptet "stol på ingen, tjek alle". Så i en nul-tillidsramme er der ingen tillid mellem et netværk og dets brugere, et netværk og dets hardware- og softwarekomponenter eller mellem en organisation og dets brugere.
Med en antagelse om, at alle og alt er en trussel, indtil det modsatte er bevist, nul tillid til sikkerhed beder altid om en form for godkendelse, før den giver adgang til applikationer og data bag dem. Alle brugere inden for rammerne for nul tillid skal først godkendes, autoriseres og gennemgå en sikkerhedsstillingsvurdering.
Zero trust giver også it-administratorer mulighed for at sikre fuldstændig synlighed i alle brugere, enheder og systemer. Dette sikrer ikke kun overholdelse af lovgivningen, men hjælper også med at undgå cyberangreb forårsaget af kompromitterede brugeroplysninger og afbøder databrud. Så der er mere end et par stykker grunde til at vedtage en nul-tillid sikkerhedsmodel.
Hvad er Zero-Knowledge?
Et nul-viden-koncept forsøger at finde ud af, hvordan nogen kan bevise, at de har noget fortroligt, såsom et stykke følsomme oplysninger, uden at afsløre noget af det. I konteksten af nul-viden kryptering, nul-viden sikkerhed sikrer, at brugerens data er krypteret, før brugeren kommunikerer med tjenesteudbyderen. Dataene kan også dekrypteres med en unik nøgle, som er ukendt for udbyderen - kun brugeren har denne nøgle.
Så med nul-viden-kryptering kan ingen andre end brugeren få adgang til deres data i dens ukrypterede form. Ideelt set skulle ingen udover brugeren heller kunne få adgang til dataene i krypteret form, men landene inden for Five Eyes, Nine Eyes og 14 Eyes alliancer ville sige andet.
Inden for cybersikkerhed kan nulviden ses som en del af nultillidsmodellen, da den muliggør handlinger såsom autentificering, der skal udføres uden at afsløre nogen følsomme oplysninger om brugere.
Nul tillid vs. Nulviden: ligheder og forskelle
Hvis slagordet i nul-tillid-konceptet er "stol på ingen", så er nul videns slogan "vi ved ingenting". Selvom disse to koncepter deler et formål – det vil sige at styrke datasikkerheden og cybersikkerheden generelt – fungerer de ikke på samme måde.
Inden for cybersikkerhed kan nulviden ses som en del af nultillidsmodellen, da den muliggør handlinger såsom autentificering, der skal udføres uden at afsløre nogen følsomme oplysninger om brugere.
Nulvidensmodellen kan bruges til at beskytte databeskyttelse, da tjenesteudbyderen har "nulviden" om det. I de fleste tilfælde består disse data af adgangskoder, loginoplysninger og andre følsomme oplysninger. Mange typer af to-faktor-godkendelse (2FA) og multi-faktor-godkendelse (MFA) bruger nul-viden model, hvilket betyder, at du ikke vil være forpligtet til at dele hemmeligheder eller give nogen følsomme oplysninger for at bekræfte din identitet.
Både 2FA og MFA er kritiske komponenter i nul-tillidsrammerne, som yderligere understøttes af kryptering og dataadskillelse. En tjenesteudbyder, der bruger både nul-viden og nul-tillid sikkerhedsrammer, kan være sikker på sine systemer er beskyttet mod indvendige og ydre trusler, og at ingen følsomme data vil blive kompromitteret i tilfælde af en data brud.
Nul tillid vs. Nulviden: Hvad er vigtigere for cybersikkerhed?
Der er ingen grund til, at cybersikkerhedsprofessionelle skal vælge mellem nul-tillid og nul-viden sikkerhedskoncepter. Efter at have fundet ud af, hvordan disse to fungerer i cybersikkerhed, kan vi se nul viden som en kritisk komponent i nul-tillid sikkerhedsmodellen.
Vi bør også bemærke, at selvom implementeringen af nul tillid-konceptet kan virke simpel i teorien, er det lettere sagt end gjort, når det kommer til praksis.