Ta dva varnostna koncepta se morda slišita podobno, vendar sta popolnoma različna.
Čeprav sta koncepta ničelnega zaupanja in ničelnega znanja kritična sestavna dela današnjih trendov kibernetske varnosti, nista enaka.
Zvenita nekoliko podobno in imata enak namen, vendar gre brez znanja še korak dlje od ničelnega zaupanja pri ustvarjanju varnostnega sistema, ki se lahko zoperstavi nenehno razvijajočim se kibernetskim grožnjam.
Pravzaprav je mogoče uporabiti dokazilo brez znanja, da zamisli varnostnega modela brez zaupanja uresničimo. Vendar preden nadaljujemo, razčistimo, kaj sta ta dva pojma.
Kaj je ničelno zaupanje?
Skratka, osrednja ideja koncepta ničelnega zaupanja je "ne zaupaj nikomur, preveri vse". Torej v okviru ničelnega zaupanja ni zaupanja med omrežjem in njegovimi uporabniki, omrežjem in njegovimi komponentami strojne in programske opreme ali med organizacijo in njenimi uporabniki.
Z predpostavko, da je vsak in vse grožnja, dokler se ne dokaže nasprotno, varnost brez zaupanja vedno zahteva nekakšno preverjanje pristnosti, preden dovoli dostop do aplikacij in podatkov za njimi. Vsi uporabniki znotraj ogrodja ničelnega zaupanja morajo biti overjeni, avtorizirani in najprej opraviti oceno varnostnega stanja.
Prav tako ničelno zaupanje omogoča skrbnikom IT, da zagotovijo popoln pregled nad vsemi uporabniki, napravami in sistemi. To ne zagotavlja samo skladnosti s predpisi, ampak tudi pomaga preprečiti kibernetske napade, ki jih povzročijo ogrožene uporabniške poverilnice in blaži kršitve podatkov. Torej, obstaja več kot nekaj razlogov za sprejetje varnostnega modela ničelnega zaupanja.
Kaj je Zero-Knowledge?
Koncept ničelnega znanja poskuša ugotoviti, kako lahko nekdo dokaže, da ima nekaj zaupnega, na primer občutljivo informacijo, ne da bi razkril kar koli od tega. V kontekstu šifriranje brez znanja, varnost z ničelnim znanjem zagotavlja, da so uporabnikovi podatki šifrirani, preden uporabnik komunicira s ponudnikom storitev. Prav tako je mogoče podatke dešifrirati z unikatnim ključem, ki je ponudniku neznan – ta ključ ima le uporabnik.
Torej s šifriranjem brez znanja nihče razen uporabnika ne more dostopati do svojih podatkov v nešifrirani obliki. V idealnem primeru nihče razen uporabnika ne bi smel imeti dostopa do podatkov v šifrirani obliki, ampak države znotraj Zavezništva Five Eyes, Nine Eyes in 14 Eyes bi rekel drugače.
Na področju kibernetske varnosti lahko brez znanja razumemo kot sestavni del modela ničelnega zaupanja, saj omogoča dejanja, kot je preverjanje pristnosti, ki se izvajajo brez razkritja občutljivih informacij o uporabniki.
Ničelno zaupanje vs. Zero-Knowledge: Similarities and Differences
Če je ključna fraza koncepta ničelnega zaupanja »ne zaupaj nikomur«, potem je slogan ničelnega znanja »ne vemo ničesar«. Čeprav imata ta dva koncepta enak namen – to je krepitev varnosti podatkov in kibernetske varnosti na splošno – ne delujeta na enak način.
Na področju kibernetske varnosti lahko brez znanja razumemo kot sestavni del modela ničelnega zaupanja, saj omogoča dejanja, kot je preverjanje pristnosti, ki se izvajajo brez razkritja občutljivih informacij o uporabniki.
Model brez znanja se lahko uporabi za zaščito zasebnosti podatkov, saj ponudnik storitev o tem "nič znanja". V večini primerov so ti podatki sestavljeni iz gesel, poverilnic za prijavo in drugih občutljivih informacij. Številne vrste dvofaktorske avtentikacije (2FA) in večfaktorske avtentikacije (MFA) uporabljajo ničelno znanje model, kar pomeni, da vam ne bo treba deliti skrivnosti ali posredovati občutljivih informacij za preverjanje vašega identiteta.
Tako 2FA kot MFA sta ključni komponenti okvira ničelnega zaupanja, ki je dodatno podprt s šifriranjem in ločevanjem podatkov. Ponudnik storitev, ki uporablja tako varnostni okvir z ničelnim znanjem kot brez zaupanja, je lahko prepričan, da bodo njegovi sistemi so zaščiteni pred notranjimi in zunanjimi grožnjami in da v primeru podatkov ne bodo ogroženi nobeni občutljivi podatki kršitev.
Ničelno zaupanje vs. Brez znanja: kaj je bolj pomembno za kibernetsko varnost?
Nobenega razloga ni, zakaj bi morali strokovnjaki za kibernetsko varnost izbirati med varnostnimi koncepti ničelnega zaupanja in ničelnega znanja. Ko ugotovimo, kako ta dva delujeta na področju kibernetske varnosti, lahko brez znanja vidimo kot kritično komponento varnostnega modela brez zaupanja.
Upoštevati moramo tudi, da čeprav se uvedba koncepta ničelnega zaupanja morda zdi preprosta v teoriji, je to lažje reči kot narediti, ko gre za prakso.