Disse to sikkerhetskonseptene kan høres like ut, men de er helt forskjellige.

Mens både null tillit og null-kunnskapskonsepter er kritiske komponenter i dagens cybersikkerhetstrender, er de ikke de samme.

De høres litt like ut og deler en hensikt, men null kunnskap går ett skritt lenger enn null tillit til å lage et sikkerhetssystem som kan motvirke stadig utviklende cybertrusler.

Faktisk kan null-kunnskapsbevis brukes til å gjøre ideene til null-tillit-sikkerhetsmodellen til virkelighet. Men før vi fortsetter, la oss klargjøre hva disse to konseptene er.

Hva er Zero Trust?

Kort sagt, den sentrale ideen bak null-tillit-konseptet er "stol på ingen, sjekk alle". Så, i et null-tillit-rammeverk, er det ingen tillit mellom et nettverk og dets brukere, et nettverk og dets maskinvare- og programvarekomponenter, eller mellom en organisasjon og dets brukere.

Med en antagelse om at alle og alt er en trussel inntil det motsatte er bevist, null tillitssikkerhet ber alltid om en slags autentisering før du gir tilgang til applikasjoner og data bak dem. Alle brukere innenfor null-tillit-rammeverket må være autentisert, autorisert og først gjennom en sikkerhetsstillingsvurdering.

Null tillit gir også IT-administratorer mulighet til å sikre fullstendig synlighet til alle brukere, enheter og systemer. Dette sikrer ikke bare overholdelse av regelverk, men bidrar også til å unngå cyberangrep forårsaket av kompromitterte brukerlegitimasjoner og reduserer datainnbrudd. Så det er mer enn noen få grunner for å ta i bruk en null-tillit sikkerhetsmodell.

Hva er Zero-Knowledge?

Et konsept med null kunnskap prøver å finne ut hvordan noen kan bevise at de har noe konfidensielt, for eksempel en del sensitiv informasjon, uten å avsløre noe av det. I sammenheng med null-kunnskapskryptering, sikrer nullkunnskapssikkerhet at brukerens data er kryptert før brukeren kommuniserer med tjenesteleverandøren. Dataene kan også dekrypteres med en unik nøkkel, som er ukjent for leverandøren - bare brukeren har den nøkkelen.

Så, med null-kunnskapskryptering, kan ingen andre enn brukeren få tilgang til dataene deres i dens ukrypterte form. Ideelt sett skal ingen andre enn brukeren ha tilgang til dataene i kryptert form heller, men landene innenfor Five Eyes, Nine Eyes og 14 Eyes allianser ville sagt noe annet.

I cybersikkerhet kan nullkunnskap sees på som en komponent av nulltillitsmodellen slik den muliggjør handlinger som autentisering som skal utføres uten å avsløre noen sensitiv informasjon om brukere.

Null tillit vs. Nullkunnskap: likheter og forskjeller

Hvis slagordet til null tillit-konseptet er "stol på ingen", så er null kunnskaps slagord "vi vet ingenting". Selv om disse to konseptene deler et formål – det vil si å styrke datasikkerhet og cybersikkerhet generelt – fungerer de ikke på samme måte.

I cybersikkerhet kan nullkunnskap sees på som en komponent av nulltillitsmodellen slik den muliggjør handlinger som autentisering som skal utføres uten å avsløre noen sensitiv informasjon om brukere.

Nullkunnskapsmodellen kan brukes til å beskytte personvernet ettersom tjenesteleverandøren har "null kunnskap" om det. I de fleste tilfeller består disse dataene av passord, påloggingsinformasjon og annen sensitiv informasjon. Mange typer tofaktorautentisering (2FA) og multifaktorautentisering (MFA) bruker nullkunnskapen modell, noe som betyr at du ikke vil bli pålagt å dele hemmeligheter eller oppgi sensitiv informasjon for å bekrefte din identitet.

Både 2FA og MFA er kritiske komponenter i null-tillit-rammeverket, som er ytterligere støttet av kryptering og datasegregering. En tjenesteleverandør som bruker både null-kunnskap og null-tillit sikkerhetsrammeverk kan være sikker på sine systemer er beskyttet mot innvendige og ytre trusler og at ingen sensitive data vil bli kompromittert i tilfelle data brudd.

Null tillit vs. Nullkunnskap: Hva er viktigst for cybersikkerhet?

Det er ingen grunn til at cybersikkerhetseksperter skal måtte velge mellom null-tillit og null-kunnskapssikkerhetskonsepter. Etter å ha funnet ut hvordan disse to fungerer i cybersikkerhet, kan vi se null kunnskap som en kritisk komponent i null-tillit-sikkerhetsmodellen.

Vi bør også merke oss at selv om implementeringen av null-tillit-konseptet kan virke enkelt i teorien, er det lettere sagt enn gjort når det kommer til praksis.