saeid ghasemshirazi In a supply chain, zero trust means securing materials, information, and financial flows. Fourth, zero trust promotes the shift from perimeter-based security to zero trust security. For an IT network, the perimeter of the enterprise was traditionally defined by a firewall, در این ارائه با پارادایم اعتماد صفر در زنجیره تامین آشنا می شین

1. Title:
The zero trust supply chain: Managing supply
chain risk in the absence of trust
Publication:
International Journal of Production Research
2021
saeid ghasemshirazi

2. Supply Chain Attack
Supply Chain Attack
‫یک‬
‫حمله‬
‫سایبری‬
‫است‬
‫که‬
‫با‬
‫هدف‬
‫قرار‬
‫دادن‬
‫عناصر‬
‫با‬
‫امنیت‬
‫پایین‬
‫تر‬
‫در‬
،‫شبکه‬
‫به‬
‫ک‬
‫ل‬
‫سازمان‬
‫آسیب‬
‫می‬
‫رساند‬
.
‫در‬
‫واقع‬
‫در‬
‫این‬
،‫حمالت‬
‫مهاجمان‬
‫با‬
‫‌جویی‬
‫ه‬‫بهر‬
‫از‬
‫اجزای‬
‫‌پذیر‬
‫ب‬‫آسی‬
‫در‬
‫زنجیره‬
‫یک‬
‫سازم‬
‫ان‬
‫به‬
‫آن‬
‫رخنه‬
‫و‬
‫یا‬
‫آن‬
‫را‬
‫دچار‬
‫اختالل‬
‫‌کنند‬
‫ی‬‫م‬
.
‫نکته‬
:
‫حمالت‬
‫زنجیره‬
‫تامین‬
‫می‬
‫تواند‬
‫منجر‬
‫به‬
:
‫افشا‬
‫اطالعات‬
‫یا‬
‫مختل‬
‫شدن‬
‫کل‬
‫عملیات‬
‫گردد‬

3. SolarWinds Supply Chain attack
➢
‫این‬
‫حمله‬
‫‌ترین‬
‫گ‬‫بزر‬
‫و‬
‫‌ترین‬
‫ه‬‫پیچید‬
‫حمالت‬
‫سایبری‬
‫تاریخ‬
(
2020
)
‫است‬
!
➢
‫در‬
‫این‬
‫حمله‬
‫بیش‬
‫از‬
1000
‫نفر‬
‫نقش‬
‫داشته‬
‫اند‬
.
➢
‫بیش‬
‫از‬
18
‫هزار‬
‫شرکت‬
‫در‬
‫خطر‬
‫حمله‬
‫قرار‬
‫داشتند‬
.
➢
،‫انویدیا‬،‫اینتل‬،‫سیسکو‬
...
‫مورد‬
‫نفوذ‬
‫قرار‬
‫گرفتند‬
.
➢
‫کاخ‬
،‫پنتاگون‬،‫سفید‬
‫ناسا‬
‫و‬
‫بسیاری‬
‫از‬
‫وزارت‬
‫خانه‬
‫های‬
‫امریکا‬
‫هک‬
‫شدند‬
.
➢
‫علت‬
‫حمله‬
:
‫بی‬
‫توجهی‬
‫به‬
‫زنجیره‬
‫تامین‬
‫نرم‬
‫افزار‬
‫و‬
‫سواستفاده‬
‫هکر‬
‫ها‬
‫از‬
‫آن‬
➢
‫مهم‬
:
‫آثار‬
‫این‬
‫حمالت‬
‫در‬
‫آینده‬
‫مشخص‬
‫خواهد‬
‫شد‬
!

4. Research Problem
‫سوال‬
‫مهم‬
:
‫اعتماد‬
‫در‬
‫زنجیره‬
‫تامین‬
‫باید‬
‫باشد‬
‫یا‬
‫نه؟‬
!
‫دیدگاه‬
‫قدیمی‬
:
‫اعتماد‬
‫مثل‬
‫دارایی‬
‫است‬
‫هرچه‬
‫اعتماد‬
،‫بیشتر‬
‫دارایی‬
‫بیشتر‬
!
‫اعتماد‬
‫بیشتر‬
‫می‬
‫تواندباعث‬
:
●
‫کاهش‬
‫ریسک‬
●
‫افزایش‬
‫بهره‬
‫وری‬
●
‫صرفه‬
‫جویی‬
‫در‬
‫زمان‬
‫و‬
‫هزینه‬
●
‫خرید‬
‫و‬
‫فروش‬
‫بیشتر‬
●
‫سرعت‬
‫باالتر‬
●
‫انعطاف‬
‫پذیری‬
‫بیشتر‬

5. Research Problem
‫سوال‬
‫مهم‬
:
‫اعتماد‬
‫در‬
‫زنجیره‬
‫تامین‬
‫باید‬
‫باشد‬
‫یا‬
‫نه؟‬
!
‫دیدگاه‬
‫نوین‬
(
Zero Trust
)
:
‫اعتماد‬
‫زیاد‬
‫از‬
‫حد‬
‫خوب‬
‫نیست‬
!
‫در‬
‫این‬
‫دیدگاه‬
‫فرض‬
‫بر‬
‫این‬
‫است‬
‫که‬
‫درحال‬
‫حاظر‬
‫یک‬
‫مهاجم‬
‫در‬
‫شبکه‬
‫وجود‬
‫دارد‬
.
‫افزایش‬
‫اعتماد‬
‫می‬
‫تواند‬
‫زنجیره‬
‫تامین‬
‫را‬
‫در‬
‫خطر‬
‫بیشتری‬
‫قرار‬
‫دهد‬
.
‫نکته‬
‫مهم‬
:
‫پارادایم‬
ZT
‫با‬
‫بی‬
‫اعتمادی‬
‫متفاوت‬
‫است‬
.
‫طبق‬
‫این‬
‫پارادایم‬
‫هرکسی‬
‫می‬
‫تواند‬
‫مخرب‬
‫باشدمگر‬
‫اینکه‬
‫خالفش‬
‫ثابت‬
‫شه‬
(!
‫مهاجم‬
‫داخل‬
‫سیستم‬
‫است‬
)

6. Background(Zero Trust)
Zero trust
‫اشاره‬
‫به‬
‫مفاهیم‬
‫امنیتی‬
‫دارد‬
‫که‬
‫فرض‬
‫بر‬
‫این‬
‫است‬
‫که‬
،‫کاربران‬
‫‌ها‬
‫م‬‫سیست‬
‫و‬
‫‌ها‬
‫س‬‫سروی‬
‫بصور‬
‫ت‬
‫پیش‬
‫فرض‬
‫مورد‬
‫اعتماد‬
‫نیستند‬
‫و‬
‫‌بایست‬
‫ی‬‫م‬
‫در‬
‫هر‬
‫مرحله‬
‫تمام‬
‫کاربران‬
‫بیرون‬
‫یا‬
‫داخل‬
‫شبکه‬
‫برای‬
‫دسترسی‬
‫ب‬
‫ه‬
‫منابع‬
‫سازمانی‬
‫احراز‬
‫هویت‬
‫شوند‬
.
‫در‬
‫الگوی‬
Zero Trust
،
‫سازمان‬
‫به‬
‫هیچ‬
‫موردی‬
‫اعتماد‬
‫کامل‬
‫ندارد‬
‫و‬
‫مداوما‬
‫در‬
‫حال‬
‫بررسی‬
‫منابع‬
‫شبکه‬
‫و‬
‫کاربران‬
‫است‬
.
‫در‬
‫صورت‬
‫مشاهده‬
‫هرگونه‬
‫خطر‬
،‫احتمالی‬
‫عملیات‬
‫محدود‬
‫سازی‬
‫برای‬
‫کاهش‬
‫خطر‬
‫را‬
‫اجرا‬
‫‌کند‬
‫ی‬‫م‬

7. Zero Trust
‫شبکه‬
‫سازمان‬
‫به‬
‫بخش‬
‫های‬
‫کوچکتر‬
‫تقسیم‬
‫شده‬
‫و‬
‫‌های‬
‫ش‬‫رو‬
‫متفاوتی‬
‫برای‬
‫دسترسی‬
‫به‬
‫منابع‬
‫هر‬
‫بخ‬
‫ش‬
‫در‬
‫نظر‬
‫گرفته‬
‫‌شود‬
‫ی‬‫م‬
.
‫احراز‬
‫هویت‬
‫چند‬
‫فاکتوری‬
‫و‬
‫بررسی‬
‫اصالت‬
‫تجهیزاتی‬
‫که‬
‫درخواست‬
‫دسترسی‬
‫به‬
‫منابع‬
‫س‬
‫ازمان‬
‫را‬
‫دارند‬
‫یکی‬
‫دیگر‬
‫از‬
‫مفاهیم‬
‫اصلی‬
‫در‬
ZT
‫است‬
.
‫چرخه‬
‫فعالیت‬
‫در‬
‫پیاده‬
‫سازی‬
‫منطق‬
ZT
‫در‬
‫شبکه‬
‫سازمان‬
‫شامل‬
‫موارد‬
‫زیر‬
‫میباشد‬
:
●
‫مشخص‬
‫ساختن‬
‫‌هایی‬
‫ش‬‫بخ‬
‫از‬
‫سازمان‬
‫که‬
‫نیازمند‬
‫محافظت‬
‫هستند‬
●
‫شفاف‬
‫سازی‬
‫چرخه‬
‫‌های‬
‫ش‬‫تراکن‬
‫انجام‬
‫شده‬
‫در‬
‫شبکه‬
●
‫طراحی‬
‫معماری‬
ZT
‫بر‬
‫اساس‬
‫‌های‬
‫ی‬‫نیازمند‬
‫سازمان‬
●
‫ایجاد‬
‫خط‬
‫‌های‬
‫ی‬‫مش‬
‫حداقل‬
‫اعتماد‬
●
‫پایش‬
‫و‬
‫نگهداری‬
‫مستمر‬
‫سیستم‬

8. Zero Trust Architecture
‫این‬
،‫معماری‬
‫سازمان‬
‫را‬
‫در‬
‫مقابل‬
‫نشت‬
‫اطالعات‬
‫محافظت‬
‫‌نماید‬
‫ی‬‫م‬
‫و‬
‫حرکات‬
‫مشکوک‬
‫در‬
‫داخل‬
‫شبکه‬
‫را‬
‫محدود‬
‫‌کند‬
‫ی‬‫م‬
.
ZTA
‫به‬
‫ابزار‬
‫یا‬
‫تجهیزات‬
‫خاص‬
‫گفته‬
‫‌شود‬
‫ی‬‫نم‬
.
ZTA
‫نوعی‬
‫نگرش‬
‫است‬
‫که‬
‫داری‬
‫چندین‬
‫بخش‬
‫منطقی‬
‫است‬
.
‫این‬
‫‌ها‬
‫ش‬‫بخ‬
‫به‬
‫شکل‬
‫لوکال‬
‫و‬
‫یا‬
‫سرویس‬
‫ابری‬
‫پیاده‬
‫سازی‬
‫‌شوند‬
‫ی‬‫م‬
.

9. Methodology
ZT
‫یک‬
‫طرز‬
‫فکر‬
‫است‬
‫و‬
‫باید‬
‫به‬
‫صورت‬
‫تدریجی‬
‫و‬
‫افزایشی‬
‫اعمال‬
‫با‬،‫شود‬
‫توجه‬
‫به‬
‫شرایط‬
‫سازمان‬
‫باید‬
‫ت‬
‫صمیم‬
‫بگیریم‬
‫که‬
‫کی‬
‫و‬
‫کجا‬
ZT
‫اعمال‬
‫شود‬
.
‫نکته‬
‫مهم‬
:
‫پیاده‬
‫سازی‬
ZT
‫در‬
‫هر‬
‫شرکت‬
‫با‬
‫شرکت‬
‫دیگر‬
‫متفاوت‬
‫است‬
‫و‬
‫این‬
‫پیاده‬
‫سازی‬
ZT
‫را‬
‫سخت‬
‫می‬
‫کند‬
.
ZT
‫می‬
‫تواند‬
‫روی‬
‫نیاز‬
‫های‬
‫سیستم‬
‫تاثیرات‬
‫پیچیده‬
‫و‬
‫غیرقابل‬
‫پیش‬
‫بینی‬
،‫بگذارد‬
‫در‬
‫نتیجه‬
‫از‬
‫روش‬
‫ه‬
‫ای‬
‫مهندسی‬
،‫سیستم‬
‫تجزیه‬
‫و‬
‫تحلیل‬
‫نیاز‬
‫تجزیه‬،‫ها‬
‫و‬
‫تحلیل‬
‫فضای‬
‫کسب‬
‫و‬
‫کار‬
‫و‬
‫مدل‬
‫سازی‬
‫تصمیمات‬
‫برای‬
‫متن‬
‫اسب‬
‫سازی‬
‫و‬
‫ساختار‬
‫دهی‬
‫و‬
‫تسهیل‬
‫اجرای‬
ZT
‫در‬
‫زنجیره‬
‫تامین‬
‫استفاده‬
‫می‬
‫کنند‬
.

10. When and how to use zero trust?
‫نکته‬
:
ZT
‫می‬
‫تواند‬
‫منجر‬
‫به‬
‫کاهش‬
Performance
‫و‬
‫افزایش‬
Response Time
‫شود‬
!
‫در‬
‫نتیجه‬
‫قبل‬
‫از‬
‫اعمال‬
ZT
‫روی‬
‫زنجیره‬
‫تامین‬
‫باید‬
‫به‬
‫صورت‬
‫مرحله‬
‫ای‬
‫و‬
‫افزایشی‬
‫انرا‬
‫پیاده‬
‫سازی‬
،‫کنیم‬
‫و‬
‫باید‬
‫بررسی‬
‫شود‬
‫که‬
‫تامین‬
‫امنیت‬
‫ص‬
‫رفه‬
‫اقتصادی‬
‫برای‬
‫سازمان‬
‫دارد‬
‫یا‬
‫نه‬
!
‫؟‬
‫مراحل‬
‫اجرای‬
ZT
:
●
‫مرحله‬
1
:
‫رویکرد‬
‫امنیتی‬
‫مبتنی‬
‫بر‬
‫محیط‬
‫را‬
‫داریم‬
●
‫مرحله‬
2
:
‫مرحله‬
‫ترکیببی‬
(
‫هایبرید‬
)
‫که‬
‫در‬
‫آن‬
‫برخی‬
‫سیاست‬
‫ها‬
‫و‬
‫استراتژی‬
‫ها‬
‫اعمال‬
‫میشوند‬
‫و‬
‫برخی‬
‫دیگر‬
‫نه‬
!
●
‫مرحله‬
3
:
‫به‬
‫پیاده‬
‫سازی‬
ZT
‫نزدیک‬
‫شدیم‬
‫و‬
‫سازمان‬
‫به‬
‫خوبی‬
‫کار‬
‫می‬
‫کند‬
.
●
‫مرحله‬
4
:
ZT
‫در‬
‫تمامی‬
‫سیاست‬
‫ها‬
‫و‬
‫استراتژی‬
‫ها‬
‫اعمال‬
‫شده‬
‫است‬
(
‫ایده‬
‫ال‬
)
.
‫هدف‬
:
‫پیدا‬
‫کردن‬
‫نقطه‬
‫بهینه‬
‫است‬
‫که‬
‫در‬
‫آن‬
‫منافع‬
‫از‬
‫هزینه‬
‫ها‬
‫بیشتر‬
‫باشد‬
.

11. Conclusion
‫در‬
‫این‬
‫مقاله‬
‫از‬
‫فلسفه‬
‫و‬
‫معماری‬
ZT
‫در‬
‫زنجیره‬
‫تامین‬
‫استفاده‬
‫شده‬
،‫است‬
‫زنجیره‬
‫تامین‬
‫میتواند‬
‫بسیار‬
‫آسی‬
‫ب‬
‫پذیر‬
‫باشد‬
‫و‬
‫حفظ‬
‫امنیت‬
‫آن‬
‫بسیار‬
‫مهم‬
‫است‬
.
ZT
‫اماده‬
‫است‬
‫که‬
‫به‬
‫ما‬
‫کمک‬
‫کند‬
‫زنجیره‬
‫تامین‬
‫در‬
‫مقابل‬
‫خطرات‬
‫و‬
‫حمالت‬
‫مخرب‬
‫ایمن‬
‫شود‬
‫و‬
‫ریسک‬
‫های‬
‫موجود‬
‫کاهش‬
‫یابد‬
.
‫مزایای‬
ZT
‫در‬
‫زنجیره‬
‫تامین‬
:
●
‫پایداری‬
‫بیشتر‬
‫سیستم‬
●
‫کاهش‬
‫فساد‬
‫های‬
‫مالی‬
●
‫نجات‬
‫پیدا‬
‫کردن‬
‫افراد‬
●
‫بهتر‬
‫شدن‬
‫محیط‬
‫زیست‬
●
‫افزایش‬
‫بهداشت‬
●
‫کاهش‬
‫آالینده‬
‫ها‬
●
‫جلوگیری‬
‫از‬
‫ورود‬
‫کاالی‬
‫های‬
‫تقلبی‬
●
...

12. Future Work
‫یکی‬
‫از‬
‫مشکالت‬
‫پیاده‬
‫سازی‬
ZT
‫در‬
‫سازمان‬
‫این‬
‫است‬
‫که‬
‫سطح‬
‫اعتماد‬
‫در‬
‫بخش‬
‫های‬
‫مختلف‬
‫سازمان‬
‫متفاوت‬
‫است‬
‫و‬
‫همین‬
‫موضوع‬
‫پیاده‬
‫سازی‬
ZT
‫در‬
‫سازمان‬
‫را‬
‫مشکل‬
‫می‬
‫کند‬
.
‫همچنین‬
‫در‬
‫بحث‬
‫بستن‬
‫قرارداد‬
‫نیز‬
‫باید‬
‫یک‬
trade off
‫بین‬
‫حفظ‬
‫اعتماد‬
‫و‬
‫پیاده‬
‫سازی‬
ZT
،‫باشد‬
‫و‬
‫باید‬
‫مطالعات‬
‫بیشتری‬
‫در‬
‫خصوص‬
‫شکل‬
‫ایده‬
‫آل‬
‫روابط‬
‫تحت‬
‫قرار‬
‫داد‬
‫با‬
‫رویکرد‬
ZT
‫انجام‬
‫گیرد‬
.

13. My Idea
‫با‬
‫توجه‬
‫با‬
‫رشد‬
‫روز‬
‫افزون‬
‫حمالت‬
‫سایبری‬
‫استفاده‬
‫از‬
‫پارادایم‬
ZT
‫در‬
‫راستای‬
‫پزشکی‬
‫قانونی‬
‫دیجیتال‬
(
Digital
Forensic
)
‫یا‬
‫همان‬
‫جرم‬
‫شناسی‬
‫رایانه‬
‫ای‬
‫می‬
‫تواند‬
‫کمک‬
‫شایانی‬
‫در‬
‫دستیابی‬
‫به‬
‫نتایج‬
‫بهتر‬
‫در‬
‫این‬
‫حوز‬
‫ه‬
‫داشت‬
.

14. Thank You for Attention