Cyber??RiskAlliance最近的一项研究揭示了一些关于零信任安全的惊人统计数据。虽然零信任一词可以追溯到近30年前,但只有35%的受访安全领导者表示他们非常熟悉这种做法。尽管近年来发生了多次安全事件,但同样比例的受访者对其零信任能力非常有信心。存在脱节的情况。根据我们的经验,虽然企业对零信任的兴趣越来越大,但许多安全领导者似乎对如何正确实施它感到困惑。许多人认为只要采用新产品或升级旧产品就可以解决问题。事实上,真正需要的是更好地理解零信任安全是什么——它如何结合产品、流程和人员来保护关键任务企业资产。零信任的概念很简单:“从不信任,总是验证”。对于习惯于顺畅轻松地访问信息的用户来说,这可能有些苛刻,但这是一项合理的政策。我们更喜欢用“相互猜疑”这个词,意思差不多。它的真正意思是,“这就是我;向我证明你是谁。”在某种程度上,这种做法和术语已经存在了一段时间,可以追溯到小型计算机和大型机时代。这一切都与良好的数字卫生有关。那么发生了什么变化?我们的环境在变化和扩展。现在,随着云、边缘设备和数据中心将更多端点暴露给网络攻击,企业被迫依赖防火墙以外的东西来阻止入侵者。组织需要调整他们的流程、人员和产品,以实现真正的零信任。该产品简单明了。从本质上讲,组织需要的是一套可以验证身份、位置和设备健康状况的安全技术,目标是最大限度地减少攻击半径并限制分段访问。虽然没有单一的产品或平台可以实现所有这些目标,但成功的零信任计划将包含身份管理、多因素身份验证和最小权限访问等元素。让员工参与零信任技术可用于覆盖所有攻击面并保护组织,但如果没有使用它们的人,它们就毫无意义。因此,将公司的成功和安全与其员工的成功和安全联系起来至关重要。这意味着优先考虑透明文化、开放沟通、对流程的信任以及对彼此完成工作的能力的信心。为了在企业文化中成功实施零信任技术,组织需要让员工参与到这个过程中。简单地推出自上而下的任务并期望它自动成功是不可行的。提醒员工现在正在发生的事情,实施零信任的过程将需要什么,零信任将如何影响和有益于员工自身和公司,需要注意什么,以及他们如何支持零信任的过程。通过让员工参与进来并挑战他们对潜在威胁的合理怀疑,雇主正在他们的组织结构中播下安全的种子。一旦员工了解了正在发生的事情以及零信任的价值,他们就会感到被信任并有能力成为更广泛的网络安全网络的一部分。这使员工能够主动识别对企业的内部和外部威胁,从而覆盖所有攻击面并培养良好的安全卫生习惯。重新评估流程零信任安全需要对整个组织的流程进行重大改革。组织可以采取的最重要步骤之一是定义和评估其数据安全环境的各个方面。这包括确定所有非结构化数据在组织中的存储位置、特定数据存储用于什么业务目的、谁可以访问这些数据以及实施了哪些类型的安全控制。全面的权利评估将有助于指导制定全面的访问管理政策。有些资产需要零信任保护,有些则不需要。连接到网络的所有设备都需要考虑在内,以保护它们免受外部网络钓鱼攻击。可以在零信任环境中帮助组织的一项关键技术机制是不变性——创建无法修改或删除的数据副本。这可确保组织不会丢失数据或使其落入坏人之手。一个被忽视的做法是为整个组织确定一个通用的零信任框架。因为让团队在一个又一个项目中解释令人困惑的约定或重新定义“零信任”的含义没有任何好处。最后,也许是最重要的是,组织需要重新评估和修改他们的零信任流程。这就像去健身房:锻炼成为一种生活方式,活跃的人们一直在调整他们的锻炼方式。安全也是如此,零信任是一个持续的过程,它没有尽头。保持灵活性随着时间的推移,网络威胁格局将继续演变。采用零信任方法的组织需要继续制定全面的计划,然后不断修改其技术、流程和人员实践以满足未来的需求。
