2022年6月6日,RSAConference2022将在旧金山举行。今年RSAC的主题是“Transform”,被认为是RSAC2021年主题“Resilience”的进一步延伸和拓展。转型是当前很多企业不得不面对的问题。云计算、物联网、移动办公等新技术和新业务的加速融合,逐渐模糊了传统网络的边界,大到企业的灵活性,大到行业。网络安全行业正在转型,传统的边界防护手段已不足以有效应对新时代的威胁和挑战。在此背景下,以“从不信任,始终验证”为核心原则的零信任概念应运而生,并迅速成为热门话题。很多企业高管会考虑推出零信任安全策略,因为他们希望零信任安全策略的实施能够让企业的安全建设取得重大进展。根据云安全联盟(CSA)的一项新调查,零信任是80%的CxO技术领导者的重要业务优先事项,77%的高管表示他们将增加零信任安全构建方面的支出。加大对零信任的投入对很多企业来说意义重大,超过五分之二的高管表示,企业用于零信任安全建设的预算至少增加了26%。根据对全球800多名IT和安全专业人士的调查,包括200多名C级高管的回应,随着数字化转型的推进、疫情期间劳动力的转移以及美国网络安全的宣布行政命令,零信任成为保护企业的盾牌。该研究表明,对于大多数企业而言,零信任战略对于网络安全路线图来说仍然相对较新,53%的企业表示他们实施零信任战略的时间还不到两年。他们使用各种标准来指导战略规划,例如CISA、ForresterZTX、IEEE、NIST和CSA。引领潮流的是CISA标准,33%的组织报告说他们使用CISA符号作为其零信任战略的指导。零信任是一种不断发展的安全模型,它将许多长期运行的安全概念(最小特权、基于风险因素的条件访问和隔离)联系在一起——不仅在网络级别,而且在应用程序和工作负载级别。它的核心概念是在用户和设备使用密码登录后,消除IT长期以来对网络的无条件信任。实施零信任的目标是用更具适应性和持续评估的访问授权模型取而代之,该模型提供有限的访问权限,不仅基于身份,还基于操作和威胁环境。有很多部分可以做到这一点,包括强大的身份和访问管理(IAM)、有效的网络策略实施、强大的数据安全和有效的安全分析。很多企业在过去的安全建设中其实都对这些部分进行了投资,零信任策略只是对这些投入的资源进行重新整合和利用。因此,虽然许多企业表示他们的零信任之旅才一两年,但本次调查的受访者表示,他们已经在云计算和资产管理等核心零信任领域有了一些经验。在执行零信任策略时,基本策略、架构和集成工作会将冒名顶替者与竞争对手区分开来。RackTopSystems首席执行官EricBednash是国防和金融领域的长期安全和技术从业者,他表示,要让组织踏上零信任之旅,他们必须首先了解IT和安全堆栈如何结合在一起。“这是从深入了解企业的??整体架构和业务流程开始,您需要了解它们是如何组合在一起的。它超越了任何单一元素。而且你还必须记住,零信任不是一个具体的东西,而是一种哲学,”他说。“它更像是一种指导方针。而不是说,“这东西是零信任,这东西不是零信任。”简单地说,零信任是一种方法论,没有捷径可走,这就是为什么它如此难以实施的原因。”实施零信任战略需要足够的高管支持、足够的专业知识和人员配备以及明智的变革管理。根据CSA的调查,40%的企业报告缺乏专业知识,34%的企业表示他们没有内部协调或支持,23%的企业表示抵制变革阻碍了前进的道路。专家表示,克服这些业务和流程障碍需要外交手段和有纪律的沟通。“为了有效地管理变更,您需要采取行动并逐步实施。您可能知道自己想去哪里,甚至可能有网络解决方案的合同,但不要立即实施所有事情”,Perimeter首席执行官81“变革管理的艺术是知道要实施多少——所以不要一次改变太多,但也不要无限期地拖延这个过程,”首席执行官兼联合创始人AmitBareket说。
