CyberRisk Alliance最近的一项研究揭示了一些关于零信任安全的惊人的数据。虽然这零信任一术语可以追溯到近30年前,但只有35%受访的安全部门领导者表示非常熟悉这种做法。尽管近年来安全事件频发,仍有同样比例的受访者对他们的零信任能力非常有信心。
有一个脱节的情况。根据我们的经验,虽然企业对零信任的兴趣正在增长,但许多安全部门的领导者似乎对如何正确实施它感到困惑。很多人认为只需采用新产品或升级旧产品即可解决问题。事实上,真正需要的是更好地理解什么是零信任安全——它如何结合产品、流程和人员来保护关键任务的企业资产。
零信任的概念很简单:“永不信任,始终验证”。对于已经习惯于顺畅和轻松地访问信息的用户来说,这可能有些苛刻,不过它的确是一个合理的政策。我们更喜欢使用“互相怀疑”这个词,它也有类似的意思。这实际上意味着,“这是我;向我证明你是谁。”
在某种程度上,这种做法以及这个术语都已经有一定的年头了,可以追溯到小型计算机和大型机的年代。这一切都是为了实现良好的数字卫生。那什么改变了呢?我们的环境发生了变化和扩展。现在,随着云、边缘设备和数据中心为网络攻击暴露了更多的端点,企业不得不依靠防火墙以外的东西来阻止入侵者。
组织需要使其流程、人员以及产品保持一致,以实现真正的零信任。
产品是简单直接的。从本质上讲,组织需要的是一整套能够验证身份、位置和设备健康状况的安全技术,目标是最小化攻击半径并限制分段访问。虽然没有单一的产品或平台可以实现所有这些目标,但成功的零信任计划将包含身份管理、多因素身份验证和最低权限访问等要素。
让员工参与进来
零信任技术可用于覆盖所有攻击面并保护组织,但如果没有使用它们的人,它们就毫无意义。因此,将公司的成功和安全与员工的成功和安全联系起来至关重要。这意味着优先考虑透明的文化、开放的沟通、对流程的信任以及对彼此行事能力的信心。
为了在企业文化中成功实施零信任技术,组织需要让员工参与这一过程。仅仅只是推出一个自上而下的任务,然后期望它会自动成功,这是不可行的。提醒员工现在正发生什么,实施零信任的过程需要什么,零信任如何影响和惠及员工自身以及公司,需要注意什么,以及他们可以如何支持零信任的过程。
通过让员工参与进来,并挑战他们对潜在威胁的合理怀疑,雇主正在他们的组织架构中播下安全的种子。一旦员工了解了正在发生的事情和零信任的价值,他们会感到被信任,以及有权成为更广泛的网络安全网络的一部分。这使员工能够主动积极地识别企业面临的内部和外部威胁,从而覆盖所有攻击面,并培养良好的安全卫生。
重新评估流程
零信任安全需要对整个组织流程进行大改造。
组织可以采取的最重要的措施之一是定义和评估其数据安全环境的各个方面。这包括确定组织中所有非结构化数据存储在哪里,特定的数据存储有何种业务目的,谁可以访问这些数据以及已经实施了什么样的安全控制类型。全面的权限评估将有助于指导制定一个全面的访问管理政策。有些资产需要零信任保护,有些则不需要。所有连接到网络的设备都需要被考虑到,以便它们能够抵御外部的网络钓鱼攻击。
在零信任环境中,可以帮助组织的一项关键技术机制是不变性——创建不可修改或删除的数据副本。这可以确保组织不会丢失数据或让数据落入坏人之手。
一个被忽视的实践是为整个组织确定一个通用的零信任框架。因为让团队在一个接一个的项目上解释令人困惑的惯例或重新定义“零信任”的含义,这一点好处都没有。
最后,也许也是最重要的,组织需要重新评估和修改组织的零信任流程。这就像去健身房:锻炼成为了一种生活方式,积极锻炼的人一直在调整他们的锻炼方式。安全方面也是如此,零信任是一个持续的过程,它没有结束的时候。
保持灵活性
随着时间的推移,网络威胁版图将继续演变。采取零信任方法的组织需要继续制定全面的计划,然后不断修改他们的技术、流程和人员实践以满足未来的需求。