零信任数据安全迎来适时转变机遇

90个网络和数据安全相关法律法规打包下载

毕业季，谨防日益严重的招聘诈骗

网络安全的世界里如何培养良好的安全习惯

如何保护不再存在的东西？随着混合远程工作、物联网、API 和应用程序的快速扩展，网络边界的任何概念都已被有效消除。此外，无论喜不喜欢，技术堆栈组件固有的任何风险都会成为风险。

各种规模的组织都越来越容易受到攻击，因为它们的攻击面不断扩大并且变得更加难以（如果不是不可能的话）定义。加上地缘政治和经济不稳定，网络攻击的危险已经高得惊人。从破坏性的勒索软件攻击到泄露敏感的客户数据，风险是有形的，而且可能具有破坏性。

在当前背景下，零信任已成为迄今为止最普遍的安全策略。零信任背后的基本思想很简单：什么都不信任；验证一切。零信任使组织能够采用整体安全方法来验证与其网络和数据交互的所有用户、设备和系统的可信度和真实性。随着攻击不断升级，公司意识到零信任对于企业生存至关重要。

与任何实质性的战略变化一样，实施零信任可能很困难。虽然许多公司已经开始了这一旅程，但很少有公司成功实施了组织范围内的零信任安全方法。事实上，Gartner预测，到 2026 年，只有 10% 的大型企业将拥有成熟且可衡量的零信任计划。

有什么方法可以促进更快地转向零信任？

推进零信任安全

零信任更像是一种安全理念，而不是一种安全架构。因此，成功过渡到零信任安全需要强有力的领导。企业领导者必须避免误以为零信任只是另一套安全工具。如果操作得当，采用零信任将负责整个组织的新核心安全策略。这需要有人声称拥有推动变革的所有权。

对这种新方法的需求有多重要？根据国防部首席信息官约翰谢尔曼的说法，五角大楼计划到 2027 年在其整个企业中实施零信任架构。总统执行办公室关于政府范围内的零信任目标的公告进一步支持了这一点。顶级支持对于推进零信任实施至关重要。

零信任治理的关键概念

随着安全边界模型已经过时，上下文已成为构想安全网络和数据的最可行方式。问题是谁（或哪些软件或机器）应该有权访问什么、何时访问以及访问多长时间？零信任要求安全团队捕获并使用来自整个企业的信息来创建上下文。这使得能够对每个连接的可信度做出快速和自动化的决策。考虑到当今攻击面的流动性，执行必须是连续的并且有 AI 辅助。

由于未能掌握所需的基础治理，组织经常在零信任方面失误。一旦完全理解了这些概念，就可以选择正确的工具来使零信任成为现实。

零信任治理模型由以下因素决定：

• 上下文定义。上下文意味着了解用户、数据和资源，以创建与业务保持一致的协调安全策略。此过程需要根据风险发现和分类资源。从那里定义资源边界，并根据角色和职责对用户进行分类。

• 验证和执行。通过快速一致地验证上下文和执行策略，零信任提供适应性强但安全的保护。这需要 AI 辅助监控并根据策略条件验证所有访问请求，以快速一致地授予对正确资源的正确访问权限。

• 事件解决。通过有针对性的行动解决安全违规有助于减少对业务的影响。这需要准备和特定于上下文的操作，例如撤销单个用户或设备的访问权限、调整网络分段、隔离用户、擦除设备、创建事件票或生成合规报告。

• 分析与改进。持续改进是通过调整政策和实践来做出更快、更明智的决策来实现的。这需要不断评估和调整策略、授权操作和补救策略，以保护每项资源。

不实施零信任安全的风险

IBM Security X-Force 威胁情报指数 2023显示，网络钓鱼仍然是攻击者获取敏感数据和网络访问权限（占评估事件的 41%）的首要方式。例如，LockBit可能是当今最活跃和最危险的勒索软件。仅在过去几周，就有报道称该威胁组织入侵了英国皇家邮政、阿根廷 Grupo Albanesi、印度化工企业 SRF、美国南部 200 多家 CEFCO 便利店和葡萄牙水务局。

LockBit 通常通过网络钓鱼和社会工程技术获得立足点。虽然员工的网络意识有所不同，但有限数量的网络钓鱼尝试可能会导致违规。一旦 LockBit 攻击者获得进入权，他们将寻求提升访问权限。

特权用户可以提升对关键系统、数据和功能的访问权限。但安全解决方案必须审查、监控和分析其高级权限以保护资源。作为零信任的基石，特权访问管理(PAM) 及其兄弟身份和访问管理(IAM) 可以发现未知账户、自动重置密码并监控异常活动。

PAM 是零信任策略在整个生命周期中管理、保护和审计特权帐户的一种方式。相同的安全措施可以应用于设备、服务器和其他具有管理权限的端点。PAM 和 IAM 都是现在可用的工具，这些方法可以成功地检测和阻止试图访问敏感数据的类似 Lockbit 的入侵者。

另一种方法是依靠员工网络培训、无效的防火墙和过时的第一代身份即服务 (IDaaS) 解决方案来捕获可能潜伏在网络中数月后才被发现的入侵者。

零信任确保新的无边界现实

现代安全应该允许在任何设备上的任何地方工作，并可以访问任何生态系统中的工具和数据。它应该提供跨所有领域的实时上下文。与此同时，威胁的严重性和复杂性继续增加。这就是组织迅速采取行动实施零信任解决方案的原因。利用标准的、基于云的身份验证平台将是实现零信任身份服务现代化的关键的第一步。

总之，零信任已经远远超出了概念阶段。在一些企业中，它已经支持了数千万个内部和外部身份。随着网络威胁的增加，现在是零信任的时候了。

>>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 回看等级保护：重要政策规范性文件43号文（上） 网络安全等级保护实施指南培训PPT 网络安全等级保护安全物理环境测评培训PPT 网络安全等级保护：等级保护测评过程要求PPT 网络安全等级保护：安全管理中心测评PPT 网络安全等级保护：安全管理制度测评PPT 网络安全等级保护：定级指南与定级工作PPT 网络安全等级保护：云计算安全扩展测评PPT 网络安全等级保护：工业控制安全扩展测评PPT 网络安全等级保护：移动互联安全扩展测评PPT 网络安全等级保护：第三级网络安全设计技术要求整理汇总 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：什么是等级保护？ 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 工业控制系统安全：DCS风险与脆弱性检测要求思维导图 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 Mozilla通过发布Firefox 111修补高危漏洞 Meta 开发新的杀伤链理论 最佳CISO如何提高运营弹性 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 低代码/无代码开发对安全性和生产力的影响 源代码泄漏是新的威胁软件供应商应该关心的吗？

原文始发于微信公众号（祺印说信安）：零信任数据安全迎来适时转变机遇