2013年广为人知的塔吉特(Target)数据泄露事件导致7000万客户的个人数据丢失, 4000万张信用卡和借记卡信息被盗, 公司花费了超过2.5亿美元来处理这一漏洞,并更换了首席执行官(CEO)和首席信息官(CIO)连本世纪最严重的15起违规事件都排不上. 但这可能并不令人意外. 在网络安全领域,这已成为常态. 但应该是这样吗?? 我们能承受后果吗?
我有幸定期与几位安全领导和从业人员交谈, 他们中的许多人经常表达一组共同的担忧:不断变化的威胁形势, 没有足够的人, 收到太多的提醒(有些人甚至不再看它们), 必须遵守新的法规遵从性规定,必须适应业务中的变化, 技术与市场(e. g.(全球流行病). 换句话说,我们确实在努力工作,但违规行为仍在发生. 随着越来越多的远程工作人员的出现,商业对技术的依赖持续加速,我们能跟上吗, 云应用程序, 连网设备和业务风险? 我们的成功不仅取决于安全功效,还取决于安全效率和简单性. A 来自(ISC)的最新研究2 表明到2019年底,全球技能短缺超过400万专业人员, 自2018年底以来增加了100多万.
传统的“信任但要验证”的方法是造成安全性不足的一个重要因素, 附加式和响应式架构(和解决方案)使安全性变得复杂和昂贵. 检测威胁,评估真实vs. 假警报, responding to incidents holistically and doing it all in a timely fashion demands a sizeable security workforce; a strong, well-practiced playbook; and an agile security model. 正如我们多年来所了解的那样, 这在实践中很难实现,对于中小型组织和预算较少的组织来说更是如此. 尽管在过去的几年里停留时间减少了, 攻击者通常花费数天, 几周或几个月后才被发现. 欧盟通用数据保护条例(GDPR)等法规要求在72小时内报告应通报的数据泄露, 尽管平均停留时间为56天, 未被内部发现的违规行为将上升至141天.
Forrester分析师John Kindervag说 在2009年设想了一个新的方法,被称为“零信任”.它建立在这样一种信念之上:信任本身就代表着一种漏洞,安全必须以“永不信任”的方式设计到商业中, 始终验证”模型.
当您考虑当前的终端用户计算模型时, 与19世纪中期的医生没有太大区别, 谁会在验尸到分娩的过程中不洗手呢 在不知情的情况下将细菌传播给病人. 我们上网, 充满了潜在的有害元素, 然后使用相同的端点访问敏感资产和信息. 当攻击者利用最终用户的信任渗透端点时,正是利用这种未经消毒的访问, 偷的凭证, 利用操作系统窃取敏感资产并加密数据, 作为传输路径的应用程序或策略漏洞.
尽管大多数安全专业人员都明白零信任是一种体系结构, 并不是每个人都清楚零信任是否对他们有用. 重要的是要考虑采用零信任需要什么,以及存在哪些挑战. 除了, 现在营销引擎开始滥用这个词, 很难知道从哪里开始. 简单的答案是,零信任的概念涵盖了几种不同的技术, 从知名的解决方案(如身份和访问管理(IAM))到较新的技术(如远程浏览器隔离). 你的零信任之旅取决于你的风险面——没有一条特定的路径,没有供应商会告诉你其他的.
我们都在努力奔跑, 但有时后退一步,看看我们正在朝着什么方向奔跑,会有所帮助. 有时候,像“洗手”这样简单的步骤就可以挽救成千上万的生命.
编者按: 想要进一步了解这个话题,请阅读拉吉夫Raghunarayan最近在《澳门赌场官方下载》上发表的文章, “利用零信任安全”, ISACA杂志,第6卷,2020年.