好的“零信任网络安全计划”,都有这三个特点

传统上,各组织采用的网络安全方法都遵循罗纳德·里根(Ronald Reagan)总统的名言:“信任,但核实”。这意味着,只要满足简单的标准,大多数用户和活动都被认为是“安全的”,比如从网络。

 

然而,随着来自外部和内部组织的现代威胁的数量、速度和复杂性的不断增加,“信任,但验证”已不再足够。相反,高级安全专业人员和他们的团队必须朝着零信任的方向发展,这种方法建议“永远不要信任,一定要核实。”

 

要完全接受零信任并从中受益,企业应该从将其带入整个网络环境的意图开始:用户(人类和系统帐户)、应用程序(内部部署和云)、数据(结构化和非结构化)和网络(企业网络和云接入点/GA泰威)。以下三点考虑有助于组织朝着更强大的零信任安全方法迈进。

 

一、设计采用

虽然组织必须将其整个网络环境视为零信任,但它们不能在一夜之间做出全面的、企业范围内的安全更改。成功地采用零信任需要一种深思熟虑的方法:它不仅要调整过程和技术,还要改变文化心态。

 

为了开始走向零信任模式,组织应该进行风险评估,以确定“皇冠宝石”的优先级,即它们最敏感和/或最关键的数据资产和相应的访问。一个好的开始是使用受特权访问管理(pam)工具和流程约束的资产和帐户。首先关注最高优先事项,然后分阶段进行,以鼓励更顺利地接受作为本组织安全文化的一部分。

组织还需要对新的和更新的系统应用零信任原则。当一个新的应用程序被引入时,不要在接近尾声的测试阶段开始对软件开发生命周期(sdlc)应用零信任和安全考虑;从一开始就让它成为过程的一部分。

 

二、验证连续体

验证连续体是不断验证哪些访问和活动是允许的关键实践。首先,确定或与组织访问策略保持一致。这是关键的、基础性的一步,它将为个人访问决策制定标准。

 

另一个关键因素是与业务利益相关者和身份治理和管理团队合作,为帐户和访问请求、更改和删除设置流程和工具。igapam工具通过建立一个可信任的身份库,以及他们可以访问哪些资源和在那里可以执行哪些活动,来支持控制和自动化这些过程。定期、持续地审查这些平台中的数据。

 

组织还应审查其结构化和非结构化数据。非结构化数据值得特别关注。是在公司笔记本电脑,个人电话,还是其他设备上?哪些组织数据治理过程和实践保护它?考虑一下网络。流量分析有助于为微分段和额外的访问控制点和策略构建蓝图。

 

机器学习也支持零信任验证连续体。随着高度自动化的分析工具检测到异常的用户行为,例如在非公司地点的一个晚上的某个时间可疑地试图提取客户信用卡信息,他们可以与其他安全工具一起发送警报并立即锁定数据。

 

三、交易验证

在事务运行时对用户进行多步验证对于零信任至关重要。通过结合多因素身份验证(mfa)、基于风险的身份验证或自适应身份验证,组织对试图使用被盗凭据获取组织数据的恶意参与者设置了额外的障碍。

 

曾经有一段时间,“信任,但核实”可能已经足够了。但这一天已经过去很久了,还有一个概念,即基于周界的安全模型为组织提供足够的保护。零信任带来了更全面和警惕的战略。

虽然零信任关系到技术解决方案和策略,但也关系到改变组织中每个人(领导层、IT和用户)感知数据资产和适当访问数据资产的方式。通过确定组织资产的优先顺序并采用分阶段的实施方法,在组织变革管理的支持下,必要的文化转变将更容易实现。通过实施持续的多层验证和增强身份验证实践,安全领导人及其团队证明零信任不仅仅是一个好主意,而是一个好主意。

发表评论