77%的高管將增加對零信任安全建設的支出

安全 2022-06-11 04:00

聲明：該文章來自（FreeBuf）版權由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務。

2022年時間6月6日，RSA Conference 2022在舊金山召開。本屆RSAC的主題為“Transform(轉型)”，被認為是RSAC 2021年主題“彈性”的進一步延伸和拓展。轉型在當下，是很多企業(yè)不得不面對的問題，像云計算、物聯(lián)網(wǎng)、移動辦公等新技術與業(yè)務的加速融合，讓傳統(tǒng)網(wǎng)絡邊界逐漸變得模糊，小至企業(yè)之彈性，大至行業(yè)之轉型，網(wǎng)絡安全產(chǎn)業(yè)正處于變革之中，傳統(tǒng)邊界防護手段已不足以有效應對新時代的威脅與挑戰(zhàn)。

在此背景下，以“從不信任、始終驗證”為核心原則的零信任概念應運而生，并迅速成為熱門話題。很多企業(yè)高管將考慮開展零信任安全策略，因為他們希望零信任安全策略的實施可以讓企業(yè)的安全建設取得明顯進展。根據(jù)云安全聯(lián)盟(CSA)的一項新調查，對80%的CxO技術領導者來說，零信任是企業(yè)的重要事項，77%的高管表示他們將增加對零信任安全建設的支出。

增加對零信任的投入對很多企業(yè)來說具有重大意義，超過五分之二的高管稱企業(yè)在零信任安全建設方面的預算增加了至少26%。

根據(jù)對來自對全球800多名IT和安全專業(yè)人士的調研，以及包括200多名C級高管的回答，隨著數(shù)字化轉型的推進、疫情期間勞動力的轉移以及美國網(wǎng)絡安全行政命令的宣布，零信任已成為保護企業(yè)的一道盾牌。該研究表明，對于大多數(shù)企業(yè)來說，零信任策略仍然是一個相對較新的網(wǎng)絡安全路線圖，53% 的企業(yè)表示他們開始實施零信任策略的時間還不到兩年。他們用來指導戰(zhàn)略規(guī)劃的標準五花八門，比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的領跑者要數(shù)CISA標準，有33%的企業(yè)報告說他們使用的正是CISA的標注作為他們的零信任戰(zhàn)略指導。

零信任是一種不斷發(fā)展的安全模型，它將許多長期運行的安全概念(最小特權、基于風險因素的有條件訪問和隔離)聯(lián)系在一起——不僅在網(wǎng)絡級別，而且在應用程序和工作負載級別。其核心概念是消除IT長期以來在用戶和設備使用密碼登錄后對網(wǎng)絡的無條件信任。

實施零信任的目的是用一種更具適應性和持續(xù)評估的授予訪問權限的模式來代替它，該模式提供有限的訪問權限，并且不僅基于身份，還基于操作和威脅環(huán)境。執(zhí)行此操作需要很多部分，包括強大的身份和訪問管理 (IAM)、有效的網(wǎng)絡策略執(zhí)行、強大的數(shù)據(jù)安全性和有效的安全分析。很多企業(yè)在過去的安全建設中其實已經(jīng)有過對這些部分投入，而零信任策略只是重新整合和利用這些已經(jīng)投入過的資源。

因此，盡管許多企業(yè)表示他們開始零信任之旅才一兩年，但這項調查的受訪者表示，他們在終端/設備成熟度、應用安全、IAM、數(shù)據(jù)流管理、網(wǎng)絡安全管理、用戶行為和資產(chǎn)管理等核心零信任領域已經(jīng)有一些經(jīng)驗了。

在執(zhí)行零信任策略時，基本策略、架構和集成工作會將冒牌者與競爭者區(qū)分開來。RackTop系統(tǒng)公司的首席執(zhí)行官兼國防和金融領域的長期安全和技術從業(yè)者Eric Bednash表示，組織要想開展零信任之旅，他們必須先了解IT和安全堆棧如何結合?！斑@是關于從對企業(yè)整體架構和業(yè)務流程的深入了解開始，你需要了解它們如何聯(lián)系在一起。它超越了任何單一元素。而且你還要記住，零信任不是一件具象化的東西，而是一種理念，“ 他說?！八袷且环N指導方針。而不是說，’這東西是零信任，這東西不是零信任?！?簡單來說，零信任是一種方法論，它沒有捷徑可走，這就是為什么它如此難以實施的原因。”

實施零信任策略需要高管的充分支持、足夠的專業(yè)知識和人員配備，以及明智的變革管理。根據(jù)CSA調查，40%的企業(yè)表示缺乏專業(yè)知識，34%的企業(yè)表示他們沒有內部協(xié)調或得到支持，23%的企業(yè)表示抵制變革阻礙了前進的道路。專家表示要克服這些業(yè)務和流程障礙需要外交和有紀律的溝通?！盀榱擞行У毓芾碜兓?，你需要開展行動并逐步的實施。你可能知道你想去哪里，你甚至可能已經(jīng)為你的網(wǎng)絡解決方案簽訂了合同，但不要一次實施所有事情”，Perimeter 81首席執(zhí)行官兼聯(lián)合創(chuàng)始人Amit Bareket說，“變革管理的藝術在于知道要實施多少——所以不要一次改變太多，但也不要無限期地拖延這個過程?！?/p>

關注我們