如今,監(jiān)管合規(guī)已成為各行各業(yè)最為緊迫的挑戰(zhàn)之一�����。隨著全球監(jiān)管環(huán)境不斷發(fā)展,企業(yè)往往難以跟上新規(guī)則的要求�����、現(xiàn)有標(biāo)準(zhǔn)的更新以及跨司法管轄區(qū)的執(zhí)法趨勢(shì)���。同時(shí),新興技術(shù)的迅猛發(fā)展也給合規(guī)性帶來了前所未有的挑戰(zhàn)��。例如,人工智能等新技術(shù)在金融領(lǐng)域被廣泛應(yīng)用于客戶身份驗(yàn)證和交易監(jiān)控,而這些都是合規(guī)性要求的重要部分���。此外,不斷增加的網(wǎng)絡(luò)安全威脅也使得數(shù)據(jù)安全漏洞等問題成為企業(yè)安全合規(guī)的重要考量因素��。因此,有效應(yīng)對(duì)新技術(shù)帶來的合規(guī)性挑戰(zhàn)已成為企業(yè)迫切需要解決的問題之一。
據(jù)調(diào)查,超過一半 (57%)的公司計(jì)劃今年在數(shù)據(jù)監(jiān)管合規(guī)性上花費(fèi)更多時(shí)間和金錢�。數(shù)據(jù)合規(guī)性是確保組織及其系統(tǒng)滿足法律���、法規(guī)和運(yùn)營(yíng)數(shù)據(jù)要求的過程�����。可以說,數(shù)據(jù)合規(guī)是所有數(shù)據(jù)驅(qū)動(dòng)型業(yè)務(wù)的先決條件。確保數(shù)據(jù)安全合規(guī),有利于企業(yè)與客戶建立信任,保護(hù)公司免受數(shù)據(jù)泄露和合規(guī)違規(guī)行為的影響,包括代價(jià)高昂的處罰以及對(duì)商業(yè)聲譽(yù)的長(zhǎng)期影響���。
然而,由于數(shù)字技術(shù)促使數(shù)據(jù)應(yīng)用的場(chǎng)景和參與主體日益多樣化,數(shù)據(jù)安全的外延不斷擴(kuò)展,許多企業(yè)面臨著數(shù)據(jù)安全與合規(guī)的多重挑戰(zhàn),包括如何應(yīng)對(duì)不同地區(qū)不斷變化的法規(guī)、管理和保護(hù)數(shù)據(jù)過程中的復(fù)雜操作以及明確企業(yè)環(huán)境的邊界等。
企業(yè)維持?jǐn)?shù)據(jù)安全合規(guī)的主要挑戰(zhàn)
隨著技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)威脅變得日益復(fù)雜和難以預(yù)測(cè),黑客攻擊、數(shù)據(jù)泄露、勒索軟件等威脅不斷涌現(xiàn),給企業(yè)數(shù)據(jù)安全帶來了巨大的風(fēng)險(xiǎn)�����。同時(shí),隨著個(gè)人數(shù)據(jù)保護(hù)法規(guī)的推出,法律法規(guī)對(duì)企業(yè)處理個(gè)人數(shù)據(jù)的要求也越來越嚴(yán)格�。另外,企業(yè)還面臨著來自內(nèi)部的安全威脅,員工失誤、不當(dāng)行為或惡意行為可能導(dǎo)致數(shù)據(jù)泄露或?yàn)E用等問題���。
·?傳統(tǒng)安全架構(gòu)無法應(yīng)對(duì)不斷變化的法規(guī)要求
企業(yè)面臨復(fù)雜的法規(guī)要求,不同地區(qū)常見的監(jiān)管框架都有各自網(wǎng)絡(luò)安全合規(guī)方面的內(nèi)容,包括NIST 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、ISO /IEC 27001?���、PCI DSS?、GDPR��、CCPA���、SOC 2等����。這些合規(guī)標(biāo)準(zhǔn)通常要求組織通過持續(xù)監(jiān)控、深度可見性以及對(duì)內(nèi)部和外部用戶的強(qiáng)大訪問控制來防御網(wǎng)絡(luò)威脅。
許多公司嘗試傳統(tǒng)的網(wǎng)絡(luò)分段方法,例如使用傳統(tǒng)防火墻或 VLAN���。雖然改善了內(nèi)部和外部的訪問控制,但也存在挑戰(zhàn)。例如,PCI DSS 需要跨 CDE 進(jìn)行控制。即使放置防火墻也可能很困難,因?yàn)樵谕惶摂M機(jī)管理程序上的兩個(gè)容器或兩個(gè)虛擬機(jī)之間放置防火墻可能需要一組完全不同的技術(shù)和 API�。此外,通過這些方法更改分段策略以保護(hù)資產(chǎn)或使其超出范圍意味著更改基礎(chǔ)設(shè)施����。這通常涉及數(shù)據(jù)中心內(nèi)團(tuán)隊(duì)之間的大量協(xié)調(diào),無疑會(huì)導(dǎo)致不便�����。最后,對(duì)于傳統(tǒng)方法,可見性也是一個(gè)常見問題。企業(yè)缺乏有關(guān)東西向流量的實(shí)時(shí)和歷史數(shù)據(jù),很難證明超出范圍的系統(tǒng)與其 CDE 是分開的��。這種問題當(dāng)企業(yè)IT基礎(chǔ)設(shè)施包括動(dòng)態(tài)邊界時(shí)更是難以應(yīng)對(duì)��。
·?企業(yè)需要面對(duì)復(fù)雜的審核過程
對(duì)于安全團(tuán)隊(duì)而言,合規(guī)性評(píng)估是最消耗時(shí)間和資源的任務(wù)之一�����。當(dāng)企業(yè)向無邊界的數(shù)字環(huán)境及遠(yuǎn)程辦公轉(zhuǎn)變,這種挑戰(zhàn)變得更加嚴(yán)重。企業(yè)通常需要隔離微環(huán)境、為管制資產(chǎn)建立安全圍欄,以滿足各項(xiàng)合規(guī)性標(biāo)準(zhǔn)����。企業(yè)在面對(duì)復(fù)雜的合規(guī)要求的同時(shí),還需要應(yīng)對(duì)遠(yuǎn)程用戶���、公司本地用戶��、合作伙伴、供應(yīng)商等,這使得企業(yè)環(huán)境的邊界幾乎無法確定����。訪問控制是審核成功與否的重要因素之一���。安全團(tuán)隊(duì)在準(zhǔn)備審核時(shí),必須思考如何限制對(duì)敏感信息的訪問,以使其僅向授權(quán)用戶開放�、如何確定審核環(huán)境的范圍�����、如何簡(jiǎn)化審核過程并減少混亂等復(fù)雜問題,這無疑為企業(yè)增加了不少成本支出���。
·?勒索軟件攻擊數(shù)量的攀升
根據(jù)Cybersecurity Ventures預(yù)測(cè),到2031年,勒索軟件將每?jī)擅牍粢患移髽I(yè)����、一位消費(fèi)者或一臺(tái)設(shè)備��。勒索事件已經(jīng)成為各種規(guī)模企業(yè)面臨的最大挑戰(zhàn)之一。根據(jù)Akamai觀察,由于零日漏洞和一日漏洞的濫用, 2023年第一季度的勒索軟件受害者數(shù)量與 2022年第一季度同比增加?143%��。
Akamai分析,若企業(yè)具備以下特點(diǎn),勒索軟件團(tuán)伙將更有可能發(fā)起攻擊:
-?隱形信任,對(duì)用戶��、應(yīng)用程序和網(wǎng)絡(luò)的隱性信任讓成功入侵網(wǎng)絡(luò)的攻擊者能夠橫向移動(dòng)并傳播惡意軟件;
-?過度授權(quán)的訪問策略會(huì)導(dǎo)致可能注入勒索軟件的感染;
-?僅以密碼作為信任憑據(jù)的系統(tǒng)將會(huì)為憑據(jù)盜竊提供機(jī)會(huì)�����。
面對(duì)種種復(fù)雜的挑戰(zhàn),當(dāng)前企業(yè)迫切需要采用新的安全架構(gòu)來確保數(shù)據(jù)的安全和合規(guī)性,以應(yīng)對(duì)不斷增長(zhǎng)的安全威脅和監(jiān)管要求�。
Zero Trust破解合規(guī)性和網(wǎng)絡(luò)安全挑戰(zhàn)
為了應(yīng)對(duì)以上這些趨勢(shì)的挑戰(zhàn),一種新型安全方法應(yīng)運(yùn)而生——zero trust,它基于身份驗(yàn)證�、突破地點(diǎn)制約以及能夠采取主動(dòng)措施處理漏洞。Zero Trust安全架構(gòu)既能夠提供用于保障訪問安全的強(qiáng)大用戶身份,又能在攻擊發(fā)生時(shí)實(shí)施主動(dòng)抵御���。
·?顛覆傳統(tǒng),零信任面對(duì)復(fù)雜的監(jiān)管要求“得心應(yīng)手”
零信任模型是一種網(wǎng)絡(luò)安全戰(zhàn)略方法。它顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全范式,在這種范式中,企業(yè)網(wǎng)絡(luò)內(nèi)的用戶���、設(shè)備、應(yīng)用程序是隱式信任的��。采用零信任方法,組織內(nèi)部和外部的用戶�����、設(shè)備和應(yīng)用程序必須針對(duì)每個(gè)訪問 IT 資源的請(qǐng)求進(jìn)行身份驗(yàn)證和授權(quán)�����。 隨著遠(yuǎn)程工作、云計(jì)算和 BYOD 使傳統(tǒng)網(wǎng)絡(luò)邊界幾乎變得過時(shí),零信任安全有助于阻止網(wǎng)絡(luò)安全威脅并限制成功網(wǎng)絡(luò)攻擊的爆炸半徑��。
許多監(jiān)管框架需要強(qiáng)有力的數(shù)據(jù)保護(hù)措施�。零信任和微分段不僅通過嚴(yán)格控制和監(jiān)控對(duì)敏感數(shù)據(jù)的訪問來支持合規(guī)性,同時(shí)也有助于解決內(nèi)部威脅——對(duì)于需要防范內(nèi)部威脅的法規(guī),最小權(quán)限原則可確保每個(gè)用戶只能訪問任何任務(wù)所需的資源,從而降低惡意內(nèi)部人員帶來的風(fēng)險(xiǎn)。其次,零信任將有助于合規(guī)環(huán)境的細(xì)分�。使用微分段將網(wǎng)絡(luò)資產(chǎn)劃分為更小的安全控制區(qū)域,利用零信任可以滿足要求某些數(shù)據(jù)與 IT 基礎(chǔ)設(shè)施其他部分隔離的法規(guī)�����。最后,零信任原則可以擴(kuò)展到所有用戶(包括供應(yīng)商和第三方),這無疑極大地幫助組織確保了對(duì)嚴(yán)格控制供應(yīng)鏈安全法規(guī)的要求遵守���。
針對(duì)PCI DSS的合規(guī)性挑戰(zhàn),微分段技術(shù)通過細(xì)分網(wǎng)絡(luò)����、限制第三方用戶訪問權(quán)限以及提供實(shí)時(shí)可見性,幫助企業(yè)有效解決這一難題。相比傳統(tǒng)方法,基于軟件的微分段解決方案能夠顯著減小合規(guī)范圍,降低合規(guī)成本和工作量,并幫助組織滿足監(jiān)管要求�。實(shí)施PCI DSS微分段的步驟包括獲取可見性��、不依賴基礎(chǔ)設(shè)施、考慮抽象安全需求,并持續(xù)監(jiān)控和改進(jìn)策略,以適應(yīng)不斷變化的環(huán)境和威脅�����。
·?大幅簡(jiǎn)化合規(guī)流程并減少風(fēng)險(xiǎn)
采用Zero Trust 方法可有助于幫助企業(yè)簡(jiǎn)化合規(guī)流程并有效降低風(fēng)險(xiǎn)����。顯式驗(yàn)證以及支持最低訪問權(quán)限是 Zero Trust 的兩大關(guān)鍵能力,能夠大幅度簡(jiǎn)化合規(guī)工作流程。企業(yè)可以將管制資產(chǎn)與數(shù)據(jù)中心或云的其他流量隔離,并根據(jù)身份而非位置允許訪問���。借助監(jiān)測(cè)能力,企業(yè)可以看到監(jiān)管環(huán)境的進(jìn)出流量,確定范圍中的內(nèi)容。這能夠大幅降低審核的復(fù)雜性和成本,簡(jiǎn)化審核員的工作。同時(shí),零信任通過與微分段實(shí)現(xiàn)整合,將通過不斷驗(yàn)證數(shù)字交互的各個(gè)方面并主動(dòng)遵守側(cè)重于風(fēng)險(xiǎn)評(píng)估和管理的監(jiān)管要求來識(shí)別和減輕風(fēng)險(xiǎn)���。
·?強(qiáng)化勒索軟件防護(hù)盾
通過實(shí)施Zero Trust架構(gòu),訪問控制策略和微分段能夠最大限度地限制此類攻擊可能造成的破壞。攻擊者將更加難入侵系統(tǒng),而且擴(kuò)張能力也將受到限制。Zero Trust將分別從初始感染���、橫向移動(dòng)及數(shù)據(jù)泄露和加密等不同步驟進(jìn)行應(yīng)對(duì),加以防范。
如何以零信任守護(hù)安全合規(guī)零風(fēng)險(xiǎn)
我們建議企業(yè)可以采取以下策略,構(gòu)建零信任架構(gòu)以滿足合規(guī)安全需求:
1.?高管領(lǐng)導(dǎo):?在零信任項(xiàng)目團(tuán)隊(duì)中,最好由企業(yè)高管擔(dān)任領(lǐng)導(dǎo)角色,而非IT或安全團(tuán)隊(duì),以確保全面的零信任部署。企業(yè)高管具有更廣泛的視野和對(duì)企業(yè)戰(zhàn)略的深刻了解,能夠更好地協(xié)調(diào)各部門工作,推動(dòng)零信任在整個(gè)企業(yè)的有效實(shí)施。他們擁有更高的權(quán)力和決策能力,有助于推動(dòng)零信任部署的順利執(zhí)行。
2.?多角度評(píng)估成熟度:?企業(yè)在實(shí)施零信任前,最好參考行業(yè)指南,從用戶、數(shù)據(jù)�����、設(shè)備和云端等多個(gè)角度評(píng)估零信任的成熟度��。
3.?融入微分段技術(shù):?微分段技術(shù)可將網(wǎng)絡(luò)劃分為隔離的安全區(qū)域,作為零信任戰(zhàn)略的重要組成部分,有助于減少網(wǎng)絡(luò)攻擊面,提高數(shù)據(jù)和資源安全性�����。微分段技術(shù)使組織能夠快速識(shí)別和隔離網(wǎng)絡(luò)上的可疑活動(dòng)��。
4.?與專家緊密合作:?在零信任部署過程中,建議企業(yè)與專業(yè)的技術(shù)解決方案提供商合作,利用其技術(shù)和資源促進(jìn)跨部門���、跨團(tuán)隊(duì)的合作���。通過共同解決大方向上的問題,借助同一平臺(tái)搭建成功的零信任架構(gòu)���。
隨著各地對(duì)數(shù)據(jù)合規(guī)的立法越發(fā)健全,企業(yè)逐漸步入數(shù)據(jù)合規(guī)的“深水區(qū)”��。通過零信任架構(gòu)精細(xì)的權(quán)限管理,企業(yè)能夠更好地保護(hù)數(shù)據(jù)資產(chǎn)并確保合規(guī)性,將安全防御的重心從靜態(tài)的���、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到專注于用戶���、資產(chǎn)和資源,助力企業(yè)在不斷變化的數(shù)據(jù)保護(hù)和合規(guī)性世界中破浪前行�����。
( 劉炅 ?Akamai大中華區(qū)產(chǎn)品市場(chǎng)經(jīng)理 )
中企網(wǎng)微博
中企網(wǎng)微信