零信任是企業(yè)保護(hù)系統(tǒng)免受網(wǎng)絡(luò)攻擊的黃金標(biāo)準(zhǔn),但企業(yè)必須避免許多常見(jiàn)的實(shí)施陷阱。零信任策略是指任何人都不能在未經(jīng)驗(yàn)證的情況下使用企業(yè)的數(shù)字資源。這不僅涉及進(jìn)入系統(tǒng)時(shí)的驗(yàn)證,還涉及個(gè)人在系統(tǒng)內(nèi)移動(dòng)時(shí)的驗(yàn)證。
之所以需要這樣一個(gè)嚴(yán)格的制度,是因?yàn)槿绻W(wǎng)絡(luò)罪犯或自動(dòng)代理一旦進(jìn)入系統(tǒng),就沒(méi)有驗(yàn)證檢查,他們可能會(huì)破壞系統(tǒng)并在系統(tǒng)內(nèi)自由移動(dòng)。因此,零信任已經(jīng)成為當(dāng)今企業(yè)環(huán)境中網(wǎng)絡(luò)安全的黃金標(biāo)準(zhǔn)。
實(shí)施零信任需要對(duì)整個(gè)技術(shù)資產(chǎn)進(jìn)行徹底檢查。該企業(yè)需要識(shí)別其技術(shù)和人力方面的弱點(diǎn),并找出如何最好地填補(bǔ)漏洞。這應(yīng)該在對(duì)日常工作量的干擾最小的情況下進(jìn)行,并理解零信任不是一次性的解決方案,而是一個(gè)不斷發(fā)展的想法。
然而,實(shí)施這樣的制度并非沒(méi)有潛在的陷阱和痛點(diǎn)。這是一個(gè)耗時(shí)且復(fù)雜的過(guò)程,需要來(lái)自整個(gè)企業(yè)的許多角色以及外部專(zhuān)業(yè)知識(shí)的投入。
1.未能超越企業(yè)網(wǎng)絡(luò)
當(dāng)混合工作成為常態(tài)時(shí),人們將使用各種方式的工作地點(diǎn),包括他們的家庭和公共網(wǎng)絡(luò)。一切都是攻擊面的一部分,企業(yè)不應(yīng)該信任任何東西。每個(gè)端點(diǎn)都是一個(gè)潛在的漏洞。
這還包括可能位于網(wǎng)絡(luò)外部的設(shè)備,例如打印機(jī)、安全攝像頭和其他物聯(lián)網(wǎng)(IoT)設(shè)備。
在工作開(kāi)始之前,需要對(duì)設(shè)備進(jìn)行全面審核,并制定保護(hù)每臺(tái)設(shè)備的策略,并確保每臺(tái)設(shè)備根據(jù)需要定期更新。
2.實(shí)施零信任過(guò)快
實(shí)施零信任方法可能需要對(duì)技術(shù)以及人們開(kāi)展日常業(yè)務(wù)的方式進(jìn)行重大改變。走得太快,很容易出錯(cuò)。在實(shí)施時(shí)或以后,單個(gè)設(shè)備或應(yīng)用可能會(huì)成為漏網(wǎng)之魚(yú)。
確保所有硬件和軟件,都是最新的并經(jīng)過(guò)修補(bǔ)是零信任的核心方面。確保每一件硬件和軟件都是已知的,并且其安全性可以隨時(shí)優(yōu)化,這需要時(shí)間。重要的是從一開(kāi)始就分配足夠的時(shí)間來(lái)管理一切,并制定流程來(lái)確保現(xiàn)有和新的收購(gòu)能夠得到滿(mǎn)足。
3.忽略最低權(quán)限訪問(wèn)原則
最低權(quán)限訪問(wèn)是指確保用戶(hù)僅具有最低權(quán)限級(jí)別,來(lái)執(zhí)行他們需要執(zhí)行操作的策略。它旨在嚴(yán)格控制對(duì)資源的訪問(wèn),并防止通過(guò)系統(tǒng)進(jìn)行的那種對(duì)不良行為者最有幫助的大規(guī)模訪問(wèn)。
然而,它可能難以實(shí)施,尤其是在多云環(huán)境中,數(shù)據(jù)和應(yīng)用由不同的提供商托管,每個(gè)提供商都有不同的策略和安全協(xié)議。最終,預(yù)算、可用時(shí)間和純粹的工作量可能意味著內(nèi)部團(tuán)隊(duì)分配的權(quán)限超出了必要范圍。
使用一類(lèi)稱(chēng)為權(quán)限管理或云基礎(chǔ)設(shè)施權(quán)限管理的軟件,可以集中管理對(duì)多種軟件、系統(tǒng)、設(shè)備和云平臺(tái)的訪問(wèn)。
4.未能以用戶(hù)為中心
一個(gè)企業(yè)的員工并不是唯一需要與之合作的利益相關(guān)者。也可能有承包商、供應(yīng)商、采購(gòu)商、交付合作伙伴等。向用戶(hù)介紹新的協(xié)議、需要跳過(guò)的障礙和流程,而不了解這些是否被視為障礙可能會(huì)引起不滿(mǎn),并助長(zhǎng)不合規(guī)策略。圍繞安全協(xié)議工作的用戶(hù)是制造風(fēng)險(xiǎn)的用戶(hù)。
關(guān)于如何實(shí)現(xiàn)遵守安全協(xié)議的高質(zhì)量用戶(hù)教育,只是解決方案的一部分。人們還必須了解為什么需要某些行為,并對(duì)任何所需的行動(dòng)或方法感到滿(mǎn)意。在整個(gè)企業(yè)內(nèi)創(chuàng)建“安全文化”需要時(shí)間、精力和領(lǐng)導(dǎo)力,包括首席執(zhí)行官、高級(jí)管理人員和經(jīng)理。
5.假設(shè)默認(rèn)購(gòu)買(mǎi)零信任
每個(gè)企業(yè)都是不同的,它的技術(shù)設(shè)置將是獨(dú)一無(wú)二的。人們使用技術(shù)的方式也會(huì)有所不同。它的員工工作地點(diǎn)也會(huì)有所不同,包括在辦公室、遠(yuǎn)程或混合、一個(gè)城市、設(shè)有國(guó)家辦事處或跨國(guó)企業(yè)。
雖然某些原則和方法適用于零信任,但它們?cè)谌魏我粋€(gè)企業(yè)中的實(shí)施都是獨(dú)一無(wú)二的。簡(jiǎn)單地去找供應(yīng)商,并期望他們?cè)跊](méi)有任何投入的情況下做所有事情是一種謬論。
企業(yè)需要投入自己的人力資源與供應(yīng)商一起工作,并了解零信任的實(shí)施需要時(shí)間,這是一個(gè)持續(xù)的過(guò)程。
由于網(wǎng)絡(luò)攻擊絲毫沒(méi)有放緩的跡象,而且各種規(guī)模和所有市場(chǎng)中的企業(yè)都可能容易受到攻擊,因此保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)至關(guān)重要。對(duì)這一挑戰(zhàn)采取零碎的方法已經(jīng)不夠了。零信任方法可以幫助企業(yè)實(shí)施基于風(fēng)險(xiǎn)的數(shù)據(jù)安全策略。它并非沒(méi)有陷阱,企業(yè)應(yīng)該意識(shí)到這些陷阱,并愿意投入所需的時(shí)間和精力來(lái)解決這些陷阱。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- MediaTek發(fā)布天璣8400 5G全大核智能體AI芯片,賦能高階智能手機(jī)
- 千方科技:擬以1.198億元受讓車(chē)聯(lián)網(wǎng)基金20%合伙份額
- 中國(guó)鐵塔:高同慶因年齡原因辭任公司非執(zhí)行董事等職務(wù)
- MediaTek發(fā)布天璣8400 5G全大核智能體AI芯片,賦能高階智能手機(jī)
- 榮耀官宣成為《哪吒之魔童鬧?!饭俜胶献骰锇?,2025魔法科技年貨節(jié)開(kāi)啟
- 榮耀Magic7 RSR保時(shí)捷設(shè)計(jì)發(fā)布:大王影像升級(jí),重塑影像創(chuàng)作與處理邊界
- VR和AR技術(shù)的未來(lái)趨勢(shì):重塑互動(dòng)與體驗(yàn)
- 6G技術(shù)和頻譜需求:解鎖下一代無(wú)線連接
- 關(guān)于數(shù)據(jù)存儲(chǔ)的四個(gè)驚人事實(shí)
- 千家周報(bào)|上周熱門(mén)資訊 排行榜(12月16日-12月22日)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。