如今,監(jiān)管合規(guī)已成為各行各業(yè)最為緊迫的挑戰(zhàn)之一。隨著全球監(jiān)管環(huán)境不斷發(fā)展,企業(yè)往往難以跟上新規(guī)則的要求、現(xiàn)有標(biāo)準(zhǔn)的更新以及跨司法管轄區(qū)的執(zhí)法趨勢(shì)。同時(shí),新興技術(shù)的迅猛發(fā)展也給合規(guī)性帶來(lái)了前所未有的挑戰(zhàn)。例如,人工智能等新技術(shù)在金融領(lǐng)域被廣泛應(yīng)用于客戶身份驗(yàn)證和交易監(jiān)控,而這些都是合規(guī)性要求的重要部分。此外,不斷增加的網(wǎng)絡(luò)安全威脅也使得數(shù)據(jù)安全漏洞等問(wèn)題成為企業(yè)安全合規(guī)的重要考量因素。因此,有效應(yīng)對(duì)新技術(shù)帶來(lái)的合規(guī)性挑戰(zhàn)已成為企業(yè)迫切需要解決的問(wèn)題之一。
據(jù)調(diào)查,超過(guò)一半 (57%)的公司計(jì)劃今年在數(shù)據(jù)監(jiān)管合規(guī)性上花費(fèi)更多時(shí)間和金錢(qián)。數(shù)據(jù)合規(guī)性是確保組織及其系統(tǒng)滿足法律、法規(guī)和運(yùn)營(yíng)數(shù)據(jù)要求的過(guò)程。可以說(shuō),數(shù)據(jù)合規(guī)是所有數(shù)據(jù)驅(qū)動(dòng)型業(yè)務(wù)的先決條件。確保數(shù)據(jù)安全合規(guī),有利于企業(yè)與客戶建立信任,保護(hù)公司免受數(shù)據(jù)泄露和合規(guī)違規(guī)行為的影響,包括代價(jià)高昂的處罰以及對(duì)商業(yè)聲譽(yù)的長(zhǎng)期影響。
然而,由于數(shù)字技術(shù)促使數(shù)據(jù)應(yīng)用的場(chǎng)景和參與主體日益多樣化,數(shù)據(jù)安全的外延不斷擴(kuò)展,許多企業(yè)面臨著數(shù)據(jù)安全與合規(guī)的多重挑戰(zhàn),包括如何應(yīng)對(duì)不同地區(qū)不斷變化的法規(guī)、管理和保護(hù)數(shù)據(jù)過(guò)程中的復(fù)雜操作以及明確企業(yè)環(huán)境的邊界等。
企業(yè)維持?jǐn)?shù)據(jù)安全合規(guī)的主要挑戰(zhàn)
隨著技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)威脅變得日益復(fù)雜和難以預(yù)測(cè),黑客攻擊、數(shù)據(jù)泄露、勒索軟件等威脅不斷涌現(xiàn),給企業(yè)數(shù)據(jù)安全帶來(lái)了巨大的風(fēng)險(xiǎn)。同時(shí),隨著個(gè)人數(shù)據(jù)保護(hù)法規(guī)的推出,法律法規(guī)對(duì)企業(yè)處理個(gè)人數(shù)據(jù)的要求也越來(lái)越嚴(yán)格。另外,企業(yè)還面臨著來(lái)自內(nèi)部的安全威脅,員工失誤、不當(dāng)行為或惡意行為可能導(dǎo)致數(shù)據(jù)泄露或?yàn)E用等問(wèn)題。
·?傳統(tǒng)安全架構(gòu)無(wú)法應(yīng)對(duì)不斷變化的法規(guī)要求
企業(yè)面臨復(fù)雜的法規(guī)要求,不同地區(qū)常見(jiàn)的監(jiān)管框架都有各自網(wǎng)絡(luò)安全合規(guī)方面的內(nèi)容,包括NIST 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、ISO /IEC 27001?、PCI DSS?、GDPR、CCPA、SOC 2等。這些合規(guī)標(biāo)準(zhǔn)通常要求組織通過(guò)持續(xù)監(jiān)控、深度可見(jiàn)性以及對(duì)內(nèi)部和外部用戶的強(qiáng)大訪問(wèn)控制來(lái)防御網(wǎng)絡(luò)威脅。
許多公司嘗試傳統(tǒng)的網(wǎng)絡(luò)分段方法,例如使用傳統(tǒng)防火墻或 VLAN。雖然改善了內(nèi)部和外部的訪問(wèn)控制,但也存在挑戰(zhàn)。例如,PCI DSS 需要跨 CDE 進(jìn)行控制。即使放置防火墻也可能很困難,因?yàn)樵谕惶摂M機(jī)管理程序上的兩個(gè)容器或兩個(gè)虛擬機(jī)之間放置防火墻可能需要一組完全不同的技術(shù)和 API。此外,通過(guò)這些方法更改分段策略以保護(hù)資產(chǎn)或使其超出范圍意味著更改基礎(chǔ)設(shè)施。這通常涉及數(shù)據(jù)中心內(nèi)團(tuán)隊(duì)之間的大量協(xié)調(diào),無(wú)疑會(huì)導(dǎo)致不便。最后,對(duì)于傳統(tǒng)方法,可見(jiàn)性也是一個(gè)常見(jiàn)問(wèn)題。企業(yè)缺乏有關(guān)東西向流量的實(shí)時(shí)和歷史數(shù)據(jù),很難證明超出范圍的系統(tǒng)與其 CDE 是分開(kāi)的。這種問(wèn)題當(dāng)企業(yè)IT基礎(chǔ)設(shè)施包括動(dòng)態(tài)邊界時(shí)更是難以應(yīng)對(duì)。
·?企業(yè)需要面對(duì)復(fù)雜的審核過(guò)程
對(duì)于安全團(tuán)隊(duì)而言,合規(guī)性評(píng)估是最消耗時(shí)間和資源的任務(wù)之一。當(dāng)企業(yè)向無(wú)邊界的數(shù)字環(huán)境及遠(yuǎn)程辦公轉(zhuǎn)變,這種挑戰(zhàn)變得更加嚴(yán)重。企業(yè)通常需要隔離微環(huán)境、為管制資產(chǎn)建立安全圍欄,以滿足各項(xiàng)合規(guī)性標(biāo)準(zhǔn)。企業(yè)在面對(duì)復(fù)雜的合規(guī)要求的同時(shí),還需要應(yīng)對(duì)遠(yuǎn)程用戶、公司本地用戶、合作伙伴、供應(yīng)商等,這使得企業(yè)環(huán)境的邊界幾乎無(wú)法確定。訪問(wèn)控制是審核成功與否的重要因素之一。安全團(tuán)隊(duì)在準(zhǔn)備審核時(shí),必須思考如何限制對(duì)敏感信息的訪問(wèn),以使其僅向授權(quán)用戶開(kāi)放、如何確定審核環(huán)境的范圍、如何簡(jiǎn)化審核過(guò)程并減少混亂等復(fù)雜問(wèn)題,這無(wú)疑為企業(yè)增加了不少成本支出。
·?勒索軟件攻擊數(shù)量的攀升
根據(jù)Cybersecurity Ventures預(yù)測(cè),到2031年,勒索軟件將每?jī)擅牍粢患移髽I(yè)、一位消費(fèi)者或一臺(tái)設(shè)備。勒索事件已經(jīng)成為各種規(guī)模企業(yè)面臨的最大挑戰(zhàn)之一。根據(jù)Akamai觀察,由于零日漏洞和一日漏洞的濫用, 2023年第一季度的勒索軟件受害者數(shù)量與 2022年第一季度同比增加?143%。
Akamai分析,若企業(yè)具備以下特點(diǎn),勒索軟件團(tuán)伙將更有可能發(fā)起攻擊:
-?隱形信任,對(duì)用戶、應(yīng)用程序和網(wǎng)絡(luò)的隱性信任讓成功入侵網(wǎng)絡(luò)的攻擊者能夠橫向移動(dòng)并傳播惡意軟件;
-?過(guò)度授權(quán)的訪問(wèn)策略會(huì)導(dǎo)致可能注入勒索軟件的感染;
-?僅以密碼作為信任憑據(jù)的系統(tǒng)將會(huì)為憑據(jù)盜竊提供機(jī)會(huì)。
面對(duì)種種復(fù)雜的挑戰(zhàn),當(dāng)前企業(yè)迫切需要采用新的安全架構(gòu)來(lái)確保數(shù)據(jù)的安全和合規(guī)性,以應(yīng)對(duì)不斷增長(zhǎng)的安全威脅和監(jiān)管要求。
Zero Trust破解合規(guī)性和網(wǎng)絡(luò)安全挑戰(zhàn)
為了應(yīng)對(duì)以上這些趨勢(shì)的挑戰(zhàn),一種新型安全方法應(yīng)運(yùn)而生——zero trust,它基于身份驗(yàn)證、突破地點(diǎn)制約以及能夠采取主動(dòng)措施處理漏洞。Zero Trust安全架構(gòu)既能夠提供用于保障訪問(wèn)安全的強(qiáng)大用戶身份,又能在攻擊發(fā)生時(shí)實(shí)施主動(dòng)抵御。
·?顛覆傳統(tǒng),零信任面對(duì)復(fù)雜的監(jiān)管要求“得心應(yīng)手”
零信任模型是一種網(wǎng)絡(luò)安全戰(zhàn)略方法。它顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全范式,在這種范式中,企業(yè)網(wǎng)絡(luò)內(nèi)的用戶、設(shè)備、應(yīng)用程序是隱式信任的。采用零信任方法,組織內(nèi)部和外部的用戶、設(shè)備和應(yīng)用程序必須針對(duì)每個(gè)訪問(wèn) IT 資源的請(qǐng)求進(jìn)行身份驗(yàn)證和授權(quán)。 隨著遠(yuǎn)程工作、云計(jì)算和 BYOD 使傳統(tǒng)網(wǎng)絡(luò)邊界幾乎變得過(guò)時(shí),零信任安全有助于阻止網(wǎng)絡(luò)安全威脅并限制成功網(wǎng)絡(luò)攻擊的爆炸半徑。
許多監(jiān)管框架需要強(qiáng)有力的數(shù)據(jù)保護(hù)措施。零信任和微分段不僅通過(guò)嚴(yán)格控制和監(jiān)控對(duì)敏感數(shù)據(jù)的訪問(wèn)來(lái)支持合規(guī)性,同時(shí)也有助于解決內(nèi)部威脅——對(duì)于需要防范內(nèi)部威脅的法規(guī),最小權(quán)限原則可確保每個(gè)用戶只能訪問(wèn)任何任務(wù)所需的資源,從而降低惡意內(nèi)部人員帶來(lái)的風(fēng)險(xiǎn)。其次,零信任將有助于合規(guī)環(huán)境的細(xì)分。使用微分段將網(wǎng)絡(luò)資產(chǎn)劃分為更小的安全控制區(qū)域,利用零信任可以滿足要求某些數(shù)據(jù)與 IT 基礎(chǔ)設(shè)施其他部分隔離的法規(guī)。最后,零信任原則可以擴(kuò)展到所有用戶(包括供應(yīng)商和第三方),這無(wú)疑極大地幫助組織確保了對(duì)嚴(yán)格控制供應(yīng)鏈安全法規(guī)的要求遵守。
針對(duì)PCI DSS的合規(guī)性挑戰(zhàn),微分段技術(shù)通過(guò)細(xì)分網(wǎng)絡(luò)、限制第三方用戶訪問(wèn)權(quán)限以及提供實(shí)時(shí)可見(jiàn)性,幫助企業(yè)有效解決這一難題。相比傳統(tǒng)方法,基于軟件的微分段解決方案能夠顯著減小合規(guī)范圍,降低合規(guī)成本和工作量,并幫助組織滿足監(jiān)管要求。實(shí)施PCI DSS微分段的步驟包括獲取可見(jiàn)性、不依賴基礎(chǔ)設(shè)施、考慮抽象安全需求,并持續(xù)監(jiān)控和改進(jìn)策略,以適應(yīng)不斷變化的環(huán)境和威脅。
·?大幅簡(jiǎn)化合規(guī)流程并減少風(fēng)險(xiǎn)
采用Zero Trust 方法可有助于幫助企業(yè)簡(jiǎn)化合規(guī)流程并有效降低風(fēng)險(xiǎn)。顯式驗(yàn)證以及支持最低訪問(wèn)權(quán)限是 Zero Trust 的兩大關(guān)鍵能力,能夠大幅度簡(jiǎn)化合規(guī)工作流程。企業(yè)可以將管制資產(chǎn)與數(shù)據(jù)中心或云的其他流量隔離,并根據(jù)身份而非位置允許訪問(wèn)。借助監(jiān)測(cè)能力,企業(yè)可以看到監(jiān)管環(huán)境的進(jìn)出流量,確定范圍中的內(nèi)容。這能夠大幅降低審核的復(fù)雜性和成本,簡(jiǎn)化審核員的工作。同時(shí),零信任通過(guò)與微分段實(shí)現(xiàn)整合,將通過(guò)不斷驗(yàn)證數(shù)字交互的各個(gè)方面并主動(dòng)遵守側(cè)重于風(fēng)險(xiǎn)評(píng)估和管理的監(jiān)管要求來(lái)識(shí)別和減輕風(fēng)險(xiǎn)。
·?強(qiáng)化勒索軟件防護(hù)盾
通過(guò)實(shí)施Zero Trust架構(gòu),訪問(wèn)控制策略和微分段能夠最大限度地限制此類攻擊可能造成的破壞。攻擊者將更加難入侵系統(tǒng),而且擴(kuò)張能力也將受到限制。Zero Trust將分別從初始感染、橫向移動(dòng)及數(shù)據(jù)泄露和加密等不同步驟進(jìn)行應(yīng)對(duì),加以防范。
如何以零信任守護(hù)安全合規(guī)零風(fēng)險(xiǎn)
我們建議企業(yè)可以采取以下策略,構(gòu)建零信任架構(gòu)以滿足合規(guī)安全需求:
1.?高管領(lǐng)導(dǎo):?在零信任項(xiàng)目團(tuán)隊(duì)中,最好由企業(yè)高管擔(dān)任領(lǐng)導(dǎo)角色,而非IT或安全團(tuán)隊(duì),以確保全面的零信任部署。企業(yè)高管具有更廣泛的視野和對(duì)企業(yè)戰(zhàn)略的深刻了解,能夠更好地協(xié)調(diào)各部門(mén)工作,推動(dòng)零信任在整個(gè)企業(yè)的有效實(shí)施。他們擁有更高的權(quán)力和決策能力,有助于推動(dòng)零信任部署的順利執(zhí)行。
2.?多角度評(píng)估成熟度:?企業(yè)在實(shí)施零信任前,最好參考行業(yè)指南,從用戶、數(shù)據(jù)、設(shè)備和云端等多個(gè)角度評(píng)估零信任的成熟度。
3.?融入微分段技術(shù):?微分段技術(shù)可將網(wǎng)絡(luò)劃分為隔離的安全區(qū)域,作為零信任戰(zhàn)略的重要組成部分,有助于減少網(wǎng)絡(luò)攻擊面,提高數(shù)據(jù)和資源安全性。微分段技術(shù)使組織能夠快速識(shí)別和隔離網(wǎng)絡(luò)上的可疑活動(dòng)。
4.?與專家緊密合作:?在零信任部署過(guò)程中,建議企業(yè)與專業(yè)的技術(shù)解決方案提供商合作,利用其技術(shù)和資源促進(jìn)跨部門(mén)、跨團(tuán)隊(duì)的合作。通過(guò)共同解決大方向上的問(wèn)題,借助同一平臺(tái)搭建成功的零信任架構(gòu)。
隨著各地對(duì)數(shù)據(jù)合規(guī)的立法越發(fā)健全,企業(yè)逐漸步入數(shù)據(jù)合規(guī)的“深水區(qū)”。通過(guò)零信任架構(gòu)精細(xì)的權(quán)限管理,企業(yè)能夠更好地保護(hù)數(shù)據(jù)資產(chǎn)并確保合規(guī)性,將安全防御的重心從靜態(tài)的、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到專注于用戶、資產(chǎn)和資源,助力企業(yè)在不斷變化的數(shù)據(jù)保護(hù)和合規(guī)性世界中破浪前行。
( 劉炅 ?Akamai大中華區(qū)產(chǎn)品市場(chǎng)經(jīng)理 )
相關(guān)稿件