https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

認清5大網安迷思,有效採取零信任

2023 / 01 / 13
編輯部
認清5大網安迷思,有效採取零信任
即便是最好的網路和安全專家也有盲點。部署最新和最好的硬體或解決方案、遵守行業標準都不足以保證網路安全,而沒遭受過網路攻擊也不表示企業擁有強大的安全防護。

認清以下5個普遍的網安迷思將有助於企業有效防護網路安全:
  1. 只有大公司才是勒索軟體的目標:在小企業工作並不是免於遭受網路攻擊的保證,根據一份最近的報告顯示,82%勒索軟體 的攻擊目標是小型企業,1,000人以下的企業面臨的風險最高。攻擊大型企業會給攻擊者帶來執法和媒體關注,使他們付出較多代價,所以在他們之中有很多人已經從攻擊大企業轉向攻擊那些有能力支付贖金的小企業,以避免引起太大的關注。 
     
  2. 安全、效能和敏捷性無法兼得:沒有人願意為了網路安全犧牲效能和敏捷性。現今企業需要支持在家上班的員工、並更加的依賴物聯網,因此敏捷性比以往任何時候都更重要。

    (SASE)是一種較新的安全架構,提供現代企業所需的敏捷性。SASE的好處之一是它能夠整合並簡化管理安全的過程。SASE將你所有的網路與安全匯集整合,讓網安變得更簡單與容易,SASE的存在實現了業務敏捷而非妨礙它。 

    SASE還能透過將延遲最小化來提高性能、改善用戶體驗。它也消除了傳統的回傳流量問題,提高效率,還能彈性擴展讓適應流量波動變得更簡單和容易。有這些改進,企業將能享有網路的巔峰效能。 
     
  3. 網路威脅主要來自於外部攻擊者:安全從業人員在保護周邊安全和加固鬆散的末端方面已經做的很好,但往往在用戶端的防護仍然十分鬆散。因此,企業目前面臨最大的安全威脅往往根本不是來自於外部,而是內部。 

    數據洩漏來自安全允許的連接。最重要的是,安全部門要假設惡意內容或惡意用戶可能進入這些授權的連接。與其假設內部的所有用戶都是安全的,是時候開始不斷驗證所有用戶,並執行持續的威脅檢查,在網路攻擊者造成任何損害前將其抓住。這樣的網路安全策略稱為「零信任」,它通過消除信任假設和驗證每個階段的數位互動來保護組織安全。
     
  4. 防火牆或基於防火牆的安全無法在雲端提供防護:對許多人而言,「防火牆」一詞仍讓人聯想到在企業內部網路部署和管理複雜的實體或虛擬設備的畫面。但這其實是個誤解,「防火牆」其實代表的是企業接受或拒絕流量的能力或基於政策的網路工具,這是任何安全堆疊的基礎。 

    防火牆存在於雲端、企業網路、應用程序中,甚至是不的裝置上。當你聽到諸如「訪問控制列表」、「安全群組」、「可用區域」或「基於策略的轉發」時,你聽到的其實是防火牆的代名詞。我們需要從防火牆的形式,如實體或虛擬設備,轉而思考該如何透過「防火牆」功能實現最佳的安全防護效果,同時提高敏捷性和降低複雜性。防火牆對於在混合環境中提供安全是至關重要,使企業重新獲得他們所需的可視性和控制,以適應和調整不斷變化的業務終端用戶需求,同時實現更好的安全性。 
     
  5. 所有零信任網路解決方案都是平等的:零信任網路訪問(ZTNA)將零信任的原則應用於網路訪問。不幸的是,通常施行ZTNA(ZTNA 1.0)只解決直接從應用程式訪問時的一些問題。例如,在ZTNA 1.0中,一旦信任被授權,信任代理就消失了,用戶將能自由行動。這實際上只是創建了單一、在特定時間點的檢查。一旦訪問被授權,用戶將永遠被信任。但如果沒有持續的驗證,就沒有辦法知道應用程式是否曝露在危險中。 

    換句話說,這種方法不能保護發生在允許連接上的違規行為 – 而所有的違規行為都發生在允許連接上。此外,標準的ZTNA違反了最小特權原則,不提供安全檢查,不保護所有的應用程式,也不能保護所有的資料。

    幸運的是,ZTNA 2.0擺脫了這些弱點,實現了更大的安全性。ZTNA 2.0不是一次性授權信任,而是根據應用程式行為,使用者行為和裝置狀態的變化,不斷重新評估信任。這樣,如果一個用戶受到侵害,他們的訪問和許可權可以在他們造成任何損害之前被迅速刪除。ZTNA 2.0還增加了真正的最小許可權訪問,提供持續的安全檢查,保護所有資料和所有應用程式的安全。
我們生活在一個工作可以發生在任何地方、任何時間、任何裝置上的世界裡。人們不再被束縛在他們的辦公桌前,他們的裝置也不再是。要保持任何形式的真正控制都變得更加困難。在這種環境下,我們需要更好的工具和策略。ZTNA 2.0是專為保護這種環境而設計的,它這就是一個成功的網路安全策略的關鍵。
 
SASE是另一個為不斷變化的安全環境設計的現代策略。SASE不僅簡化了架構以促進敏捷性,而且還提供了企業保持安全所需的零信任能力。隨著越來越多的企業轉移到雲端,SASE在混合雲環境中保持一致是很重要的。SASE的雲交付讓SASE在整個企業網路中保持一致。
 
人工智慧(AI)和機器學習(ML)正在成為現代網路安全的主流,因為當涉及到保護人們免受目前正在出現的更複雜和高度自動化的威脅時,它們可以產生很大的影響。威脅者有如此多的工具可以使用,讓他們的行動比網路安全專業人員的手動預防更快。而且,威脅者只需做對一次就能造成破壞,而網路安全專業人員則必須保持網路安全,防止每一次威脅。經過訓練和調整以尋找威脅的人工智慧和ML使網路安全團隊能夠即時運作,並在網路攻擊者有機會造成破壞前抓住他們。人工智慧和ML協助企業安全團隊,化被動為主動。
 
以下這些核心的 「零信任」原則將有助於企業領導者擬定策略,強化安全:
  • 採用零信任方法不是一次性的動作而是一個持續的過程 :「零信任」是一種操作哲學,需要我們改變關於如何設計、施行和維護網路安全狀態的思維方式 。 
     
  • 建立一個全面的零信任計畫至關重要 : 專注於一個特定的產品或一個狹隘的技術並不等於零信任。零信任必須是一種端到端的作法,包括整個IT生態系統的控制 – 網路、端點、雲端、應用程式、物聯網裝置、身份等等。 
     
  • 瞭解ZTNA只是零信任的一環 :網路訪問(ZTNA)和零信任這兩個術語不能互換。這實際上是一個非常常見的誤稱。ZTNA特別適用於遠端使用者訪問公司的應用程式和服務,是更大的零信任故事中的一個元素。雖然ZTNA極其重要(尤其是在新的混合勞動力的現實中),但僅僅實施ZTNA是不夠的。 

循序漸進的計畫及作法

採取零信任並不意味著企業必須從頭開始打造基礎架構。而是要對現有的IT投資進行合理化調整,決定組織實際上採取哪些安全做法、哪些有效、哪些需要重新配置或部署,以及什麼是真正需要的新投資。如果決定從一個需要新投資的領域開始,則可以找出能幫助加速成效資金計畫或工具。一定要評估當前的安全能力,以及它們是否被盡可能有效地使用,並考慮哪些可以被用來快速實現零信任。
 
一開始就讓領導層參與
從上而下的支持對於推進 「零信任」效率非常重要。如前所述,這往往需要領導層轉變思維方式。組織必須就該計畫及其目標進行積極、實質性的對話,並將CISO納入最高領導層,參與討論和方向性決策,這樣的對話也有助於提升網路安全預算。
 
讓它可行
實現零信任需要確定組織需要什麼來減少急性風險和強化韌性。許多組織從身份機制開始,如多因素認證,應用最小許可權訪問或ZTNA。同樣的,要循序漸進;制定一個路線圖;當組織施行更多的零信任能力時,透過最大限度地發揮新的和現有投資的效力來支持組織的轉型,以確保最佳的安全結果。
 
有了這些基礎,組織將能自信地踏上零信任之旅。有了明確的零信任原則和要求,將有助於設定一個共同的期望,即需要實現什麼才是安全的,至少能讓一個具有挑戰性的旅程路徑變得清晰。