如今,監(jiān)管合規(guī)已成為各行各業(yè)最為緊迫的挑戰(zhàn)之一。隨著全球監(jiān)管環(huán)境不斷發(fā)展,企業(yè)往往難以跟上新規(guī)則的要求、現(xiàn)有標(biāo)準(zhǔn)的更新以及跨司法管轄區(qū)的執(zhí)法趨勢。同時,新興技術(shù)的迅猛發(fā)展也給合規(guī)性帶來了前所未有的挑戰(zhàn)。例如,人工智能等新技術(shù)在金融領(lǐng)域被廣泛應(yīng)用于客戶身份驗證和交易監(jiān)控,而這些都是合規(guī)性要求的重要部分。此外,不斷增加的網(wǎng)絡(luò)安全威脅也使得數(shù)據(jù)安全漏洞等問題成為企業(yè)安全合規(guī)的重要考量因素。因此,有效應(yīng)對新技術(shù)帶來的合規(guī)性挑戰(zhàn)已成為企業(yè)迫切需要解決的問題之一。
據(jù)調(diào)查,超過一半 (57%)的公司計劃今年在數(shù)據(jù)監(jiān)管合規(guī)性上花費更多時間和金錢。數(shù)據(jù)合規(guī)性是確保組織及其系統(tǒng)滿足法律、法規(guī)和運營數(shù)據(jù)要求的過程??梢哉f,數(shù)據(jù)合規(guī)是所有數(shù)據(jù)驅(qū)動型業(yè)務(wù)的先決條件。確保數(shù)據(jù)安全合規(guī),有利于企業(yè)與客戶建立信任,保護公司免受數(shù)據(jù)泄露和合規(guī)違規(guī)行為的影響,包括代價高昂的處罰以及對商業(yè)聲譽的長期影響。
然而,由于數(shù)字技術(shù)促使數(shù)據(jù)應(yīng)用的場景和參與主體日益多樣化,數(shù)據(jù)安全的外延不斷擴展,許多企業(yè)面臨著數(shù)據(jù)安全與合規(guī)的多重挑戰(zhàn),包括如何應(yīng)對不同地區(qū)不斷變化的法規(guī)、管理和保護數(shù)據(jù)過程中的復(fù)雜操作以及明確企業(yè)環(huán)境的邊界等。
企業(yè)維持?jǐn)?shù)據(jù)安全合規(guī)的主要挑戰(zhàn)
隨著技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)威脅變得日益復(fù)雜和難以預(yù)測,黑客攻擊、數(shù)據(jù)泄露、勒索軟件等威脅不斷涌現(xiàn),給企業(yè)數(shù)據(jù)安全帶來了巨大的風(fēng)險。同時,隨著個人數(shù)據(jù)保護法規(guī)的推出,法律法規(guī)對企業(yè)處理個人數(shù)據(jù)的要求也越來越嚴(yán)格。另外,企業(yè)還面臨著來自內(nèi)部的安全威脅,員工失誤、不當(dāng)行為或惡意行為可能導(dǎo)致數(shù)據(jù)泄露或濫用等問題。
·?傳統(tǒng)安全架構(gòu)無法應(yīng)對不斷變化的法規(guī)要求
企業(yè)面臨復(fù)雜的法規(guī)要求,不同地區(qū)常見的監(jiān)管框架都有各自網(wǎng)絡(luò)安全合規(guī)方面的內(nèi)容,包括NIST 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、ISO /IEC 27001?、PCI DSS?、GDPR、CCPA、SOC 2等。這些合規(guī)標(biāo)準(zhǔn)通常要求組織通過持續(xù)監(jiān)控、深度可見性以及對內(nèi)部和外部用戶的強大訪問控制來防御網(wǎng)絡(luò)威脅。
許多公司嘗試傳統(tǒng)的網(wǎng)絡(luò)分段方法,例如使用傳統(tǒng)防火墻或 VLAN。雖然改善了內(nèi)部和外部的訪問控制,但也存在挑戰(zhàn)。例如,PCI DSS 需要跨 CDE 進行控制。即使放置防火墻也可能很困難,因為在同一虛擬機管理程序上的兩個容器或兩個虛擬機之間放置防火墻可能需要一組完全不同的技術(shù)和 API。此外,通過這些方法更改分段策略以保護資產(chǎn)或使其超出范圍意味著更改基礎(chǔ)設(shè)施。這通常涉及數(shù)據(jù)中心內(nèi)團隊之間的大量協(xié)調(diào),無疑會導(dǎo)致不便。最后,對于傳統(tǒng)方法,可見性也是一個常見問題。企業(yè)缺乏有關(guān)東西向流量的實時和歷史數(shù)據(jù),很難證明超出范圍的系統(tǒng)與其 CDE 是分開的。這種問題當(dāng)企業(yè)IT基礎(chǔ)設(shè)施包括動態(tài)邊界時更是難以應(yīng)對。
·?企業(yè)需要面對復(fù)雜的審核過程
對于安全團隊而言,合規(guī)性評估是最消耗時間和資源的任務(wù)之一。當(dāng)企業(yè)向無邊界的數(shù)字環(huán)境及遠程辦公轉(zhuǎn)變,這種挑戰(zhàn)變得更加嚴(yán)重。企業(yè)通常需要隔離微環(huán)境、為管制資產(chǎn)建立安全圍欄,以滿足各項合規(guī)性標(biāo)準(zhǔn)。企業(yè)在面對復(fù)雜的合規(guī)要求的同時,還需要應(yīng)對遠程用戶、公司本地用戶、合作伙伴、供應(yīng)商等,這使得企業(yè)環(huán)境的邊界幾乎無法確定。訪問控制是審核成功與否的重要因素之一。安全團隊在準(zhǔn)備審核時,必須思考如何限制對敏感信息的訪問,以使其僅向授權(quán)用戶開放、如何確定審核環(huán)境的范圍、如何簡化審核過程并減少混亂等復(fù)雜問題,這無疑為企業(yè)增加了不少成本支出。
·?勒索軟件攻擊數(shù)量的攀升
根據(jù)Cybersecurity Ventures預(yù)測,到2031年,勒索軟件將每兩秒攻擊一家企業(yè)、一位消費者或一臺設(shè)備。勒索事件已經(jīng)成為各種規(guī)模企業(yè)面臨的最大挑戰(zhàn)之一。根據(jù)Akamai觀察,由于零日漏洞和一日漏洞的濫用, 2023年第一季度的勒索軟件受害者數(shù)量與 2022年第一季度同比增加?143%。
Akamai分析,若企業(yè)具備以下特點,勒索軟件團伙將更有可能發(fā)起攻擊:
-?隱形信任,對用戶、應(yīng)用程序和網(wǎng)絡(luò)的隱性信任讓成功入侵網(wǎng)絡(luò)的攻擊者能夠橫向移動并傳播惡意軟件;
-?過度授權(quán)的訪問策略會導(dǎo)致可能注入勒索軟件的感染;
-?僅以密碼作為信任憑據(jù)的系統(tǒng)將會為憑據(jù)盜竊提供機會。
面對種種復(fù)雜的挑戰(zhàn),當(dāng)前企業(yè)迫切需要采用新的安全架構(gòu)來確保數(shù)據(jù)的安全和合規(guī)性,以應(yīng)對不斷增長的安全威脅和監(jiān)管要求。
Zero Trust破解合規(guī)性和網(wǎng)絡(luò)安全挑戰(zhàn)
為了應(yīng)對以上這些趨勢的挑戰(zhàn),一種新型安全方法應(yīng)運而生——zero trust,它基于身份驗證、突破地點制約以及能夠采取主動措施處理漏洞。Zero Trust安全架構(gòu)既能夠提供用于保障訪問安全的強大用戶身份,又能在攻擊發(fā)生時實施主動抵御。
·?顛覆傳統(tǒng),零信任面對復(fù)雜的監(jiān)管要求“得心應(yīng)手”
零信任模型是一種網(wǎng)絡(luò)安全戰(zhàn)略方法。它顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全范式,在這種范式中,企業(yè)網(wǎng)絡(luò)內(nèi)的用戶、設(shè)備、應(yīng)用程序是隱式信任的。采用零信任方法,組織內(nèi)部和外部的用戶、設(shè)備和應(yīng)用程序必須針對每個訪問 IT 資源的請求進行身份驗證和授權(quán)。 隨著遠程工作、云計算和 BYOD 使傳統(tǒng)網(wǎng)絡(luò)邊界幾乎變得過時,零信任安全有助于阻止網(wǎng)絡(luò)安全威脅并限制成功網(wǎng)絡(luò)攻擊的爆炸半徑。
許多監(jiān)管框架需要強有力的數(shù)據(jù)保護措施。零信任和微分段不僅通過嚴(yán)格控制和監(jiān)控對敏感數(shù)據(jù)的訪問來支持合規(guī)性,同時也有助于解決內(nèi)部威脅——對于需要防范內(nèi)部威脅的法規(guī),最小權(quán)限原則可確保每個用戶只能訪問任何任務(wù)所需的資源,從而降低惡意內(nèi)部人員帶來的風(fēng)險。其次,零信任將有助于合規(guī)環(huán)境的細分。使用微分段將網(wǎng)絡(luò)資產(chǎn)劃分為更小的安全控制區(qū)域,利用零信任可以滿足要求某些數(shù)據(jù)與 IT 基礎(chǔ)設(shè)施其他部分隔離的法規(guī)。最后,零信任原則可以擴展到所有用戶(包括供應(yīng)商和第三方),這無疑極大地幫助組織確保了對嚴(yán)格控制供應(yīng)鏈安全法規(guī)的要求遵守。
針對PCI DSS的合規(guī)性挑戰(zhàn),微分段技術(shù)通過細分網(wǎng)絡(luò)、限制第三方用戶訪問權(quán)限以及提供實時可見性,幫助企業(yè)有效解決這一難題。相比傳統(tǒng)方法,基于軟件的微分段解決方案能夠顯著減小合規(guī)范圍,降低合規(guī)成本和工作量,并幫助組織滿足監(jiān)管要求。實施PCI DSS微分段的步驟包括獲取可見性、不依賴基礎(chǔ)設(shè)施、考慮抽象安全需求,并持續(xù)監(jiān)控和改進策略,以適應(yīng)不斷變化的環(huán)境和威脅。
·?大幅簡化合規(guī)流程并減少風(fēng)險
采用Zero Trust 方法可有助于幫助企業(yè)簡化合規(guī)流程并有效降低風(fēng)險。顯式驗證以及支持最低訪問權(quán)限是 Zero Trust 的兩大關(guān)鍵能力,能夠大幅度簡化合規(guī)工作流程。企業(yè)可以將管制資產(chǎn)與數(shù)據(jù)中心或云的其他流量隔離,并根據(jù)身份而非位置允許訪問。借助監(jiān)測能力,企業(yè)可以看到監(jiān)管環(huán)境的進出流量,確定范圍中的內(nèi)容。這能夠大幅降低審核的復(fù)雜性和成本,簡化審核員的工作。同時,零信任通過與微分段實現(xiàn)整合,將通過不斷驗證數(shù)字交互的各個方面并主動遵守側(cè)重于風(fēng)險評估和管理的監(jiān)管要求來識別和減輕風(fēng)險。
·?強化勒索軟件防護盾
通過實施Zero Trust架構(gòu),訪問控制策略和微分段能夠最大限度地限制此類攻擊可能造成的破壞。攻擊者將更加難入侵系統(tǒng),而且擴張能力也將受到限制。Zero Trust將分別從初始感染、橫向移動及數(shù)據(jù)泄露和加密等不同步驟進行應(yīng)對,加以防范。
如何以零信任守護安全合規(guī)零風(fēng)險
我們建議企業(yè)可以采取以下策略,構(gòu)建零信任架構(gòu)以滿足合規(guī)安全需求:
1.?高管領(lǐng)導(dǎo):?在零信任項目團隊中,最好由企業(yè)高管擔(dān)任領(lǐng)導(dǎo)角色,而非IT或安全團隊,以確保全面的零信任部署。企業(yè)高管具有更廣泛的視野和對企業(yè)戰(zhàn)略的深刻了解,能夠更好地協(xié)調(diào)各部門工作,推動零信任在整個企業(yè)的有效實施。他們擁有更高的權(quán)力和決策能力,有助于推動零信任部署的順利執(zhí)行。
2.?多角度評估成熟度:?企業(yè)在實施零信任前,最好參考行業(yè)指南,從用戶、數(shù)據(jù)、設(shè)備和云端等多個角度評估零信任的成熟度。
3.?融入微分段技術(shù):?微分段技術(shù)可將網(wǎng)絡(luò)劃分為隔離的安全區(qū)域,作為零信任戰(zhàn)略的重要組成部分,有助于減少網(wǎng)絡(luò)攻擊面,提高數(shù)據(jù)和資源安全性。微分段技術(shù)使組織能夠快速識別和隔離網(wǎng)絡(luò)上的可疑活動。
4.?與專家緊密合作:?在零信任部署過程中,建議企業(yè)與專業(yè)的技術(shù)解決方案提供商合作,利用其技術(shù)和資源促進跨部門、跨團隊的合作。通過共同解決大方向上的問題,借助同一平臺搭建成功的零信任架構(gòu)。
隨著各地對數(shù)據(jù)合規(guī)的立法越發(fā)健全,企業(yè)逐漸步入數(shù)據(jù)合規(guī)的“深水區(qū)”。通過零信任架構(gòu)精細的權(quán)限管理,企業(yè)能夠更好地保護數(shù)據(jù)資產(chǎn)并確保合規(guī)性,將安全防御的重心從靜態(tài)的、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到專注于用戶、資產(chǎn)和資源,助力企業(yè)在不斷變化的數(shù)據(jù)保護和合規(guī)性世界中破浪前行。
( 劉炅 ?Akamai大中華區(qū)產(chǎn)品市場經(jīng)理 )
相關(guān)稿件