回顾2023年, 组织很难说,在科技行业停滞不前是网络安全成功的秘诀. 从今年上半年开始, 威胁行为者大量利用ChatGPT等生成式人工智能解决方案来构建聪明的社会工程活动, 实现近乎实时地利用零日漏洞,如MOVEit文件传输,并继续窃取被盗的凭证 用勒索软件蹂躏全球的组织.
纵观历史,直到近代,人类一直对改变犹豫不决. 执著于正常的偏见或对未知的回避, 当日常生活受到威胁时, 先天的心理防御机制开始发挥作用, 迫使人们停下来,或者干脆抵制不可避免的变化. 在安全环境中, 保护组织的传统方法在某些情况下仍然有效,但需要重新平衡和转移资源, 包括增加人工智能等下一代技术,以有效减轻2024年之前的关键技术风险.
采用零信任架构(ZTA)提供了一种新颖的方法,通过首先灌输“永不信任”的核心原则来处理当今紧迫的网络安全和审计问题, “始终验证”和“假设违约”,引入了一种新的网络安全标准,旨在大大降低成功发生网络事件的可能性. 零信任应该被看作是一种升级或架构的补充, 使用大多数已经存在的安全技术栈和 通过添加溶液逐步改进, 服务提供者扩展, 随着时间的推移进行集成或战略能力整合.
这篇博客文章将告诉实践者和组织,在开始零信任技术或流程计划之前,应该通过必要的计划和先决条件考虑开始零信任之旅, 同时还为内部审计部门提供额外的资源,以履行其作为可信赖的业务顾问的角色,以开展零信任工作. 下面的信息图提供了零信任核心支柱的概要细节, 它的成熟度, 以及一些需要达到标准的主要控制领域, 包括自动化的广泛采用, 编制, 监控可见性和数据分析.
图1 - 零信任的核心支柱 包括数据, 设备, 身份, 和网络, 包括底层基础设施, 应用程序, 以及相关的工作量. 自动化, 编制, 可见性, 每个支柱都需要分析功能,以帮助推动跨零信任架构的保护.
零信任提供了什么解决方案?
随着最近远程工作机会的增加, 自带设备(BYOD), 并转向云资源提供商, 传统的“城堡和护城河”网络防御方法既令人难以置信的模糊,而且, 在最坏的情况下, 进入2024年,效率极低. 这种传统方法将包括尝试保护所有关键的公司资产,这些资产位于少数几个网络边界后面,重点放在安全性上. 然后, 通过用户名和密码认证或远程VPN访问, 授予对资源的扩展访问权限. 由于需要更多的管理开销来管理设备,这些情况会使安全和IT团队感到紧张, 其他设备配置文件, 恶意应用程序和未知的外部网络.
零信任架构和控制数据的规定性方法, 身份, 设备, 网络, 基础设施和应用程序更加灵活和集中. 从外围的“身份验证”出发, 然后在“零信任”内部授予广泛的资源访问权限,“零信任”要求对试图访问组织资源的用户或设备进行持续和自适应的身份验证. 如果用户或设备行为发生变化, 零信任动态监控, 策略编排和安全自动化工具可以根据需要转移安全性,以保持资源安全. 下表有助于说明从传统网络体系结构到优化的零信任体系结构逐步采用零信任控制的过程.
图2 -集中控制活动的子集,它允许组织从传统网络安全体系结构过渡到零信任体系结构.
当这种性质的范式转变出现时,管理层可能开始考虑的最初问题可能包括“第一步是什么??或者“我们应该从哪里开始呢??以下是高级管理层在实施零信任架构时应该考虑的五个关键领域, 以及每个领域的一些高级讨论点,这些讨论点应该在内部进行,并在适当的情况下与外部业务伙伴进行.
- 战略一致和执行支持
- 理解业务目标使零信任框架或其实现与总体业务目标和长期战略保持一致.
- 行政支持:让高层管理人员了解零信任的重要性,并在过程的早期获得他们的承诺.
- 沟通计划制定一个全面的沟通策略,以确保组织的所有层次都了解即将到来的变化和他们的角色,以帮助确保持续的成功.
- 技术与建筑规划
- 评估现有基础设施审查组织现有的系统, 确定需要升级的技术和安全协议, 取代或扩展.
- 集成需求确定将在零信任模型中无缝集成的工具和技术,以及是否存在可能破坏过渡的任何差距.
- 可伸缩性的考虑确保所选择的技术堆栈或领先的解决方案提供商可以随着组织的增长而扩展.
- 政策发展及管治
- 制定清晰的政策:围绕访问控制制定定义良好的策略, 用户身份验证, 数据保护和其他方面的零信任概述了上面.
- 合规对齐使政策与GDPR等监管要求保持一致, 组织必须遵守的HIPAA或其他行业特定法规.
- 培训与变革管理
- 用户培训: 开发课程,培训员工关于新的安全协议和他们在零信任框架内的操作责任.
- 变更管理策略: 使用变更管理技术,引导组织平稳而有目的地过渡到零信任.
- 反馈机制: 在过渡期间,为员工提供反馈和提问的渠道.
- 监控、分析和持续改进
- 实时监控和分析: 使用工具持续监控用户设备和网络活动.
- 事件响应计划: 集成或开发以零信任为中心的事件响应计划,以及时解决任何违规或问题.
- 持续改进: 定期审查零信任实现,以确定改进和增强的机会. 利用指标和关键绩效指标来衡量成功并指导持续改进.
通过考虑这篇博文中概述的关键领域, 高级管理人员可以朝着与核心业务目标一致并利用适当技术的高功能零信任体系结构的成功实现而努力, 同时确保遵从性和治理保持不变. 内部审计部门的存在是为了咨询高级管理层,并确保组织始终了解业务面临的核心风险和影响核心目标实现的风险.
ISACA制定了一个零信任审计计划,涵盖近60个核心的零信任控制活动,可以帮助简化从传统网络安全架构的过渡,该架构准备好产生持续的安全挑战,以击退安全威胁,同时充分协助必要的保证工作. 下载审核程序 在这里.