Cybersecurity Insiders發佈了一篇零信任的復興:為什麼這對 CISO 和 CIO 來說是必不可少的策略
零信任(Zero Trust)是一種安全架構,它的核心原則是「永不信任,始終驗證」(Never Trust, Always Verify)。這意味著組織不應該在內部或外部的網路層面上對任何實體(包括用戶、設備、應用程式或服務)有任何預設的信任,而是通過持續驗證和最小權限原則來保護資料和資源。
零信任的概念並不新鮮,它最早由 Forrester Research 在 2010 年提出,並在 2014 年由 Google 的 BeyondCorp 專案進一步發展。然而,近年來,由於遠端工作、雲端服務和物聯網的興起,傳統的安全邊界已經消失,使得組織面臨日益複雜和多變的威脅。例如,2020 年爆發的 SolarWinds 駭客攻擊就利用了供應鏈中的弱點,滲透了數千個政府和企業組織的網路系統。因此,越來越多的 CISO(資訊安全長)和 CIO(資訊長)意識到需要採用零信任的策略來提高安全防禦能力。
實施零信任並不是一件容易的事情,它需要組織進行全面而深入的變革,涉及到技術、流程和文化等方面。根據本文的作者,以下是一些實施零信任的建議:
- 定義資產和風險:組織需要清楚地識別和分類其資料和資源,並評估其重要性和敏感性。同時,組織也需要分析其面臨的威脅情景和風險暴露程度,並制定相應的安全策略和控制措施。
- 建立基準和指標:組織需要定義和監測其零信任的目標和進展,並使用量化和質化的指標來衡量其效果和價值。例如,組織可以使用安全事件的數量、嚴重性和處理時間等指標來評估其零信任的成效。
- 選擇合適的工具和夥伴:組織需要選擇能夠支援零信任的技術解決方案和服務提供商,並確保它們能夠與現有的系統和架構兼容和整合。例如,組織可以使用多因素身份驗證(MFA)、單一登入(SSO)、端點安全、雲端存取安全代理(CASB)等工具來實現零信任的要求。
- 培訓和教育員工:組織需要提高員工對零信任的認識和理解,並培養他們的安全意識和行為。例如,組織可以通過培訓、測試、反饋等方式,讓員工熟悉零信任的原則和實踐,並鼓勵他們主動參與和支持零信任的推廣。
零信任是一種新興的安全架構,它要求組織在任何網路層面都不信任任何實體,而是通過持續驗證和最小權限原則來保護資料和資源。隨著遠端工作、雲端服務和物聯網的興起,傳統的安全邊界已經消失,因此需要採用零信任的策略來應對日益複雜和多變的威脅。實施零信任需要組織進行全面而深入的變革,涉及到技術、流程和文化等方面。本文提供了一些實施零信任的建議,包括定義資產和風險、建立基準和指標、選擇合適的工具和夥伴、以及培訓和教育員工。
The Resurgence of Zero Trust: Why it’s Essential for CISOs and CIOs to Include in Their Strategy