如今,監管合規已成為各行各業(yè)最為緊迫的挑戰之一。隨著(zhù)全球監管環(huán)境不斷發(fā)展,企業(yè)往往難以跟上新規則的要求、現有標準的更新以及跨司法管轄區的執法趨勢。同時(shí),新興技術(shù)的迅猛發(fā)展也給合規性帶來(lái)了前所未有的挑戰。例如,人工智能等新技術(shù)在金融領(lǐng)域被廣泛應用于客戶(hù)身份驗證和交易監控,而這些都是合規性要求的重要部分。此外,不斷增加的網(wǎng)絡(luò )安全威脅也使得數據安全漏洞等問(wèn)題成為企業(yè)安全合規的重要考量因素。因此,有效應對新技術(shù)帶來(lái)的合規性挑戰已成為企業(yè)迫切需要解決的問(wèn)題之一。
據調查,超過(guò)一半 (57%)的公司計劃今年在數據監管合規性上花費更多時(shí)間和金錢(qián)。數據合規性是確保組織及其系統滿(mǎn)足法律、法規和運營(yíng)數據要求的過(guò)程??梢哉f(shuō),數據合規是所有數據驅動(dòng)型業(yè)務(wù)的先決條件。確保數據安全合規,有利于企業(yè)與客戶(hù)建立信任,保護公司免受數據泄露和合規違規行為的影響,包括代價(jià)高昂的處罰以及對商業(yè)聲譽(yù)的長(cháng)期影響。
然而,由于數字技術(shù)促使數據應用的場(chǎng)景和參與主體日益多樣化,數據安全的外延不斷擴展,許多企業(yè)面臨著(zhù)數據安全與合規的多重挑戰,包括如何應對不同地區不斷變化的法規、管理和保護數據過(guò)程中的復雜操作以及明確企業(yè)環(huán)境的邊界等。
企業(yè)維持數據安全合規的主要挑戰
隨著(zhù)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò )威脅變得日益復雜和難以預測,黑客攻擊、數據泄露、勒索軟件等威脅不斷涌現,給企業(yè)數據安全帶來(lái)了巨大的風(fēng)險。同時(shí),隨著(zhù)個(gè)人數據保護法規的推出,法律法規對企業(yè)處理個(gè)人數據的要求也越來(lái)越嚴格。另外,企業(yè)還面臨著(zhù)來(lái)自?xún)炔康陌踩{,員工失誤、不當行為或惡意行為可能導致數據泄露或濫用等問(wèn)題。
·?傳統安全架構無(wú)法應對不斷變化的法規要求
企業(yè)面臨復雜的法規要求,不同地區常見(jiàn)的監管框架都有各自網(wǎng)絡(luò )安全合規方面的內容,包括NIST 網(wǎng)絡(luò )安全標準、ISO /IEC 27001?、PCI DSS?、GDPR、CCPA、SOC 2等。這些合規標準通常要求組織通過(guò)持續監控、深度可見(jiàn)性以及對內部和外部用戶(hù)的強大訪(fǎng)問(wèn)控制來(lái)防御網(wǎng)絡(luò )威脅。
許多公司嘗試傳統的網(wǎng)絡(luò )分段方法,例如使用傳統防火墻或 VLAN。雖然改善了內部和外部的訪(fǎng)問(wèn)控制,但也存在挑戰。例如,PCI DSS 需要跨 CDE 進(jìn)行控制。即使放置防火墻也可能很困難,因為在同一虛擬機管理程序上的兩個(gè)容器或兩個(gè)虛擬機之間放置防火墻可能需要一組完全不同的技術(shù)和 API。此外,通過(guò)這些方法更改分段策略以保護資產(chǎn)或使其超出范圍意味著(zhù)更改基礎設施。這通常涉及數據中心內團隊之間的大量協(xié)調,無(wú)疑會(huì )導致不便。最后,對于傳統方法,可見(jiàn)性也是一個(gè)常見(jiàn)問(wèn)題。企業(yè)缺乏有關(guān)東西向流量的實(shí)時(shí)和歷史數據,很難證明超出范圍的系統與其 CDE 是分開(kāi)的。這種問(wèn)題當企業(yè)IT基礎設施包括動(dòng)態(tài)邊界時(shí)更是難以應對。
·?企業(yè)需要面對復雜的審核過(guò)程
對于安全團隊而言,合規性評估是最消耗時(shí)間和資源的任務(wù)之一。當企業(yè)向無(wú)邊界的數字環(huán)境及遠程辦公轉變,這種挑戰變得更加嚴重。企業(yè)通常需要隔離微環(huán)境、為管制資產(chǎn)建立安全圍欄,以滿(mǎn)足各項合規性標準。企業(yè)在面對復雜的合規要求的同時(shí),還需要應對遠程用戶(hù)、公司本地用戶(hù)、合作伙伴、供應商等,這使得企業(yè)環(huán)境的邊界幾乎無(wú)法確定。訪(fǎng)問(wèn)控制是審核成功與否的重要因素之一。安全團隊在準備審核時(shí),必須思考如何限制對敏感信息的訪(fǎng)問(wèn),以使其僅向授權用戶(hù)開(kāi)放、如何確定審核環(huán)境的范圍、如何簡(jiǎn)化審核過(guò)程并減少混亂等復雜問(wèn)題,這無(wú)疑為企業(yè)增加了不少成本支出。
·?勒索軟件攻擊數量的攀升
根據Cybersecurity Ventures預測,到2031年,勒索軟件將每?jì)擅牍粢患移髽I(yè)、一位消費者或一臺設備。勒索事件已經(jīng)成為各種規模企業(yè)面臨的最大挑戰之一。根據Akamai觀(guān)察,由于零日漏洞和一日漏洞的濫用, 2023年第一季度的勒索軟件受害者數量與 2022年第一季度同比增加?143%。
Akamai分析,若企業(yè)具備以下特點(diǎn),勒索軟件團伙將更有可能發(fā)起攻擊:
-?隱形信任,對用戶(hù)、應用程序和網(wǎng)絡(luò )的隱性信任讓成功入侵網(wǎng)絡(luò )的攻擊者能夠橫向移動(dòng)并傳播惡意軟件;
-?過(guò)度授權的訪(fǎng)問(wèn)策略會(huì )導致可能注入勒索軟件的感染;
-?僅以密碼作為信任憑據的系統將會(huì )為憑據盜竊提供機會(huì )。
面對種種復雜的挑戰,當前企業(yè)迫切需要采用新的安全架構來(lái)確保數據的安全和合規性,以應對不斷增長(cháng)的安全威脅和監管要求。
Zero Trust破解合規性和網(wǎng)絡(luò )安全挑戰
為了應對以上這些趨勢的挑戰,一種新型安全方法應運而生——zero trust,它基于身份驗證、突破地點(diǎn)制約以及能夠采取主動(dòng)措施處理漏洞。Zero Trust安全架構既能夠提供用于保障訪(fǎng)問(wèn)安全的強大用戶(hù)身份,又能在攻擊發(fā)生時(shí)實(shí)施主動(dòng)抵御。
·?顛覆傳統,零信任面對復雜的監管要求“得心應手”
零信任模型是一種網(wǎng)絡(luò )安全戰略方法。它顛覆了傳統的網(wǎng)絡(luò )安全范式,在這種范式中,企業(yè)網(wǎng)絡(luò )內的用戶(hù)、設備、應用程序是隱式信任的。采用零信任方法,組織內部和外部的用戶(hù)、設備和應用程序必須針對每個(gè)訪(fǎng)問(wèn) IT 資源的請求進(jìn)行身份驗證和授權。 隨著(zhù)遠程工作、云計算和 BYOD 使傳統網(wǎng)絡(luò )邊界幾乎變得過(guò)時(shí),零信任安全有助于阻止網(wǎng)絡(luò )安全威脅并限制成功網(wǎng)絡(luò )攻擊的爆炸半徑。
許多監管框架需要強有力的數據保護措施。零信任和微分段不僅通過(guò)嚴格控制和監控對敏感數據的訪(fǎng)問(wèn)來(lái)支持合規性,同時(shí)也有助于解決內部威脅——對于需要防范內部威脅的法規,最小權限原則可確保每個(gè)用戶(hù)只能訪(fǎng)問(wèn)任何任務(wù)所需的資源,從而降低惡意內部人員帶來(lái)的風(fēng)險。其次,零信任將有助于合規環(huán)境的細分。使用微分段將網(wǎng)絡(luò )資產(chǎn)劃分為更小的安全控制區域,利用零信任可以滿(mǎn)足要求某些數據與 IT 基礎設施其他部分隔離的法規。最后,零信任原則可以擴展到所有用戶(hù)(包括供應商和第三方),這無(wú)疑極大地幫助組織確保了對嚴格控制供應鏈安全法規的要求遵守。
針對PCI DSS的合規性挑戰,微分段技術(shù)通過(guò)細分網(wǎng)絡(luò )、限制第三方用戶(hù)訪(fǎng)問(wèn)權限以及提供實(shí)時(shí)可見(jiàn)性,幫助企業(yè)有效解決這一難題。相比傳統方法,基于軟件的微分段解決方案能夠顯著(zhù)減小合規范圍,降低合規成本和工作量,并幫助組織滿(mǎn)足監管要求。實(shí)施PCI DSS微分段的步驟包括獲取可見(jiàn)性、不依賴(lài)基礎設施、考慮抽象安全需求,并持續監控和改進(jìn)策略,以適應不斷變化的環(huán)境和威脅。
·?大幅簡(jiǎn)化合規流程并減少風(fēng)險
采用Zero Trust 方法可有助于幫助企業(yè)簡(jiǎn)化合規流程并有效降低風(fēng)險。顯式驗證以及支持最低訪(fǎng)問(wèn)權限是 Zero Trust 的兩大關(guān)鍵能力,能夠大幅度簡(jiǎn)化合規工作流程。企業(yè)可以將管制資產(chǎn)與數據中心或云的其他流量隔離,并根據身份而非位置允許訪(fǎng)問(wèn)。借助監測能力,企業(yè)可以看到監管環(huán)境的進(jìn)出流量,確定范圍中的內容。這能夠大幅降低審核的復雜性和成本,簡(jiǎn)化審核員的工作。同時(shí),零信任通過(guò)與微分段實(shí)現整合,將通過(guò)不斷驗證數字交互的各個(gè)方面并主動(dòng)遵守側重于風(fēng)險評估和管理的監管要求來(lái)識別和減輕風(fēng)險。
·?強化勒索軟件防護盾
通過(guò)實(shí)施Zero Trust架構,訪(fǎng)問(wèn)控制策略和微分段能夠最大限度地限制此類(lèi)攻擊可能造成的破壞。攻擊者將更加難入侵系統,而且擴張能力也將受到限制。Zero Trust將分別從初始感染、橫向移動(dòng)及數據泄露和加密等不同步驟進(jìn)行應對,加以防范。
如何以零信任守護安全合規零風(fēng)險
我們建議企業(yè)可以采取以下策略,構建零信任架構以滿(mǎn)足合規安全需求:
1.?高管領(lǐng)導:?在零信任項目團隊中,最好由企業(yè)高管擔任領(lǐng)導角色,而非IT或安全團隊,以確保全面的零信任部署。企業(yè)高管具有更廣泛的視野和對企業(yè)戰略的深刻了解,能夠更好地協(xié)調各部門(mén)工作,推動(dòng)零信任在整個(gè)企業(yè)的有效實(shí)施。他們擁有更高的權力和決策能力,有助于推動(dòng)零信任部署的順利執行。
2.?多角度評估成熟度:?企業(yè)在實(shí)施零信任前,最好參考行業(yè)指南,從用戶(hù)、數據、設備和云端等多個(gè)角度評估零信任的成熟度。
3.?融入微分段技術(shù):?微分段技術(shù)可將網(wǎng)絡(luò )劃分為隔離的安全區域,作為零信任戰略的重要組成部分,有助于減少網(wǎng)絡(luò )攻擊面,提高數據和資源安全性。微分段技術(shù)使組織能夠快速識別和隔離網(wǎng)絡(luò )上的可疑活動(dòng)。
4.?與專(zhuān)家緊密合作:?在零信任部署過(guò)程中,建議企業(yè)與專(zhuān)業(yè)的技術(shù)解決方案提供商合作,利用其技術(shù)和資源促進(jìn)跨部門(mén)、跨團隊的合作。通過(guò)共同解決大方向上的問(wèn)題,借助同一平臺搭建成功的零信任架構。
隨著(zhù)各地對數據合規的立法越發(fā)健全,企業(yè)逐漸步入數據合規的“深水區”。通過(guò)零信任架構精細的權限管理,企業(yè)能夠更好地保護數據資產(chǎn)并確保合規性,將安全防御的重心從靜態(tài)的、基于網(wǎng)絡(luò )的邊界轉移到專(zhuān)注于用戶(hù)、資產(chǎn)和資源,助力企業(yè)在不斷變化的數據保護和合規性世界中破浪前行。
( 劉炅 ?Akamai大中華區產(chǎn)品市場(chǎng)經(jīng)理 )
相關(guān)稿件