九九九中文无码A∨|亚洲国产成人最新精品|国产AV无码精品色午夜|国产精品久久久久三级无码|日韩欧美一区国产二区在线|欧美另类精品一区二区三区|精品一区二区三区毛片视频网|中文字幕日韩精品一区二区三区

中國企業(yè)報集團主管主辦

中國企業(yè)信息交流平臺

微博 微信

零信任:出海路上的合規新“鑰”

2024-05-23 10:20 來(lái)源:中國企業(yè)網(wǎng) 次閱讀
 
零信任:出海路上的合規新“鑰”

如今,監管合規已成為各行各業(yè)最為緊迫的挑戰之一。隨著(zhù)全球監管環(huán)境不斷發(fā)展,企業(yè)往往難以跟上新規則的要求、現有標準的更新以及跨司法管轄區的執法趨勢。同時(shí),新興技術(shù)的迅猛發(fā)展也給合規性帶來(lái)了前所未有的挑戰。例如,人工智能等新技術(shù)在金融領(lǐng)域被廣泛應用于客戶(hù)身份驗證和交易監控,而這些都是合規性要求的重要部分。此外,不斷增加的網(wǎng)絡(luò )安全威脅也使得數據安全漏洞等問(wèn)題成為企業(yè)安全合規的重要考量因素。因此,有效應對新技術(shù)帶來(lái)的合規性挑戰已成為企業(yè)迫切需要解決的問(wèn)題之一。

據調查,超過(guò)一半 (57%)的公司計劃今年在數據監管合規性上花費更多時(shí)間和金錢(qián)。數據合規性是確保組織及其系統滿(mǎn)足法律、法規和運營(yíng)數據要求的過(guò)程??梢哉f(shuō),數據合規是所有數據驅動(dòng)型業(yè)務(wù)的先決條件。確保數據安全合規,有利于企業(yè)與客戶(hù)建立信任,保護公司免受數據泄露和合規違規行為的影響,包括代價(jià)高昂的處罰以及對商業(yè)聲譽(yù)的長(cháng)期影響。

然而,由于數字技術(shù)促使數據應用的場(chǎng)景和參與主體日益多樣化,數據安全的外延不斷擴展,許多企業(yè)面臨著(zhù)數據安全與合規的多重挑戰,包括如何應對不同地區不斷變化的法規、管理和保護數據過(guò)程中的復雜操作以及明確企業(yè)環(huán)境的邊界等。

企業(yè)維持數據安全合規的主要挑戰

隨著(zhù)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò )威脅變得日益復雜和難以預測,黑客攻擊、數據泄露、勒索軟件等威脅不斷涌現,給企業(yè)數據安全帶來(lái)了巨大的風(fēng)險。同時(shí),隨著(zhù)個(gè)人數據保護法規的推出,法律法規對企業(yè)處理個(gè)人數據的要求也越來(lái)越嚴格。另外,企業(yè)還面臨著(zhù)來(lái)自?xún)炔康陌踩{,員工失誤、不當行為或惡意行為可能導致數據泄露或濫用等問(wèn)題。

·?傳統安全架構無(wú)法應對不斷變化的法規要求

企業(yè)面臨復雜的法規要求,不同地區常見(jiàn)的監管框架都有各自網(wǎng)絡(luò )安全合規方面的內容,包括NIST 網(wǎng)絡(luò )安全標準、ISO /IEC 27001?、PCI DSS?、GDPR、CCPA、SOC 2等。這些合規標準通常要求組織通過(guò)持續監控、深度可見(jiàn)性以及對內部和外部用戶(hù)的強大訪(fǎng)問(wèn)控制來(lái)防御網(wǎng)絡(luò )威脅。

許多公司嘗試傳統的網(wǎng)絡(luò )分段方法,例如使用傳統防火墻或 VLAN。雖然改善了內部和外部的訪(fǎng)問(wèn)控制,但也存在挑戰。例如,PCI DSS 需要跨 CDE 進(jìn)行控制。即使放置防火墻也可能很困難,因為在同一虛擬機管理程序上的兩個(gè)容器或兩個(gè)虛擬機之間放置防火墻可能需要一組完全不同的技術(shù)和 API。此外,通過(guò)這些方法更改分段策略以保護資產(chǎn)或使其超出范圍意味著(zhù)更改基礎設施。這通常涉及數據中心內團隊之間的大量協(xié)調,無(wú)疑會(huì )導致不便。最后,對于傳統方法,可見(jiàn)性也是一個(gè)常見(jiàn)問(wèn)題。企業(yè)缺乏有關(guān)東西向流量的實(shí)時(shí)和歷史數據,很難證明超出范圍的系統與其 CDE 是分開(kāi)的。這種問(wèn)題當企業(yè)IT基礎設施包括動(dòng)態(tài)邊界時(shí)更是難以應對。

·?企業(yè)需要面對復雜的審核過(guò)程

對于安全團隊而言,合規性評估是最消耗時(shí)間和資源的任務(wù)之一。當企業(yè)向無(wú)邊界的數字環(huán)境及遠程辦公轉變,這種挑戰變得更加嚴重。企業(yè)通常需要隔離微環(huán)境、為管制資產(chǎn)建立安全圍欄,以滿(mǎn)足各項合規性標準。企業(yè)在面對復雜的合規要求的同時(shí),還需要應對遠程用戶(hù)、公司本地用戶(hù)、合作伙伴、供應商等,這使得企業(yè)環(huán)境的邊界幾乎無(wú)法確定。訪(fǎng)問(wèn)控制是審核成功與否的重要因素之一。安全團隊在準備審核時(shí),必須思考如何限制對敏感信息的訪(fǎng)問(wèn),以使其僅向授權用戶(hù)開(kāi)放、如何確定審核環(huán)境的范圍、如何簡(jiǎn)化審核過(guò)程并減少混亂等復雜問(wèn)題,這無(wú)疑為企業(yè)增加了不少成本支出。

·?勒索軟件攻擊數量的攀升

根據Cybersecurity Ventures預測,到2031年,勒索軟件將每?jì)擅牍粢患移髽I(yè)、一位消費者或一臺設備。勒索事件已經(jīng)成為各種規模企業(yè)面臨的最大挑戰之一。根據Akamai觀(guān)察,由于零日漏洞和一日漏洞的濫用, 2023年第一季度的勒索軟件受害者數量與 2022年第一季度同比增加?143%。

Akamai分析,若企業(yè)具備以下特點(diǎn),勒索軟件團伙將更有可能發(fā)起攻擊:

-?隱形信任,對用戶(hù)、應用程序和網(wǎng)絡(luò )的隱性信任讓成功入侵網(wǎng)絡(luò )的攻擊者能夠橫向移動(dòng)并傳播惡意軟件;

-?過(guò)度授權的訪(fǎng)問(wèn)策略會(huì )導致可能注入勒索軟件的感染;

-?僅以密碼作為信任憑據的系統將會(huì )為憑據盜竊提供機會(huì )。

面對種種復雜的挑戰,當前企業(yè)迫切需要采用新的安全架構來(lái)確保數據的安全和合規性,以應對不斷增長(cháng)的安全威脅和監管要求。

Zero Trust破解合規性和網(wǎng)絡(luò )安全挑戰

為了應對以上這些趨勢的挑戰,一種新型安全方法應運而生——zero trust,它基于身份驗證、突破地點(diǎn)制約以及能夠采取主動(dòng)措施處理漏洞。Zero Trust安全架構既能夠提供用于保障訪(fǎng)問(wèn)安全的強大用戶(hù)身份,又能在攻擊發(fā)生時(shí)實(shí)施主動(dòng)抵御。

·?顛覆傳統,零信任面對復雜的監管要求“得心應手”

零信任模型是一種網(wǎng)絡(luò )安全戰略方法。它顛覆了傳統的網(wǎng)絡(luò )安全范式,在這種范式中,企業(yè)網(wǎng)絡(luò )內的用戶(hù)、設備、應用程序是隱式信任的。采用零信任方法,組織內部和外部的用戶(hù)、設備和應用程序必須針對每個(gè)訪(fǎng)問(wèn) IT 資源的請求進(jìn)行身份驗證和授權。 隨著(zhù)遠程工作、云計算和 BYOD 使傳統網(wǎng)絡(luò )邊界幾乎變得過(guò)時(shí),零信任安全有助于阻止網(wǎng)絡(luò )安全威脅并限制成功網(wǎng)絡(luò )攻擊的爆炸半徑。

2024051614471715.001.png

許多監管框架需要強有力的數據保護措施。零信任和微分段不僅通過(guò)嚴格控制和監控對敏感數據的訪(fǎng)問(wèn)來(lái)支持合規性,同時(shí)也有助于解決內部威脅——對于需要防范內部威脅的法規,最小權限原則可確保每個(gè)用戶(hù)只能訪(fǎng)問(wèn)任何任務(wù)所需的資源,從而降低惡意內部人員帶來(lái)的風(fēng)險。其次,零信任將有助于合規環(huán)境的細分。使用微分段將網(wǎng)絡(luò )資產(chǎn)劃分為更小的安全控制區域,利用零信任可以滿(mǎn)足要求某些數據與 IT 基礎設施其他部分隔離的法規。最后,零信任原則可以擴展到所有用戶(hù)(包括供應商和第三方),這無(wú)疑極大地幫助組織確保了對嚴格控制供應鏈安全法規的要求遵守。

針對PCI DSS的合規性挑戰,微分段技術(shù)通過(guò)細分網(wǎng)絡(luò )、限制第三方用戶(hù)訪(fǎng)問(wèn)權限以及提供實(shí)時(shí)可見(jiàn)性,幫助企業(yè)有效解決這一難題。相比傳統方法,基于軟件的微分段解決方案能夠顯著(zhù)減小合規范圍,降低合規成本和工作量,并幫助組織滿(mǎn)足監管要求。實(shí)施PCI DSS微分段的步驟包括獲取可見(jiàn)性、不依賴(lài)基礎設施、考慮抽象安全需求,并持續監控和改進(jìn)策略,以適應不斷變化的環(huán)境和威脅。

·?大幅簡(jiǎn)化合規流程并減少風(fēng)險

采用Zero Trust 方法可有助于幫助企業(yè)簡(jiǎn)化合規流程并有效降低風(fēng)險。顯式驗證以及支持最低訪(fǎng)問(wèn)權限是 Zero Trust 的兩大關(guān)鍵能力,能夠大幅度簡(jiǎn)化合規工作流程。企業(yè)可以將管制資產(chǎn)與數據中心或云的其他流量隔離,并根據身份而非位置允許訪(fǎng)問(wèn)。借助監測能力,企業(yè)可以看到監管環(huán)境的進(jìn)出流量,確定范圍中的內容。這能夠大幅降低審核的復雜性和成本,簡(jiǎn)化審核員的工作。同時(shí),零信任通過(guò)與微分段實(shí)現整合,將通過(guò)不斷驗證數字交互的各個(gè)方面并主動(dòng)遵守側重于風(fēng)險評估和管理的監管要求來(lái)識別和減輕風(fēng)險。

·?強化勒索軟件防護盾

通過(guò)實(shí)施Zero Trust架構,訪(fǎng)問(wèn)控制策略和微分段能夠最大限度地限制此類(lèi)攻擊可能造成的破壞。攻擊者將更加難入侵系統,而且擴張能力也將受到限制。Zero Trust將分別從初始感染、橫向移動(dòng)及數據泄露和加密等不同步驟進(jìn)行應對,加以防范。

如何以零信任守護安全合規零風(fēng)險

我們建議企業(yè)可以采取以下策略,構建零信任架構以滿(mǎn)足合規安全需求:

1.?高管領(lǐng)導:?在零信任項目團隊中,最好由企業(yè)高管擔任領(lǐng)導角色,而非IT或安全團隊,以確保全面的零信任部署。企業(yè)高管具有更廣泛的視野和對企業(yè)戰略的深刻了解,能夠更好地協(xié)調各部門(mén)工作,推動(dòng)零信任在整個(gè)企業(yè)的有效實(shí)施。他們擁有更高的權力和決策能力,有助于推動(dòng)零信任部署的順利執行。

2.?多角度評估成熟度:?企業(yè)在實(shí)施零信任前,最好參考行業(yè)指南,從用戶(hù)、數據、設備和云端等多個(gè)角度評估零信任的成熟度。

3.?融入微分段技術(shù):?微分段技術(shù)可將網(wǎng)絡(luò )劃分為隔離的安全區域,作為零信任戰略的重要組成部分,有助于減少網(wǎng)絡(luò )攻擊面,提高數據和資源安全性。微分段技術(shù)使組織能夠快速識別和隔離網(wǎng)絡(luò )上的可疑活動(dòng)。

4.?與專(zhuān)家緊密合作:?在零信任部署過(guò)程中,建議企業(yè)與專(zhuān)業(yè)的技術(shù)解決方案提供商合作,利用其技術(shù)和資源促進(jìn)跨部門(mén)、跨團隊的合作。通過(guò)共同解決大方向上的問(wèn)題,借助同一平臺搭建成功的零信任架構。

隨著(zhù)各地對數據合規的立法越發(fā)健全,企業(yè)逐漸步入數據合規的“深水區”。通過(guò)零信任架構精細的權限管理,企業(yè)能夠更好地保護數據資產(chǎn)并確保合規性,將安全防御的重心從靜態(tài)的、基于網(wǎng)絡(luò )的邊界轉移到專(zhuān)注于用戶(hù)、資產(chǎn)和資源,助力企業(yè)在不斷變化的數據保護和合規性世界中破浪前行。

2024051614471715.002.png

( 劉炅 ?Akamai大中華區產(chǎn)品市場(chǎng)經(jīng)理 )

點(diǎn)贊()
上一條:軒崗煤電公司提煤質(zhì) 保外運 增效益2024-04-09
下一條:新一代銀行流程管理平臺,加速邁向網(wǎng)絡(luò )級與生態(tài)級數字化運營(yíng)2024-06-11

相關(guān)稿件

加強數據共享迫在眉睫,Akamai以零信任守護安全合規 2024-05-10
國資委新規推動(dòng)央企加強合規管理 10月1日起施行 2022-09-19
守護企業(yè)出海路 英格爾認證給出合規組合拳|直擊2023浦江創(chuàng )新論壇 2023-09-13
中交集團穩步推進(jìn)“合規管理強化年”各項工作 2022-09-22
首屆“企業(yè)合規高峰論壇”在京舉行 2024-01-17
國務(wù)院國有資產(chǎn)管理委員會(huì ) 中國企業(yè)聯(lián)合會(huì ) 中國企業(yè)報 中國社會(huì )經(jīng)濟網(wǎng) 中國國際電子商務(wù)網(wǎng) 新浪財經(jīng) 鳳凰財經(jīng) 中國報告基地 企業(yè)社會(huì )責任中國網(wǎng) 杭州網(wǎng) 中國產(chǎn)經(jīng)新聞網(wǎng) 環(huán)球企業(yè)家 華北新聞網(wǎng) 和諧中國網(wǎng) 天機網(wǎng) 中貿網(wǎng) 湖南經(jīng)濟新聞網(wǎng) 翼牛網(wǎng) 東莞二手房 中國經(jīng)濟網(wǎng) 中國企業(yè)網(wǎng)黃金展位頻道 硅谷網(wǎng) 東方經(jīng)濟網(wǎng) 華訊財經(jīng) 網(wǎng)站目錄 全景網(wǎng) 中南網(wǎng) 美通社 大佳網(wǎng) 火爆網(wǎng) 跨考研招網(wǎng) 當代金融家雜志 借貸撮合網(wǎng) 大公財經(jīng) 誠搜網(wǎng) 中國鋼鐵現貨網(wǎng) 證券之星 融易在線(xiàn) 2014世界杯 中華魂網(wǎng) 納稅人俱樂(lè )部 慧業(yè)網(wǎng) 商界網(wǎng) 品牌家 中國國資報道 金融界 中國農業(yè)新聞網(wǎng) 中國招商聯(lián)盟 和訊股票 經(jīng)濟網(wǎng) 中國數據分析行業(yè)網(wǎng) 中國報道網(wǎng) 九州新聞網(wǎng) 投資界 北京科技創(chuàng )新企業(yè)誠信聯(lián)盟網(wǎng) 中國白銀網(wǎng) 炣燃科技 中企媒資網(wǎng) 中國石油化工集團 中國保利集團公司 東風(fēng)汽車(chē)公司 中國化工集團公司 中國電信集團公司 華為技術(shù)有限公司 廈門(mén)銀鷺食品有限公司 中國恒天集團有限公司 濱州東方地毯集團有限公司 大唐電信科技股份有限公司 中國誠通控股集團有限公司 喜來(lái)健醫療器械有限公司 中國能源建設股份有限公司 內蒙古伊利實(shí)業(yè)集團股份有限公司 中國移動(dòng)通信集團公司 中國化工集團公司 貴州茅臺酒股份有限公司
肥乡县| 广州市| 英山县| 四子王旗| 马关县| 寻乌县| 焉耆| 东城区| 清水县| 南平市| 武定县| 绥化市| 从江县| 临高县| 石阡县| 广河县| 长寿区| 滁州市| 合阳县| 炎陵县| 井研县| 邯郸市| 泸定县| 合川市| 阿克苏市| 潢川县| 盘山县| 常德市| 英德市| 惠来县| 通榆县| 高邑县| 崇仁县| 会东县| 巫溪县| 天水市| 修武县| 信宜市| 纳雍县| 白山市| 浏阳市|