零信任安全性入门

零信任安全性 入门建立网络弹性之指南中国洞察对标洞察IBM 商业价值研究院IBM 如何提供帮助IBM Security 使用与业务优先任务保持一致的现代开放式安全方法，将零信任付诸实践。要了解更多信息，请访问： ibm.com/security/zero-trust为了更好地了解组织如何实施零信任安全性，IBM 商业价值研究院 (IBV) 与牛津经济研究院合作，对来自全球 15 个行业的组织中的 1000 多位运营和安全高管进行调研（请参阅第 16 页的“调研方法”）。扫码关注 IBM 商业价值研究院了解更多 IBM 零信任安全解决方案的详细信息，请扫描二维码。或者致电 4006657755，与专家取得联系。官网微博微信公众号微信小程序零信任安全 解决方案新业务模式正在加快安全转型的步伐。随着风险的持续演变以及新威胁的不断出现，依靠既定边界和绝对信任的传统安全模式逐渐过时。超越传统职能和组织边界的组织需要更为全面、多层次的事件驱动型安全模式。零信任安全性带来明显的运营优势。“零信任”是一种动态的安全方法，结合使用访问控制、身份管理和背景数据来验证请求。 “零信任率先尝新者”是指那些具备最成熟的零信任能力的组织，他们通过这种方法减少支出，改进网络安全有效性，并提高网络资源保留率。 零信任领先者在 4 个核心能力方面出类拔萃。 零信任安全性通过将信任转化为访问操作变量来增强网络弹性。成熟的 4 项核心能力与相关实践可以推动零信任取得成功。 冯靓、高爽、张炜、王莉、 Chris McCurdy、Shue-Jane Thompson、 Lisa Fisher 与 Gerald Parham 合著要点进步的代价 组织通过加快数字化业务转型步伐，扩展云技术的应用范围，扩大远程员工队伍以及整合供应链，以应对新冠病毒疫情的冲击。我们的调研表明，从 2019 年底到 2020 年末，受安全保障的远程工作人员数量增加了 41%。但是，将交流沟通、业务和个人互动移至线上也显著扩大了潜在的攻击面，导致网络安全事件和泄露的记录大幅增加（见图 1）1。随着工作负载迁移到云端，威胁也如影随形。我们的调研表明，在 2020 年，超过 90% 的网络相关事件起源于云环境。系统故障/问题数据完整性/可用性问题数据泄露： 第一方机密数据数据泄露： 第三方机密数据滥用系统、针对性的恶意通信、网络欺诈/盗窃25%24%20%20%15%图 1数据暴露在线互动越来越普遍，中国的数据泄露也越来越常见*问题：贵组织检测到的网络安全事件按类型是如何分布的？ * 由于对数据进行了四舍五入，总和可能不等于100%1虽然基于云的共享服务和协作式工作环境对于实现业务成果至关重要，但这些环境需要一种新的安全运营方法 ― 一种更加灵活、响应更迅速、合作程度更高的方法。为了利用这种新方法的优势，领先者根据零信任原则对其 IT 和 OT 运营进行现代化改造（请参阅“观点：什么让零信任安全性与众不同？”）。高价值但易受攻击：保护关键基础架构关键基础架构体现出信任与风险之间的动态关系。随着运营转移到线上，IT 和 OT 网络都面临网络攻击风险。我们对 IT 和 OT 环境的依赖意味着任务关键型基础架构在新威胁面前越来越脆弱（见图 2）。 IBM Security 与 Ponemon Institute 合作发布的《2021 数据泄露成本报告》显示，远程工作导致数据泄露成本增加了 107 万美元。2 另一份 IBM Security 发布的《X-Force 威胁情报指数2021》也发现，勒索软件攻击已经成为第一大威胁类型，在 X-Force 2020 年所响应的安全事件中的占比为 23%。376%的中国企业无法保护在多个云和本地环境中移动的数据，严重阻碍了价值实现。87%的中国企业无法安全地为内部和外部合作伙伴实现和扩展新的云原生能力。150 天 ―中国企业用合格的候选者填补网络人才空缺所需的时间，导致意识和责任产生缺口，增加风险敞口。问题：您如何对上述网络安全风险评分？该图显示了回答高风险和极高风险的数量（部分选项样本量较少）。图 2相互关联的风险IT 和 OT 风险非常复杂，而且相互关联第三方机密数据被盗或丢失实体资产损坏运营中断或停工公司机密数据被盗或丢失危害员工安全潜在的环境危害或灾难中国与 IT 相关的首要网络安全风险11233危害员工安全 运营中断或停工声誉受损第三方机密数据被盗或丢失公司机密数据被盗或丢失潜在的环境危害或灾难实体资产损坏危害客户/其他人的安全违反监管法规要求中国与 OT 相关的首要网络安全风险12345324662 信任是协作与合作关系的基础。 随着这些能力成为价值实现过程中不可或缺的要素，我们对信任的看法也在迅速发生变化。 虽然传统的网络安全方法依赖于许可权限和离散的网络边界，但目前的网络由动态服务和扩散的边界所定义。当今的数字平台依靠多方互联互通和共享信息来产生价值。 因此矛盾不可避免。许多 OT 系统传统上依赖于系统隔离，但由于需要使用来自互联设备和智能系统的洞察，使得这种做法难以维持。如果听之任之，缺乏连通性会使现有漏洞更难以修复。更糟糕的是，风险会不断叠加：一个系统出现故障通常会引起连锁反应。威胁实施者在利用 IT 和 OT 安全控制缺陷方面越来越老到（请参阅“观点：IT 与 OT 系统的融合增加风险敞口”）4。虽然潜在影响非常明显，但可能难以预测此类风险。网络犯罪即服务是令人不安的新趋势。5 这些服务通过黑客论坛、直接网络渠道和使用加密货币在暗网上销售，依靠通常是协作式的复杂网络犯罪攻击，例如僵尸网络、分布式拒绝服务攻击 (DDoS)、信用卡欺诈、恶意软件、垃圾邮件和网络钓鱼攻击。《中华人民共和国个人信息保护法》于 2021 年 11 月 1 日生效，结合先前已经生效的《网络安全法》和《数据安全法》等相关法律法规，形成了我国数据合规的三法联动体系。在我国数据监管越来越严格的背景之下，采用零信任架构，可以有效增强企业的合规优势。7传统的网络安全方法依赖于许可权限和离散的网络边界，但目前的网络由动态服务和扩散的边界所定义。 观点：什么让零信任安全性与众 不同？ 从原理上而言，零信任是一种预防性安全方法，它假定恶意行为者已经渗透到组织的网络防御中。目前普遍认为，IT 和网络安全运营在职能上是相互依赖的。因此，组织感知、评估和响应事件的能力表现出较高的动态性，通常接近实时。这种覆盖 IT 和网络运营的整体意识使零信任能力真正具有变革性。在实践中，零信任要求对每次价值交换进行认证和验证，从而将各个运营和网络安全领域衔接起来。由于零信任运营模式不依赖于安全边界，因此非常适合组织边界分散并且以服务形式交换价值的共享生态系统。通过将信任作为运营和交易变量，第三方甚至可以支持最敏感的工作负载和任务关键型能力。观点：IT 和 OT 系统的融合增加风险敞口中国高管面临的主要 IT 问题是第三方机密数据被盗或丢失、实体资产损坏，以及运营中断或停工。主要的 OT 问题包括危害员工安全、运营中断或停工、声誉受损，以及第三方机密数据被盗或丢失。虽然与 IT 和 OT 环境相关的网络安全风险并不总是相同，但它们通常会相互加强。正如 Colon