零信任的业务安全

许多领导人回避零信任这个词,因为他们相信这意味着组织不应该培养信任关系。这是完全相反的意图。Forrester零信任这个名字在2009年因为我们希望消除危险的安全团队信任的假设是毁灭性的破坏准则。把所有流量在企业网络作为受信任在默认情况下,安全团队忽略威胁恶意的内部人员,特权伙伴和损害用户帐户负责高百分比的违反。这也意味着安全团队从来没有积极寻找网络罪犯已经在网络的迹象。在2009年,这不是不寻常的攻击者与自由住好几个月不被发现偷窃客户敏感数据和企业最有价值的IP,迫使客户应对严重的身份盗窃和业务放弃竞争优势。这个名字零信任是提醒安全团队从不信任网络的信息包,采取警惕的姿态时,假定企业已经遭受破坏。以零信任方式,商业领袖们能够:

• 增加客户数据共享新体验。Forrester的消费者信任必须调查,2023年,网上显示,成年人在美国(38%)、西班牙(28%)、意大利(47%)、新加坡(36%)可能会分享更多的个人数据与科技公司他们信任。零信任减少了可能性,任何人都可以有意无意滥用客户的个人资料。这使得企业领导人更容易与客户沟通关于公司的隐私惯例显然和公开,建立自信公司的隐私的承诺。使用更多的数据,科技公司可以打败竞争对手市场的先行经验向客户提供便利,简化甚至消除需要互动。
• 成功推出新产品。相同的调查显示,一半以上的在线成人在美国,西班牙,意大利,新加坡愿意尝试新产品的科技公司,他们的信任。零是一个以数据为中心的信任,workload-centric安全模型;不仅要求组织保护面向客户的技术和服务在生产中,但也确保新股发行有一组最小可行的安全特性构建到他们的设计,而不是在事后。零信任不慢上市时间;它平衡的上市时间与客户隐私和安全要求客户同时最小化风险和业务本身。
• 保持客户忠诚度和保留。我们也知道破坏信任,安全和隐私漏洞。认为美国在线成人(22%)、西班牙(33%)、意大利(32%)和新加坡(26%)说,他们将停止与公司/组织永久做生意如果他们看到关于数据泄露的消息公开客户的个人信息。零信任不会停止所有漏洞,但它会降低的频率和范围的影响,强调数据保护,很有可能违反永远不会暴露未加密的客户数据。当企业与客户建立信任,客户更容易原谅公司错误,但是最好避免支出,违反信托资金你可以很容易地避免,而不是用它来试验新产品或者新的经历的新兴技术。

与传统的基于边界安全,构建更高的墙周围一切,很难做生意而使自己暴露在防御不可避免地失败。为零的信任,你的目标最优安全策略具体业务旅行和不断更新不断变化的环境的需求。如果旧模式的安全是一个僵化的护城河,城堡,零信任是一个现代的城市,人们和商业自由流动,而个体建筑,住宅,资产,等有自己的安全系统只允许授权的人进入,只有地板和资源的访问他们需要生活,工作,玩。与此同时,公共安全提供警觉性和反应服务识别和地址灾害危险性。通过有针对性的保护,城市可以在本地包含威胁影响一个社区或块,这是罕见的事件破坏整个城市。与零信任,组织可以:

• 很容易支持anywhere-work模型。零信任可以使员工增加选择与任何设备从任何地方工作,只要他们正确地在一个兼容的设备和应用程序进行身份验证。零信任还可以让员工安全责任转移远离用户而不是依靠技术控制来做他们的工作(例如,使用数字证书和生物识别技术建立的身份,而不是要求员工记住密码)。而不是迫使雇员使用VPN连接,零信任网络访问(ZTNA)允许安全连接从几乎任何地方没有VPN的麻烦。
• 云加速现代化。作为企业追求规模、灵活性、性能和与云服务创新,他们拥抱原生云技术,驱动敏捷和DevOps-based技术操作和升级云安全零信任。现在hyperscalers零信任原则嵌入到他们的环境。2023年5月,AWS推出了ZTNA服务,加入GCP和Azure都已经有了。谷歌接受零信任因民族国家攻击十年前,及其系统和接口今天体现零信任原则。Azure使用许多组织的地位身份提供商使其系统identity-first并提供一个可信的只有少数零信任”政策引擎”中描述NIST SP 800 - 207。对于那些仍然谨慎一些工作负载转移到云端,零信任可以缓解许多安全和隐私问题。
• 与合作伙伴共同创造和创新更灵活。没有零信任,安全团队将采取向合作伙伴提供复杂的企业数据访问和系统,扼杀创新——如果他们愿意提供访问。为零的信任,因为你可以限制合作伙伴访问,与加密和保护隐私保护数据技术,和部分网络,您可以启用的伙伴关系,同时减少合作伙伴的风险成为一个源的数据泄露或滥用隐私。例子包括数据共享的伙伴关系为增值服务消费者和制造商与供应商共享数据的能力,帮助他们提高和加强供应链。
• 飞行员新兴技术以更少的风险。医疗组织是具有挑战性的环境安全,由于各种设备连接到他们的网络,资源约束,这一事实错误可以危及生命。心脏起搏器、胰岛素泵和其他医疗设备越来越先进和连接。与此同时,新的云和边缘技术解决方案使其更容易移动病人护理,大大增加医疗保健组织的攻击表面。ZTNA成为必不可少的边缘部署和医院内部,microsegmentation可以防止临床应用网络罪犯的横向运动。在一个行业饱受ransomware和国家资助的袭击,零信任可以确保数字转换仍在继续。
• 保护你的人工智能模型。对许多企业来说,大型语言模型(llm)像ChatGPT GPT-4, Bing和AI,巴德,等将改变他们的业务,产生新的收入,创造新的经验,或帮助降低成本通过优化现有流程。网络安全数据科学家团队需要帮助、机器学习业务和开发人员来保护调整模型(你的敏感和机密数据是最危险的威胁包括模型盗窃、推理攻击,数据中毒,提示注射。所有核心零信任最小特权原则适用,但企业应关注保护数据本身与同态加密等关键技术和微分隐私,和连续监视可疑活动。

与零信任,安全团队可以大幅度地提高组织的安全状况,减少频率和破坏的影响,实施隐私政策,更容易实现遵从性——就像SaskPower并以其坚定的承诺将零信任原则。零信任也已成为监管要求和前提为某些细分市场如美国联邦机构和关键基础设施的公司。然而,就像有许多引人注目的商业利益。没有信任,商业领袖们能够:

• 权力无摩擦的客户体验。与零信任,安全团队设计保护从由外向内的角度来看,平衡安全需求对阻碍用户体验。管理的身份是一个核心零信任的支柱;也是一个域安全可以改善用户体验,尤其是通过杀死可怕的密码。无密码认证经验基于生物识别技术(手指,脸,声音、行为等)支持微创,低摩擦,但安全的用户体验。
• 推动新员工生产力水平的同时降低成本。零信任积极影响的所有三个司机Forrester的员工经验指数衡量在工作中接触。零信任促进赋权给员工工作的自主性与任何他们想要的——从任何位置和设备。它还扮演着一个很重要的角色,使更高的生产率通过消除繁琐的密码,更换vpn,整合performance-draining安全人员设备——也为企业省钱。最后,因为它使员工能够无缝地工作他们之前从未体验的方式,激发良好的安全文化,一个员工不积极试图绕过安全政策,他们认为该组织是前瞻性和创新性。
• 更好的连接和支持一个全球分布的企业。跨国服务提供者是否希望扩大到新的办公室,零售商寻求推出新的地点,或消费者银行计划新分支,这些网站将需要大约18类型的服务提供可靠的连接,健壮的带宽,和强大的安全。一个零信任的边缘解决安全连接和传输流量的使用主要是基于云计算的安全性和网络服务网站。也是一个伟大的方法来快速集成的分布式站点和位置最近收购了公司与贫穷的安全状况。
• 自信地拓展新市场和新客户。开拓新地理市场需要仔细评估当地的知识产权盗窃和网络攻击的风险。以零信任的方式,来获取远程办公室和员工,企业可能愿意承担更多风险,别人不能或不。零信任使得企业更容易推广和灵活地支持就业模式的类型,最好的业务在一个特定的市场或场景——永久,兼职/ flex,独立承包商,外包商等。它还允许所需的业务增长和合同以及突然退出市场(例如,当公司不得不突然退出俄罗斯)。

加快采用零信任,这都需要业务和技术领导人寻找机会将它集成到特定的转换活动。安全团队经常不知道如何开始零信任之旅。面对堆积如山的技术债务和一个复杂的环境中,他们变得瘫痪,因为他们错误地认为他们必须改变他们的整个环境。对于大型企业复杂的环境,更好的方法是识别特定的用例或计划将受益于零信任收养。零信任可以帮助加速新的数字用户体验、新的合作模式,在任何地方工作,地理扩张,云迁移和边缘计算部署,等等。世界杯预选赛积分表2022帮助使零信托项目,主管应该:

• 加入或帮助特许零信任指导委员会。建立一个共享的零信任治理结构。投资优先级、决策和风险升级过程中的形式化零信任指导委员会将零信任的成功实现从安全组织与目标相吻合的分布式模型,更广泛的组织的目标和风险承受能力。业务代表和领导在零信任指导委员会提供洞察企业远景、目标和挑战,直接零信任战略和路线图,确保零信托计划帮助权力revenue-driving企业目标。
• 开发一个零信任支持计划。鉴于行业混乱和错误信息,重要的是水平集关键个人的理解能力和零信任原则和概念架构。你会想要一个横截面的业务和IT领导人参与零信任教育研讨会。这组业务总监、产品经理、残雪领导人,IT领导等应该了解零信任的好处,以及如何运用这些基本原理在一个较高的水平。然后进行更高级的工作坊,但不限制这些安全团队。企业架构团队成功的关键是零信任,尤其是为关键用例开发解决方案体系结构。最后,您将希望群个人追求零信任证书。
• 继续确定用例和客户旅程零信任转换。当你达到零信任的成功,建立在你最初的胜利通过识别额外的用例,客户或员工旅行和其他新的零信托计划部署。许多组织中,一旦最初的成功将授权零信任对于所有新应用程序的部署和软件开发。另一种方法是识别现有客户或员工旅行受到笨重的安全策略和控制;有时最糟糕的体验,将有利于从零最信任的方法。最低效的和手动员工支持流程是什么?对消费者有多繁重的招收,进行身份验证,并与你的数字体验吗?
• 定义和跟踪好处展示每个实现的业务ROI。例如,一个德国的制造业组织了零信任其工作空间转换程序的一部分。所涉及的项目替换所有的资产,使bring-your-own-device劳动力的灵活性,并引入365年微软在全球业务。作为这个刷新的一部分,该公司选择零信任作为它的安全模型,和商业利益清晰,有据可查的资金支持与生产力的改进和增加灵活性和选择。
• 图你的课程为中级水平的成熟。一系列的成功和增长能力为零的信任,组织可以开发一个更雄心勃勃的路线图嵌入整个企业和成熟组织从初学者到中级。福雷斯特和美国网络安全和基础设施安全机构(CISA)提供大纲三个不同级别的零信任成熟度;Forrester的水平初级,中级和高级。业务和技术领导者可以使用我们推荐的路线图中间零信任成熟。它包括近40任务和技术跨七十年的信任域。
• 使用零信任在未来持续改善。很快,企业将零信任嵌入到他们的架构,新的应用,甚至到他们的开发框架。信徒基础设施代码已经将安全策略如microsegmentation集成到他们起程拓殖和CI / CD管道为云应用程序部署。现代零信托解决方案将结合多个并发身份提供者和合并实时设备实体属性复杂的风险评分。AI将使企业集中零信任策略在环境及促进安全自动化和编制。零信任创新才刚刚开始。未来适合企业实现零信任旅程永远不会结束,将使用相同的原则,持续改进的精神全面质量管理。