企業(yè)高度互連,生產(chǎn)力飛速提升�,但網(wǎng)絡(luò)風(fēng)險(xiǎn)也隨之增加。現(xiàn)代企業(yè)有何變化�����?如何在各種轉(zhuǎn)變中保護(hù)好企業(yè)網(wǎng)絡(luò)�����?
企業(yè)及撐起企業(yè)運(yùn)營的信息技術(shù)(IT)將生產(chǎn)力提升到了新的高度����。過去我們慣于人工處理會(huì)計(jì)�、銷售或前臺(tái)業(yè)務(wù)��,現(xiàn)在這些業(yè)務(wù)都可以借助過程控制或庫存管理傳感器�����、銷售終端系統(tǒng)和訪問控制等新設(shè)備和新技術(shù)完成了���。
然而��,這種環(huán)境也大幅增加了攻擊界面����,各種難以管理的設(shè)備充斥其中�����,與網(wǎng)絡(luò)頻繁交互��,需要加大監(jiān)管力度�。
從某種意義上講,現(xiàn)代企業(yè)相當(dāng)于滿是聯(lián)網(wǎng)設(shè)備的“企聯(lián)網(wǎng)”��,這些設(shè)備不僅溝通信息���,還控制著實(shí)體世界與技術(shù)系統(tǒng)的交互方式��。過去幾十年已是漏洞利用和數(shù)據(jù)泄露的天下�����,如今���,這些新入網(wǎng)設(shè)備將我們的數(shù)字世界與實(shí)體世界深度互連,急劇擴(kuò)大了暴露風(fēng)險(xiǎn)�����、漏洞影響和有形傷害�����。鑒于企業(yè)還在加速建設(shè)虛擬工作環(huán)境和現(xiàn)代化各類過程��,想讓現(xiàn)場(chǎng)操作員可以遠(yuǎn)程操作��,這種風(fēng)險(xiǎn)與危害驟增的情況尤為真實(shí)和突出��。
萬事皆遠(yuǎn)程的世界里,我們的IT和安全主管比以往任何時(shí)候都需要調(diào)整和改進(jìn)自身網(wǎng)絡(luò)風(fēng)險(xiǎn)緩解策略����,實(shí)施主動(dòng)式企聯(lián)網(wǎng)(EoT)安全措施。Forescout Technologies公司此前開發(fā)從外部掃描網(wǎng)絡(luò)端點(diǎn)的軟件����,現(xiàn)在出品的客戶端軟件則可以檢查試圖接入網(wǎng)絡(luò)的機(jī)器。這家公司的首席技術(shù)官Robert McNutt談到了企聯(lián)網(wǎng)的一些統(tǒng)計(jì)分析數(shù)據(jù)�����,給出了保護(hù)企聯(lián)網(wǎng)的幾條最佳實(shí)踐���。
數(shù)據(jù)點(diǎn)1:預(yù)測(cè)將出現(xiàn)大量物聯(lián)網(wǎng)部署和非托管設(shè)備
Statista.com估測(cè)���,到2030年,全球物聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備的數(shù)量預(yù)計(jì)將增加一倍�,達(dá)到500億臺(tái),去年聯(lián)網(wǎng)設(shè)備的數(shù)量為220億臺(tái)�����。這些聯(lián)網(wǎng)設(shè)備中非托管設(shè)備的占比越來越高��,也就是說越來越多的設(shè)備不經(jīng)IT或安全團(tuán)隊(duì)驗(yàn)證就接入企業(yè)網(wǎng)絡(luò)了。國際數(shù)據(jù)公司(IDC)則表示����,今年的IT支出中有37%都花在了非托管設(shè)備上��,上升29%�����。
除了企業(yè)自身員工���,還有許多承包商��、合作伙伴和客戶也隨時(shí)隨地訪問公司數(shù)據(jù)中心或云�。我們過去使用的安全解決方案并不足以解決這些設(shè)備帶來的問題����。大多數(shù)基于設(shè)備的安全措施都以軟件代理的形式呈現(xiàn),這些軟件代理僅兼容Windows或Mac之類主流操作系統(tǒng)�����,不適用于運(yùn)行其他操作系統(tǒng)的大量非托管設(shè)備����。就目前的情況而言�,F(xiàn)orescout客戶所用設(shè)備中不到48%(且這一數(shù)字還在不斷下降)能夠利用基于代理的安全選項(xiàng)(如殺軟)�,且需要其他防護(hù)。
數(shù)據(jù)點(diǎn)2:完整可見性和全面自動(dòng)化可有效降低風(fēng)險(xiǎn)
企業(yè)實(shí)際擁有的設(shè)備數(shù)量通常都超出自身估計(jì)���,而自己都不了解的東西�����,自然也就無從談起保護(hù)了���。如果缺乏企聯(lián)網(wǎng)生態(tài)系統(tǒng)的完整可見性和上下文,就不太可能實(shí)現(xiàn)關(guān)鍵安全目標(biāo)��,例如保持合規(guī)��、縮小攻擊界面和遏制數(shù)據(jù)泄露影響��。想要實(shí)現(xiàn)對(duì)整個(gè)企業(yè)的全面控制���,就得了解哪些東西是需要保護(hù)的�,知道這些東西的既定運(yùn)行方式���。所以����,企業(yè)需要確定采用哪種工具來建立這種對(duì)IT、OT和云端的實(shí)時(shí)全面感知��。
數(shù)據(jù)點(diǎn)3:零信任恢復(fù)完全控制
安全團(tuán)隊(duì)?wèi)?yīng)始終假定網(wǎng)絡(luò)是外部和內(nèi)部威脅不斷涌入的戰(zhàn)場(chǎng)�,無論這些威脅是否已經(jīng)存在于網(wǎng)絡(luò)上���。零信任守則堅(jiān)持“永不信任��,始終驗(yàn)證”的原則�,有助于恢復(fù)對(duì)此類環(huán)境的控制��。
遵循零信任的企業(yè)將細(xì)粒度控制應(yīng)用于所有聯(lián)網(wǎng)設(shè)備及其操作者(如果有操作者的話)�,并實(shí)施最小特權(quán)策略,限制這些設(shè)備和人僅具有執(zhí)行其任務(wù)/角色所需的訪問權(quán)限����。
零信任不是從某個(gè)供應(yīng)商那里購買的東西,而是跨網(wǎng)絡(luò)所有層級(jí)協(xié)同和通過策略執(zhí)行器共同編排的一項(xiàng)工作���,可以通過投資基于上下文的多層架構(gòu)實(shí)現(xiàn)�����,能夠解決任何連接位置的各種設(shè)備類型���。
數(shù)據(jù)點(diǎn)4:是極端方法���,還是越來越普遍的措施?
零信任原則和網(wǎng)絡(luò)訪問控制大約興起于15年前����。不過,此后零信任偏重決策方面的發(fā)展��,同時(shí)依然遵循根據(jù)特定標(biāo)準(zhǔn)判斷實(shí)體是否具有資源訪問權(quán)的簡單前提����。近年來,企業(yè)將零信任納入其安全策略的做法變得越來越普遍����。事實(shí)上,在過去的一年里�����,近50%的企業(yè)一直在研究各種零信任實(shí)施技術(shù)。未來幾年中我們很可能見證這一數(shù)字繼續(xù)增長����。
數(shù)據(jù)點(diǎn)5:有時(shí)自我防護(hù)不是可選項(xiàng)而是必選項(xiàng)
隨著實(shí)體世界逐漸線上化,我們開始遇到不能離線升級(jí)或修復(fù)的關(guān)鍵系統(tǒng)���,比如關(guān)鍵制造組件�、醫(yī)療保健設(shè)備或公共事業(yè)設(shè)施傳感器�。停機(jī)對(duì)這些技術(shù)系統(tǒng)的影響會(huì)迅速蔓延到實(shí)體世界,可能會(huì)斷水��、斷電���、中斷生產(chǎn)制造,或者削弱提供醫(yī)療保健的能力�。
涉及此類環(huán)境時(shí),靠軟件補(bǔ)丁或防病毒代理來防護(hù)設(shè)備自身是不可能的����。企業(yè)必須依靠虛擬保鏢來保護(hù)這些令人垂涎的系統(tǒng),也就更加凸顯出補(bǔ)償控制的重要性�,因?yàn)橐郧笆褂玫墓ぞ咴诒3炙璋踩珣B(tài)勢(shì)方面效果不佳。選擇補(bǔ)償控制有利于企業(yè)采納企聯(lián)網(wǎng)主動(dòng)防御方法���。
原文來源:數(shù)世咨詢
在線咨詢
在線咨詢
0371-63319761