零信任——不是流行語

在過去幾年中,Forrester 創造的一個術語“零信任”引起了很多關注。零信任,其核心是一種網路架構和安全框架,專注於不區分外部和內部訪問環境,從不信任用戶/角色。
2021-10-22
by 樂雲

零信任——不是流行語

在過去幾年中,Forrester 創造的一個術語“零信任”引起了很多關注。零信任,其核心是一種網路架構和安全框架,專注於不區分外部和內部訪問環境,從不信任用戶/角色。

在零信任模型中,網路僅向經過身份驗證和授權的用戶和設備提供應用程序和數據,並讓組織了解正在訪問的內容並根據行為分析應用控制。隨著媒體報導了因濫用、濫用或利用 VPN 系統而導致的幾起引人注目的違規事件、對訪問網路內其他系統的最終用戶設備的攻擊,或通過第三方的違規行為(通過利用訪問權限或破壞軟件存儲庫以部署惡意代碼。這稍後將用於提供對內部系統的進一步訪問,或將惡意軟件和潛在的勒索軟件部署到網路邊界內的環境中。

當我們第一次開始與 CISO 談論零信任時,感覺這只是一個流行語,CISO 被來自不同網路安全供應商的消息轟炸,為他們提供零信任解決方案。最近,Gartner 發布的另一個框架 SASE(安全訪問服務邊緣)也出現了,並增加了更多的混亂。

然後是 2020 年的 COVID-19,隨之而來的是封鎖和遠程工作的現實。雖然一些組織以此為契機加速圍繞其訪問基礎設施現代化的項目,但其他組織由於採購流程或早期技術決策,最終不得不採取更具戰術性的方法,通過添加更多許可證來提升現有的遠程訪問基礎設施或能力,而沒有機會重新考慮他們的方法,也沒有機會考慮員工在大流行初期全職遠程工作時的經歷的影響。

因此,我們認為現在可能是檢查亞太地區組織的好時機,並查看以下內容:
.疫情對企業的影響
.當前的 IT 安全方法和挑戰
.零信任的意識、採用和實施
.採用零信任的關鍵驅動因素和挑戰

2021 年 8 月,我們委託一家名為The Leadership Edge的研究公司進行一項涉及這些主題的調查。該調查在五個國家/地區進行——澳大利亞、印度、日本、馬來西亞和新加坡,來自擁有 500 多名員工的公司的 1,006 名 IT 和網路安全決策者和影響者參與了調查。

例如,54% 的組織表示,與前一年相比,他們在 2021 年看到安全事件有所增加,83% 的經歷過安全事件的受訪者表示,他們因此必須對 IT 安全程序進行重大更改。
雖然亞太地區的整體統計數據已經很有趣,一起看看這五個國家的獨特特徵:

澳大利亞

澳大利亞組織報告稱,COVID-19 對其 IT 安全方法的影響最大,在接受調查的 203 名受訪者中,有 87% 表示大流行對其 IT 安全狀況產生了中到顯著的影響。澳大利亞最大的兩個城市(雪梨和墨爾本)都被封鎖了 100 多天,僅在 2021 年下半年。隨著廣泛的封鎖,48% 的受訪者表示在最大限度地提高遠程工作人員的生產力而不使他們或他們的設備面臨新風險方面面臨挑戰也就不足為奇了。

澳大利亞 94% 的組織表示,他們將實施重返辦公室和在家工作的組合,因此建立有效且統一的安全方法可能非常具有挑戰性。如果將這一點與去年 62% 的安全事件增加這一事實結合起來,我們可以有把握地假設澳大利亞的 IT 和網路安全決策者和影響者在去年一直致力於改善他們的安全狀況,即使40% 的受訪者表示,他們努力為此類項目爭取到合適的資金水準。

與報告中包含的其他四個國家相比,澳大利亞似乎在實施零信任的過程中取得了很大進展,在過去一到四年中,採用零信任的組織中有 45% 開始了零信任之旅。澳大利亞組織一直以快速採用雲而聞名,即使在 2010 年代初,澳大利亞人就已經在大量使用 IaaS。

印度

與報告中的其他國家相比,印度在家工作的環境非常具有挑戰性,互聯網連接不一致,儘管該國的互聯網速度有了顯著提高,並且經常發生停電等問題在市中心以外的某些地區。令人驚訝的是,印度組織報告的最大挑戰是他們可以從更新的安全功能中受益,這表明傳統安全方法仍然廣泛存在於印度。同樣,37% 的受訪者表示他們的訪問技術過於復雜,這支持了之前的觀點,即更新的安全功能將有利於相同的組織。

當被問及他們對用戶訪問應用程序方式轉變的擔憂時,59% 的受訪者提出的最大擔憂之一是應用程序僅受 VPN 或 IP 地址控制保護。這表明零信任非常適合他們未來的 IT 戰略,因為現在可以將控制應用於用戶及其設備。

另一個有趣的觀點以及可以利用零信任的地方是 65% 的受訪者表示內部 IT 和安全人員短缺和裁員是一個巨大的挑戰。大多數安全技術都需要特殊的技能來構建、維護和操作,這就是使用正確的零信任方法簡化訪問可以真正幫助提高這些團隊的生產力的地方。

馬來西亞

在我們關於大流行對組織 IT 安全方法的影響的報告中,馬來西亞的評分第二高(80%),並且在使用家庭網路和使用個人設備工作的員工中評分最高,分別為 94% 和 92% . 從安全角度來看,這會對組織的安全態勢產生重大影響,並顯著增加組織的攻擊面。

從風險的角度來看,馬來西亞組織對員工設備缺乏管理的評價很高,其中 65% 的組織對此表示擔憂。其他值得一提的領域是應用程序和數據暴露在公共互聯網上,以及應用程序內部員工活動缺乏可見性。

57% 的受訪者表示與上一年相比安全事件有所增加,89% 的受訪者表示,由於安全事件或針對其環境的攻擊企圖,他們不得不對 IT 安全程序進行重大更改。

新加坡

在新加坡,79% 的 IT 和網路安全決策者和影響者報告說,大流行已經影響了他們的 IT 安全方法,五分之二的組織表示,由於大流行造成的影響,他們可以從更現代的安全功能中受益. 52% 的組織還報告說,與 2020 年相比,安全事件有所增加,其中近一半的組織發現網路釣魚嘗試有所增加。

由於大流行的直接結果,新加坡組織也不能倖免於 IT 安全支出的顯著增加,其中 62% 的組織報告了更多的安全投資。這些組織面臨的一些挑戰與直接暴露於公共互聯網的應用程序、對第三方訪問的有限監督以及僅受用戶名和密碼保護的應用程序有關。

雖然新加坡以高速家庭互聯網而聞名,但令我驚訝的是,40% 的接受調查的組織報告了延遲或通過 VPN 連接到應用程序的速度緩慢的問題。這表明,即使在相對較小的地理區域內,將流量集中到單個位置的問題也會影響應用程序性能,即使帶寬不一定是問題,就像在新加坡發生的情況一樣。

IT 安全領域的工作從未停止

雖然每個國家/地區在 IT 安全狀況和零信任採用方面存在明顯差異,但在整個亞太地區,相似之處最為突出:

.網路攻擊繼續上升
.彈性工作將繼續存在
.熟練的內部 IT 安全人員是一種稀缺資源
.需要就零信任教育利益相關者
這些挑戰並不容易解決,除此之外,還需要專注於改善員工體驗、降低運營複雜性、更好地了解 3rd 方活動以及由於安全事件的增加而更嚴格的控制,而且您已經獲得了IT 的巨大責任。

這就是 Cloudflare 的用武之地。Cloudflare不僅在整個大流行期間幫助我們的員工開展安全工作,而且在用戶通過 Cloudflare Access 訪問應用程序或保護用戶時,我們還幫助全球各地的組織簡化其 IT 安全操作他們通過我們的安全 Web 網關服務在 Internet 上的活動,其中甚至包括圍繞 SaaS 應用程序和瀏覽器隔離的控制,所有這些都具有最佳的用戶體驗。