网络攻击威胁日益严峻,SolarWinds、JBS USA和Colonial Pipeline等遭到攻击的事件层出不穷,企业组织不能再依靠传统的防御手段来保护关键基础设施和数据,Log4j漏洞的出现更是警醒着企业组织,攻击者可能已经潜伏在公司的内部网络之中,鉴于这些备受瞩目的事件,为了增强抵御网络威胁的应对能力,许多国家立法力度也进一步增强,例如美国的《关键基础设施网络事件报告法案》、欧盟的《网络安全和信息安全措施通用条例》。
普宁网站建设公司成都创新互联公司,普宁网站设计制作,有大型网站制作公司丰富经验。已为普宁数千家提供企业网站建设服务。企业网站搭建\成都外贸网站制作要多少钱,请找那个售后服务好的普宁做网站的公司定做!
这些新法的出台旨在改变网络安全模式,由原来的“信任但验证”旧口号转向零信任方法。一个典型的例子就是美国行政管理和预算局(Office of Management and Budget,简称“OMB”)今年早些时候发布了联邦战略,该战略详细地列举了一系列具体的安全要求,并力求美国政府机构要在2024年底之前实现具体的零信任目标,并且要与网络安全和基础设施管理局的零信任成熟度模型及以下五大要素密切配合:
零信任架构与其他网络安全架构相同,要想达到以上的要求和标准需要政府机构的支持,然而,美国的许多关键基础设施都由私营部门所主导,这些私营部门在网络安全管理上总是擅自专权。
还有一个最大的问题是OMB发布的这些战略错估了零信任的“功效”,事实表明,在实施零信任架构的过程中,由于软件冲突、人为错误、常理不足和恶意行为等多重因素的共同影响,旨在防范各种威胁事件的工具和软件经常被错误安装和使用。而且实际上,大多数黑客攻击都会长期侦察,攻击者会禁用或绕过任何安全控制机制,因此,零信任战略的落地需要弹性,且因时而变,以抵御外部攻击因素为主要目的,而不能一味的纠结于规定红线和明文标准。
零信任的弹性落地情况要依据实际应用场景而定,任何情况下,企业组织采用零信任技术为确立网络弹性措施赋予怎样的优先级,取决于对黑客在攻击受害者时通常采用的策略、技术和程序(所谓的TTP)等多方面下的评估。
端点设备通常被黑客和网络犯罪分子用作发起攻击的入口点,或充当在网络内横向移动的立足点。波耐蒙研究所(Ponemon Institute)最近的一项调查也佐证了这一点,调查显示68%的企业组织在过去12个月内遭到过端点攻击。尽管众多企业组织都在尽力保护端点设备,但该数据说明端点安全依旧严峻,因此端点安全需要弹性的零信任方案,当然,端点弹性只是网络安全弹性方案的一个表现,端点弹性使企业组织能够清楚地知晓端点设备部署在哪里,并在这些端点上实施安全措施,如此,一旦端点设备被禁用、被篡改或被攻击,也能实现自我修复。
实施端点弹性等网络弹性策略在攻击事件发生前后会为企业组织带来以下的收益:
鉴于上述诸多优势,越来越多的企业在部署网络风险和安全管理框架时都在采用网络弹性这个概念。例如,美国国土安全部的网络弹性评估(CRR)就如何评估组织的运营弹性和网络安全实践提供了指导;此外,美国国家标准与技术研究所(NIST)特别出版物800-160 Volume 2,它为设计安全可靠的系统提供了一套框架,将不利的网络事件视为弹性和安全问题。
综上,网络弹性是践行零信任的重要方法,如果实施得当,弹性零信任将成为一种预防性措施,可以有效对付人为错误、恶意行为以及不稳定的老化软件等一系列问题。
参考链接:https://www.securityweek.com/need-resilient-zero-trust
当前名称:弹性策略将是践行零信任的重要方法
本文URL:http://www.stwzsj.com/qtweb/news14/10914.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联