《零信任商业价值综述2023.docx》由会员分享,可在线阅读,更多相关《零信任商业价值综述2023.docx(31页珍藏版)》请在课桌文档上搜索。
1、目录致谢4序言6jW9面向人群9目标91 .什么是零信任?102 .对零信任的理解误区123 .商业价值综述纲领134 .商业价值144.1 商业价值的含义?144.1.2商业价值与风险154.2 信息安全的商业价值164.3 为零信任投资做商业案例185 .零信任的商业力|值195.1 商业价值:成本节约与优化215.2 商业价值:运营韧性225.3 商业价值:业务敏捷235.4 商业价值:促进合规245.5 商业价值:维护声誉和品牌价值255.6 商业价值:减少IT风险265.7 商业价值:安全地采用新技术275.8 商业价值:加速业务单位整合(并购)27:2023一全联盟大中华版乂V.7
2、5.9 商业价值:更好地利用现有投资285.10 商业价值:提高可视性和分析性295.11 商业价值:改进用户体验305.12 商业价值:支持战略性业务计划315.13 商业价值:重塑业务流程325.14 商业价值:更好地满足潜在客户的安全需求336 .传达商业价值34了解你的受众35了解你组织结构35建立一个团队并形成联盟35沟通策略35为过程制定计划367 .结论36附录-有用参考资料38摘要零信任是一个大规模的产业趋势,被全世界许多组织采用以及宣传;它带来了更好的安全性能同时减少支出并提高商业效率以及灵活性。然而,“零信任”作为一个行业专有名词存在被错误理解或者难以理解。业务领导与非安全
3、专业人才,例如重要参与者,预算持有人,以及维护者,他们在各个组织零信任发展的道路上影响着第一步的成败。这是因为,采用零信任作为一种组织战略,从根本上讲,需要在整个企业中进行改变、支撑和投入大量的时间、精力和金钱。所以,安全人员需要传达零信任的理念给非技术以及非专业人员,从下到上直到董事会的成员。我们相信信息安全产业仍未能让从业人员简洁直接地传达零信任策略带来的商业价值。这篇CSA国际云安全联盟的指南可以弥补这一空白。面向人群该文档主要面向人群是信息安全专家与从业者,他们希望向各个组织里的业务领导与重要参与者展示零信任带来的价值与商业影响。该文档次要面向人群是各个组织里的非技术、非安全方面的从业
4、者。这份白皮书包含部分技术概念,但是也能让非专业人群理解。目标该文档为信息安全专家提供信息与思路,以此来有效沟通与展示为什么他们的组织应该投资零信任安全战略。这些沟通是为了向内部参与者展示:例如非安全方面IT人员,企业规划人员,财务与预算团队,业务线经理,应用程序所有者,企业首席高管(CEO:首席执行官,C00:首席运营官,CFO:首席财务官)以及董事会成员。这份白皮书使得安全专家能够向组织里的业务领导与重要参与者展示采用零信任带来的价值与商业影响、其次,说服组织主动投资零信任。1 .什么是零信任?零信任是一个基于若干核心原则的网络安全战略,以简单的、具有可观的积极影响方式作用于组织的架构、方
5、式、运营。根据美国国家安全电信咨询委员(NSTAC)零信任和可信身份管理报告中的表述:“零信任是一个网络安全战略,假定没有任何用户和资产被隐式信任。它默认破坏已经发生或者即将发生,所以,企业范围内的用户不应该通过简单的认证就允许访问敏感信息。反而每个用户、设备、应用以及交易必须不间断地验证身份。”根据美国国家标准与技术研究院(NlST)发布的零信任建设(SP800-207)文档定义:零信任(ZT)是一个术语,它是一个不断进化的网络安全范式的集合,从基于网络边界的静态防御,到专注于用户、资产、以及资源。零信任架构(ZTA)使用零信任理念来规划产业和企业的基础设施和流程。零信任假设没有任何隐式信任
6、赋予物理或者网络位置(局域网或者互联网)的资产或者用户账户,或者基于资产拥有权(企业所有或者个人所有)来赋予信任。验证和授权(访问主体和设备)是独立的功能,作用在与企业资源的对话建立之前。NIST文档还提出,零信任“不是单个架构而是一系列关于流程、系统设计和运营的指引原则,它可用作改进任意分类或者敏感等级的安全态势。”其中还包括了7个零信任的核心原则,列出以供参考:1所有数据资源和计算服务应当作资源。2 .所有通信在任意网络位置都应被保护。3,对每个的企业资源访问权限是基于单次会话赋予的。1Someinternationaleffortsusetheterm“consequences.ISO3
7、1000,RiskmanagementGuidelinesisanexample.4 .资源访问是基于动态授权-包括客户身份,应用/服务,请求的资产的可观测状态-也可能包含其他行为或者环境参数。5 .企业持续监视和衡量所有拥有资产以及相关资产的完整性和安全性。6.所有资源的验证和授权是动态并严格强制执行于访问被允许之前。6 .企业尽可能多地收集关于资产、网络基础设施和通信的当前状态的信息,并利用它来改善其安全状况。总体来说,零信任很大的程度不同于传统的、基于信任的“城堡护城河”物理网络边界安全架构,因为传统架构在云计算、远程办公、威胁加剧的时代下变得不再高效。老练的攻击者越来越精于利用在现代高
8、级的分布式企业网络中暴露出的技术或者人力薄弱点,时常严重地影响网络连接稳定性。成功的网络攻击基本上利用了各种方式的信任。这使得“信任”,无论是隐性的还是显性的,这个危险的薄弱点必须被排除。在零信任中,所有的网络数据包都是不可信的,同其他在系统中经过的数据包分别单独对待。信任等级实质上为零,所以被称之为零信任。值得注意的是,这个方法关注的是从数字系统中移除信任,而不是人群、关系或者文化。零信任是一个全面的网络安全战略,包含云/多云,内部和外部伙伴/参与者用户(企业设别或者自带设备)端点,私有部署以及混合系统,包括IT(信息技术),OT(运营技术)和IoT(物联网)。零信任不是产品(尽管基于零信任
9、的安全基础设施可以利用各种不同的产品来实施),也不需要组织剔除更换原有的安全基础设施。零信任驱动着新一代的信息安全的架构方法,使得资源与控制的进行对齐来保证最低权限的访问,保证每个网络数据包视作不可信,让系统强制在流程的每一层执行“默认拒绝”模型。零信任方法是一个慎重和谨慎的战略,指引着组织对于基础技术的选择和部署,包括身份、设备、网络,应用和数据尽可能的安全。契合零信任的慎重决定反映了对于日渐增长的危险的认识,以及对更稳固和适应性强的安全态势的需求,利用基于风险的方法来授权访问。零信任的采用包括动态环境、严格的访问控制、持续的验证、行为监视以及严格的安全规章强制执行。通过慎重地采用零信任方法
10、,组织志在通过以一个更警惕和怀疑的态度面对网络流量和人工与非人工活动来最小化数据泄露风险和非授权访问风险。零信任现处在被企业大量应用的早期阶段,而且是美国联邦政府新的网络安全策略的必要部分。同样地,我们期望持续关注如何成功在组织中采用零信任的指引。2 .对零信任的理解误区零信任安全是一个战略,不是即买即用的,或者开发即可实施的。作为一个战略,它将影响你的思维、决策、优先级和对IT与安全工程的考虑。采用这个战略意味着您的组织架构将会升级和进化到零信任架构。应用得当的话,零信任指引着您对于技术架构的选择和部署,包括身份、设备、网络、应用、数据、以及交叉领域例如可视化与分析、自动化与编排、还有治理。
11、零信任不是防止数据泄露的一招致胜绝招。尽管大多数泄露仅包含数以千计的数据记录,但百万记录级别数据的泄露会使得代价成指数级上升。警惕性和严谨的治理是有效减少以下风险因素的重要方法:网矮勺鱼商业电子邮箱泄漏第三方软件漏洞被盗窃或泄漏凭证恶意内部人士云端Ea腿社会工程物理安全被攻陷意外数据流失设备丢失以上这些是数据泄漏的主要来源,并是零信任实施时需要处理的。零信任不仅仅是技术。市面上有大量的安全技术,在明确的环境中对威胁对症下药。相比技术,零信任更关注的是人和流程,它需要的是齐心协力,把这些要素结合起来,通过自动化策略达成更全面的安全。零信任并不难,但它要求安全和技术团队与业务方(这个文档的重点)建
12、立合伙关系。这带来了组织内的文化转变,可能会一时难以适应,但当这个关系建立完成时,零信任会变得简单许多以及更加高效。3 .商业价值综述纲领商业价值纲领由CSA国际云安全联盟零信任工作组编撰,其中包括几个可以帮助理解和传达零信任商业价值的方法。以始为终:这个方针鼓励人们在零信任过程的开始建立关于组织期望方向与明确的展望目标。与商业价值相关的期望结果包括减少合规成本、事故的经济影响、IT和流程债务的复杂性、残余风险,以及总体拥有成本(TC0)。泄露总会发生:承认这个事实使得机构不再要求100%安全这种不现实的目标,转而考虑更有安全韧性这一更容易达成的目标。这个转变带来三个好处:减少泄露发生时的影响
13、设备波及范围颉减少黑客在企业里移动和侦察的能力通过限制单次事故的破坏和损失而减少负面影响风险控制:这是零信任中的关键元素。理解组织的风险偏好可以提供一个容许风险的阈值。零信任的目标帮助机构将内在风险减少至可接受范围,通过实施控制减少可能性、影响,或二者兼而有之。这可使组织变得更坚韧以及更灵活。采用基于风险的优先级将帮助组织理解和识别他们需要解决的差距。组织可以做个稳妥的决策来选择出发点-通常从小问题出发是情理之中,通过快速达成短期目标来改善安全态势并建立零信任倡议的推动力。当选择一个较小且低风险的保护面作为试点时,获得和维护领导层的接纳会更容易,这样就可以利用其指标来突出安全范式的变化并展示商
14、业价值。传达零信任的商业价值将有效鼓励领导层来发布正确的指令,为成功的零信任过程的树立根基。4 .商业价值4.1 商业价值的含义?这一章节是为了向读者介绍普遍的核心商业概念和术语。提供了基础词汇和概念模型使得读者提出更有价值的问题,理解商业驱动因素,构筑一个具有商业意义的零信任应用案例。这一章节并不是全面的商业或者金融管理介绍,因为这方面在网上已经有许多可靠的相关资源了。除了营利性企业之外,还有许多不同类型的组织,包括非营利性组织、政府机构,以及监管机构,它们并不是传统的企业。比如一个为了监管银行产业的联邦政府机构就不是一个“企业”,但它仍可以从零信任中获益。像这样的组织,它们的商业价值就应该
15、是有助于实现其组织的任务目标。企业运作在财务或者绩效指标上,已经发展出一套全面的标准来衡量这些指标。如果你的组织是一家公开贸易的公司,就需要公开报告财务状况。这些报告对你来说是必读的,因为它们将你与组织的指标和绩效联系起来,包括面临的战略挑战和机遇。尽管并非所有以下的指标都适用于每个组织,这个列表涉及了几个你应该熟悉的指标。为了了解组织的具体情况,最明智的可能是在做了一些基础调查后,找财务部门一位友好的同事,问下他们哪些财务术语和指标是对你的组织最重要的。 There are also reputable web references for these terms, including In
16、vestopedia Financial TermsP 2023云安全联盟大中,14营收:季度、年度、年度持续收入净邮盈利保磁收入成本和毛利皿售货成本(COGS).现金流EBITDA(税息折旧及摊销前利润)订单兑现和应收账款周转天数(DSO)资产负债表状况股价和表现,绝对价值以及与同行比较遵守监管要求或自愿准则审和审计结果商誉与品牌价值员工生产力经营效率不同的角色有着不同的兴趣倾向。例如股东倾向于对健康的股价和/或可靠的股息感兴趣。另一方面,其他利益相关方对别的指标更为在乎,这根据他们的角色而定。4.1.2商业价值与风险企业很大程度上在乎风险。风险控制(RM)原则提出四种风险处理方式:Dict
17、ionaryandHarveysHypertextualFinanceGlossary,2023/全联尚大5华k权a仃15接受、规避、缓解和转移3。近些年来的实践表明了无论接受还是规避风险都不充分。我们知道风险转移,常见于保险,并不防止事故,而且很多时候实际的成本太大。风险缓解仍然是最高效的投资。缓解需要一系列的管控(技术、人员、流程)来减少风险直至可接受范围。通常来说,管控会花费金钱,消耗资源,并放慢事务的进度。由于零信任是企业的整体战略,因此一个平台和策略模型就可以为隐私、安全、合规性和第三方风险管理(TPRM)等其他领域奠定基础。零信任架构将在基础设施技术和层级之间执行多重控制。内部威胁
18、的风险对于组织来说是最难管理的,因为它涉及有效访问权限的合法用户(例如员工、前员工、承包商或者商业伙伴),他们拥有着有关组织安全条例、数据和计算机系统的内部信息。威胁可能涉及欺诈、盗窃资产、盗窃知识产权,甚至是破坏。其通常来自内部人员的事故涉及有效访问的滥用。零信任通过执行最小权限的原则,在授权对资产的访问之前,要求正确的身份证明(认证)和有效访问权(授权),以此来减少内部威胁的可能性。它还通过约束横向移动来限制其影响范围。第三方风险管理,有时被称为供应商风险管理或者供应链管理,是评估和减轻供应商(例如供应商,商业伙伴和供应链成员)引入的风险的实践。这一过程通常从关系刚形成时就开始,并持续维持
19、,包括至关系结束时。零信任战略通过提供更好的可见性和控制来减少任何第三方安全事件的影响,并赋予供应商最小的访问权限来降低这些风险。4.2信息安全的商业价值简单来说,信息安全是指对公司的数字资产、系统和数据的保护和保障。通过实施有效的安全措施,企业可以最小化未授权访问、数据泄露和网络攻击的风险,使其正常运营,维持客户和合作伙伴的信任,避免因安全事件造成的潜在财务损失或者商誉减值。随着商业和数字化经济的普及,信息安全成为组织内部和董事会的首要关3TheInternationalStandardsOrganization(ISO)usesthetermsRetain,Avoid,Optimize,T
20、ransfertorefertothesesameprinciplesintheISO31000:2018(en),RiskmanagementGuidelines,2()1t联大中心XMYy仃16注点。世界经济论坛(WEF)指出,超过60%的国内生产总值(GDP)是数字化的同时美国国家经济研究局(NBER)认为企业估值主要由无形资产驱动,其中包括数据和知识产权(IP) Digitalization: a silver bullet, World Economic Forum:https:/www.weforum.org/agenda/2022/05/a-digital-silver-bull
21、et-for-the-world/uIntangibIe Value*, Andrea L. Eisfeldt1 Edward Kim & Dimitris Papanikolaou, November 2021, US NationalBureau of Economic Research (NBER): httpswww.nber.orgpapersv28056“23 z、ZWJ大:华(次权所。17o这些资产逐渐成为攻击和破坏的目标,因此必须受到妥善保护。信息安全基于三个主要概念:机密性(Confidentiality)、完整性(Integrity)和可用性(Availability),它
22、们共同构成了QA三要素。安全策略,实施和安全风险的描述都基于这三个参数:机密性是指公司拥有的对业务至关重要的东西,或者不应被分享的信息,被安全和秘密地保护着,只有那些需要知道的人才拥有访问权。完整性是对企业认为贵重物的保护。这些东西需确保在有关各方不知情的情况下不会被篡改或者改变。信息、数据或事物始终保持其准确性。可用性是物件或者资产在业务需要时可以使用。如果实施得当的话,信息安全应该也可以支持企业的使命。安全性通过保护企业认为贵重的资产来减少对整个企业的风险,以此来支撑企业。信息安全的成功实施有着额外好处,可以促进对国际和国内标准和法规的合规。遵从许多这些标准和法规(例如HIPAA、GDPR
23、、PCIDSS和ISo27000)包括关于数据保护,正确的风险管理,限制对受保护数据和流程的访问,以及如何保护这些信息的定期培训。所有这些东西都是正确的信息安全计划的一部分。从风险管理(RM)和合规性的角度来看,信息技术(IT)和运营技术(OT)系统代表了相当大的风险来源,必须通过实施技术或者流程控制来降低风险。这些控制可以是自定义,或者像遵从法规一样通过外力来强加给它们。组织通常必须通过合规性报告或者审核流程来证明他们的控制是如何按照预期执行的。零信任通过确保现有控制按预期进行来提高安全性,并为组织提供进一步加强这些控制的持续改进规划。在没有固有信任的环境中,安全团队通过使用风险框架来监视、
24、识别、保护、检测、响应,并从感知到的和现有的威胁中修复。这有助于分清轻重缓急,因为任何组织都没有无限的资源和时间。零信任为你所有的网络安全、隐私和运营韧性(OR)的活动提供基础。零信任不仅提高了控制效率。作为一种首要的战略和架构,零信任打破了组织内部的壁垒,将IT、安全、应用、架构和商业整合在一个统一的构想下,以保障资产符合商业目标。4.3为零信任投资做商业案例一般来说,商业案例的研究辅助组织的利益相关方做出关于的项目提案的可行性决定,并且它的使用被认为是私营和公共组织的标准实践。商业案例通常是一个文档化、结构化的提案,准备它是为了帮助组织决策者对提案的投资或者项目做出选择决定。一个商业案例从
25、商业过程表现、需求和/或问题、期望收益来描述投资或者项目的理由与解释。它确定了要满足的高级需求,并提供了对提案的替代解决方案的分析(包括拒绝或者推进每个选项的理由)、假设、约束、风险调整后的成本效益分析、初步收购策略。它还可能包括财务指标,例如投资回报率(ROD预计总拥有成本(TCC)或净现值(NPV)等。信息安全投资和创收之间很少有足够的联系来使得计算ROI或者NPV的可行性。相反,信息安全投资通常被视为降低TCO的因素,或者作为推动商业价值的促成者。不同的组织有不同级别的形式、过程和架构来进行决策,并且对商业案例的内容有着不同的期望。实践者应花时间去学习在组织内部技术、战略和IT投资决策是
26、如何制定的,并遵循应当的流程和架构。商业案例一个不变的方面是它必须体现商业价值,这是这份文档的主要关注点。接下来的章节提供了零信任倡议实现商业价值的14种不同方式。当你确定了适用的领域,你可以适当地量化它们,并结合到你的组织需求的商业案例结构中。5.零信任的商业价值如前文所述,零信任是一个增强的安全和风险管理方式,它假定身份(真人、非真人/机器),设备(个人电脑、移动设备、物联网)或者工作负载(服务器、计算实例、容器或功能)在默认情况下是不可信的。所有的访问依赖于身份验证以及基于上下文信息的访问策略的评估与授权。零信任需要持续投入时间、资源和预算,但作为回报,它带来了安全、技术和商业方面的好处
27、。总的来说,零信任通过提供以下商业价值的收益:颉通过集中和自动化安全策略,简化安全和IT基础设施管理,从而节约成本并提高运营效率。更好地保护敏感数据和知识产权,以免遭受未经授权的访问,提高组织的网络韧性,降低数据泄露和财务损失的风险。提高合规性,避免潜在处罚,保持良好的品牌声誉。减少满足和报告合规性要求相关的时间、成本和工作量。增强组织的灵活性和对商业环境变化的适应性,包括商业流程的重建。增加利益相关者的信心,因为客户、合作伙伴和投资方可以信任组织对安全和数据保护的承诺。通过简化基础设施、集中策略管理和自动化,降低IT和运营成本。将IT和安全人员转变为业务推动者。皿调整整个组织的业务和安全目标
28、,减少离散的活动。零信任不同于之前的安全方法,它们承诺了部分或全部这些好处。具体而言,零信任方法本质上是整体的,必须将传统的分离式系统与IT安全基础设施层级强制实施动态控制。章节格式为了更容易地传递这些总体目标,我们用一页的篇幅简洁地展示它们。以下是一个为参与并购的利益相关者展示商业价值的例子。T所谈论的商业价值特定话题为什么企业关心这个特定的话 题?零信任安全措施通过什么方式 达成价值?企业里的哪些角色会对这个话 I题最为在乎?5.1 商业价值:成本节约与优化为什么对心IA要,魏少安全措施的总拥有成本(TCO)1更岛效地分近业务单位的资源,而不是芬自为政(贷本支出、运苦支出、人员)零他任如何
29、帮助,减少对传统安全系统的需求,降低安全潮洞的风险,减少恢豆成本,简化安全体系结构自动化提高生产力关注成本降帐和风险管理的高管(CF0、CISOxCl0)、IT和安全团队以及禽嘤安全访问他打H常工作烧湖的员工零信任允许组织通过标准化和简化用户与设备访问来整合不同的冗余工具和技术,例如用单个访问工具替换远程访问工具(例如YPfo和本地访问工具(例如NACL这意味着企业可以M少购买、部署和堆护冗余的塔广边界的安全解决方案相关的成本。由于它们更新,零信任平台便向使用普遍接受的最佳实践、现有标准和广泛采用的协议,这提高了系统的互操作性,还可能消除对定IW柒成的求并减少部署工具的数fib容信任可以降低连
30、接和宽带成本,特别地在传统企业的IT携础设地中,纲想可以减少或消除对MpLS和SD-WAN等小附的专用桂路的需求,并依修互联网作为其公司网络.这种方法消除了对边界的依赖.允许每个用户到每个货源的点对点访间,从而大幅度节省了站点间网络或者通过数据中心回程切的相关成本.等信任可以改进流程,发现更多节的成本的机会.通过自动执行访问请求和审批家提高安全流程的效率.减少人工干预,从而减少管理开销并提高生产力.此外事信任简化了安全架构,降低了管理的发杂性和开管,以及安全沿洞的风险.通过降低安全漏洞的可能性和影响.零信任降低数据泄露的总体和单个事件的成本,它可以通过限制港旗的程序Ji接降低成本,从而戢大限度
31、谶少损失和恢发成本.它还可以通过减少数楙泄密的发生间接降帐成本.此外零信任可以通过更严格和史什效的安全控制来招助企业减少保险开销,I进一步解释了是什么、怎A 3么做、为什么?等值任还可能更快地准符和保护新的基珈设临,因为企业可以减少在新设爵上建立用户和执行安全策略所需的时间和鞘力.5.2 商业价值:成本节约与优化为什么对企业重要:减少安全措施的总拥有成本(TC0),更高效地分配业务单位的资源,而不是各自为政(资本支出、运营支出、人员)。零信任如何帮助:减少对传统安全系统的需求,降低安全漏洞的风险,减少恢复成本,简化安全体系结构,自动化提高生产力。对谁重要:关注成本降低和风险管理的高管(CF0、
32、ClS0、CIO)IT和安全团队以及需要安全访问他们日常工作资源的员工。零信任允许组织通过标准化和简化用户与设备访问来整合不同的冗余工具和技术,例如用单个访问工具替换远程访问工具(例如VPN)和本地访问工具(例如NAOo这意味着企业可以减少购买、部署和维护冗余的基于边界的安全解决方案相关的成本。由于它们更新,零信任平台倾向于使用普遍接受的最佳实践、现有标准和广泛采用的协议,这提高了系统的互操作性,还可能消除对定制集成的需求并减少部署工具的数量。零信任可以降低连接和宽带成本,特别是在传统企业的IT基础设施中。组织可以减少或消除对MPLS和SD-WAN等昂贵的专用链路的需求,并依赖互联网作为其公司
33、网络。这种方法消除了对边界的依赖,允许每个用户到每个资源的点对点访问,从而大幅度节省了站点间网络或者通过数据中心回程一切的相关成本。零信任可以改进流程,发现更多节约成本的机会。通过自动执行访问请求和审批来提高安全流程的效率,减少人工干预,从而减少管理开销并提高生产力。此外,零信任简化了安全架构,降低了管理的复杂性和开销,以及安全漏洞的风险。通过降低安全漏洞的可能性和影响,零信任降低数据泄露的总体和单个事件的成本。它可以通过限制泄露的程序直接降低成本,从而最大限度减少损失和恢复成本。它还可以通过减少数据泄露的发生,间接降低成本。此外,零信任可以通过更严格和更有效的安全控制来帮助企业减少保险开销。
34、零信任还可能更快地准备和保护新的基础设施,因为企业可以减少在新设备上建立用户和执行安全策略所需的时间和精力。5.3 商业价值:运营韧性为什么对企业重要:运营韧性是在任何危险造成的中断下依然可以开展业务包括关键业务和核心业务功能等运营的能力。企业运营通常完全依靠IT技术和系统,而脆弱或不可靠的IT基础架构将会对企业产生重大的破坏性影响。企业运营的基础架构系统的韧性必然是关键重点。零信任如何帮助:默认情况下,零信任架构中的系统和设备彼此隔离。只有通过验证和授权的身份才能通信,并且仅限于授权的协议。零信任的细粒度隔离降低了攻击者执行侦察或横向移动的能力。攻击的影响范围越小,整个系统的韧性更强。零信任
35、平台还通过快速适应和允许访问变化的环境(例如DR站点),从而改进业务连续性和灾难恢复的准备和执行工作。对谁重要:首席运营官(COO)S首席执行官(CE0)、首席财务官(CFO).运营团队、业务领导零信任策略应当基于一种由内而外的方法,企业应该深思熟虑地询问我们在对抗什么?到我们在保护什么?可以根据资产的价值来确认策略的优先级,通常至少在一定程度上是根据他们交付的服务或他们支持的流程来决定的。这样可以更好地与业务保持一致,还可以增加业务的韧性。采用零信任框架可以全面减少恶意行为者遍历网络的能力来降低风险,并通过高级隔离和授权来减少勒索软件的影响。正确实施零信任控制可以显著减少勒索软件或其他漏洞利
36、用的影响范围。这在保护关键网络设施免受以网络为中心的攻击风险中尤为珍贵,这些风险通常来自受害用户和VPN连接。从运营的角度来看,由于其主动性和有效的事故最小化,它降低了与业务运营相关的风险,并允许更精简的维护团队。并且,它还提供了强大的业务持续性和灾难恢复流程,实现运营韧性。5.4 商业价值:业务敏捷为什么对企业重要:快速响应市场变化和商业机会的能力非常珍贵,并可对其成功产生巨大影响。能使业务更加灵活的技术或方法通常非常有吸引力。零信任如何帮助:通过简化和动态、实时的策略来增强安全性,同时提高生产力。改进的预防措施和减少的安全维护开销,使企业随时准备并专注于抓住商业机会。即使只是为安全团队腾出
37、时间以便更好地与业务协作,也是有价值的。对谁重要:首席执行官(CE0)、首席流程官(CP0)、首席信息安全官(ClS0)、首席技术官(CT0)、首席信息官(CIO)首席运营官(COO),风险、运营团队零信任模型提供了适应不断变化的业务需求的灵活性。当员工在改变组织角色时,或者当新系统上线应用市场机遇时,访问策略可以自动调整。这使组织在不损害安全性的情况下能够快速适应不断变化的业务需求。零信任模型确保职员可以在任何地方、任何设备上安全地访问公司资源。这通过提供对资源的安全访问来促进远程工作,允许职员在保持安全标准的同时轻松访问完成工作所需的资源。通过对不同部门和团队提供资源的安全访问,允许员工更
38、轻松地协助,并在不损害安全性的情况下共享资源,从而提高生产力。零信任通过提供统一的控制平面和策略模型来简化企业安全架构的操作,从而提高系统管理和用户访问的效率。这使得组织能够在管理风险的同时快速行动以追求商业机会。此外,设备状况、恶意软件状态以及对安全策略的更改都会被持续监控和验证,允许组织能自信而敏捷地执行。不仅如此,零信任通过提供可应用于任何环境的全面安全框架,加快了像云计算和移动设备等新技术的采用。通过增强组织的安全态势并最小化安全漏洞的风险,零信任可以在保持严格的安全协议的同时更快、更顺畅地部署新的应用和服务。5.5 商业价值:促进合规为什么对企业重要:合规要求可能是政府或行业监管机构
39、强加给企业的,也可能是企业为了通过获得各种认证来提高其级别而自愿采用的。在这两种情况下,组织都要求证明它符合合规标准。这些标准通常规定了各种技术和流程控制。合规报告是记录和证明这些控制是适当且有效的行为。未能满足合规要求可能会导致罚款,而且可能数额巨大。零信任如何帮助:零信任系统需要对动态和上下文感知策略进行积极评估。因为这些策略是动态的,因此减少执行策略所需的人工工作量。而且,由于它们可以绑定到业务流程,这些系统通常可以自动生成合规报告。零信任系统可以减少执行控制和报告合规要求(创建审计文档)的成本和工作量。它们还确保组织持续合规,而不仅仅是定期合规。对谁重要:董事会、合规团队/首席合规官、
40、治理风险合规(GRC)团队、首席财务官1-1达|1华区版权所行24(CFO)应用所有者满足和报告合规需求通常是复杂、耗时和昂贵的。零信任会在很多种方式中减少这种开销。首先,由于零信任系统是基于上下文的自动化策略,这对于它们来说更容易实习并保持合规。这是因为策略,通常被描述成有意义的业务术语,会自动适应身份或关联设备的变化,来确保组织持续合规。其次,零信任系统的控制集通常是自动文档化的。当范围内资产的策略清晰且一致时,所有流量都被加密,所有访问都被记录,证据收集的负担和时间减少,从而减少审计本身带来的组织负担。换而言之,零信任架构减少了开销和合规审计给组织带来的“麻烦”。1.5 商业价值:维护声
41、誉和品牌价值为什么对企业重要:当今世界,网络威胁和数据泄露变得越来越普遍,安全已成为各种规模的企业的关键忧虑。数据泄漏不但会导致财务损失,还会导致声誉受损,影响公司的品牌价值和股价。所以,企业需要采取措施来增加安全性,捍卫自己的品牌价值。零信任如何帮助:零信任架构将强化组织作为目标,加快威胁检测和响应,并减少成功攻击的影响。这些好处将通过减少网络攻击的频率和影响来保护其声誉和品牌价值。对谁重要:企业品牌和声誉的安全和保障涉及许多利益相关者,包括批准预算的高管、部署安全系统的IT领导、确保合规的法务人员以及监视安全协议的人力资源人员。零信任是公关消息传递和客户对数据保护期望的有用参考。通过实施这
42、些措施,企业可以保护其数据免受未授权访问、盗窃和其他网络威胁。企业还可以投资于能够实时监测和响应威胁的安全监控工具。这些工具可以帮助企业快速识别和响应安全事故最小化泄漏造成的损失。总之,提高安全性和捍卫品牌价值是企业的优先任务。通过实施强大的零信任网络安全架构,对员工开展最佳实践教育,投资安全监控工具,并制定危机管理计戈I,企业可以保护其数据和声誉免受网络威胁。1.6 商业价值:减少IT风险为什么对企业重要:管理和处理IT风险来减少安全事故的影响对于各个行业的组织来说是至关重要的,这些事故可能会严重影响业务运营、收入产生和商业声誉。减少IT风险有助于保护敏感信息、保持生产力,确保不间断的服务交
43、付,并满足合规性和监管要求。零信任如何帮助:组织需要一种动态和全面的方法来增强安全态势并减少相关风险。零信任架构假定不具有固有的信任,并促进动态的、基于风险的、强大的身份与访问控制,基于上下文和自适应的分段、持续监控和主动安全措施。因此,零信任促进了强大的安全态势,保护了关键资产,防范了复杂的网络威胁,。适用对象:减少IT风险对于包括第三方在内的各类组织利益相关者至关重要。业务领导负责通过风险减少措施来确保组织安全和减少IT风险。负责评估、实施、管理和监控风险减少策略的IT和安全团队。处于前端的终端用户,以及他们的意识、行动和遵循与适应的意愿,可以显著影响零信任策略的采用过程。采用零信任架构使
44、组织通过实施严格的访问控制来降低网络安全事故的可能性,并确保用户和设备在访问资源前持续验证和授权,从而最小化未授权访问的风险。它还可以更好地了解和响应潜在异常活动,并创建和运行更具韧性的网络。此外,划分网络和限制横向移动可以最小化潜在事故的影响半径,确保任何安全泄漏都被遏制并减轻其影响。这些降低风险的措施加强了组织的整体网络安全态势,提供更强的韧性以对抗数字领域中不断进化的威胁。1.7 商业价值:安全地采用新技术为什么对企业重要:灵活性、减少成本、与时俱进安全地采用新技术是在不断变化的环境和不断增长的收入中保持竞争力的关键。零信任如何帮助:由于其灵活性,良好构建的零信任架构应该能够无需大量重建
45、和相关成本即可集成新技术。零信任本质上是关于使用更广泛的上下文信息来做出访问决策。对谁重要:工程师、财务、信息安全人员、产品所有者采用基于零信任的架构将导致任何从新云、物联网到人工智能之类的新技术的采用更加安全,因为零信任专注于保护资源(包括基于云的资产、服务、工作流、网络账号、结构化与非结构化数据等),而不仅仅是网络段或IP地址。例如,新的基于云的服务可以很容易地合并到企业的零信任策略模型和实施点中,并绑定到他们的身份验证系统中。这使企业可以在不牺牲安全性或生产力的情况下快速使用这项新技术。1.8 商业价值:加速业务单位整合(并购)为什么对企业重要:短期:由特定人员从“随时随地”访问关键业务
46、系统,将提高并购准备效率,加速并购执行与整合,增加并购成功的可能性。中期:由于标准化、重新架构和更改IP寻址方案,收购公司系统和网络的集成通常是昂贵、缓慢和痛苦的。这增加了成本和时间,降低并购活动的价值。零信任如何帮助:为用户和系统提供几乎即时的精确访问,实习协助和数据交换。避免昂贵而缓慢的网络集成和IP地址重新映射。为旧系统添加现代身份验证,在获得的系统上覆盖更强的安全层。对谁重要:财务部门、战略部门、主导收购的业务部门企业兼并和收购(M&A)通常对企业具有战略重要性,涉及大量资金,并且通常具有很大的紧迫性。他们也经常失败一一哈佛商业评论指出,70%到90%的收购都失败了,“整合”是主要的潜
47、在挑战。整合是一个多维度的问题,因为对数据和计算机系统的访问几乎是当今业务每一个方面的基础,而且访问系统可能以非常重要的方式帮助或阻碍被收购公司的整合。零信任可以通过两种方式加速访问。首先,在短期内,零信任系统将使正确的人(或系统)能够精确访问正确地数据和操作系统。这既应用于收购前的尽职调查,也应用于即时的收购后整合任务。关键人员的访问至关重要且时间敏感,企业必须在不损害安全性的情况下这样做。其次,在收购完成后的中期,零信任系统可以快速部署一致和标准化的访问方法、身份、验证和策略实施。零信任平台通常允许不对被收购公司进行完整的网络改造的情况下实现目标。1.9 商业价值:更好地利用现有投资为什么对企业重要:减少运营成本和现有投资间更好的集成,提供更好的可见性和对威胁的响应。零信任如何帮助:通过将控制简化到更少的平台,并最大程度地提高技术之间的集成,零信任可以创建一个简化的集成技术堆栈,具有更低的运营成本和更高的安全效率。对谁重要:首席
