合規與風險
零信任營運化指南
零信任再也不只是個新潮的名詞,而是企業資安架構的要素之一。秉持著「絕不信任、持續驗證」原則,零信任在保護企業資產與資料方面扮演著相當關鍵的角色。然而,要將零信任營運化,對企業來說卻是充滿挑戰。
在一個傳統邊界控管的資安模型已經不足以應付的世界裡,擁抱零信任不只是一項策略性的決定,更是一項必要的抉擇,如此才能保障您企業敏感資料的完整與機密性,並且在一個彼此關係日益密切的生態系中提升企業的永續性。只不過,零信任的營運化充滿挑戰。
「營運化」與「建置」的差異
談到零信任 (或任何其他框架或模型) 時,「營運化」和「建置」兩個詞經常被人混用,但其實兩者之間有著細微的差別。
- 建置零信任:包括了解原理、規劃移轉、挑選適當技術與解決方案,並且設定好讓它成為一種必要的基礎架構。它有可能會大幅改變現有的系統、基礎架構,甚至改變企業的文化。
- 零信任營運化:意味著將它整合至企業日常營運當中,包括:針對新的資安措施進行人員的教育和訓練、持續監控及改善系統、根據意見回饋調整政策與流程,以及變更業務需求。將零信任營運化是為了讓它融入企業的日常節奏,確保它能順利運作,並且讓企業在永續的情況下實現效益。
建置就是將零信任的架構安裝並準備妥當,營運化則是讓它成為企業日常營運及文化的一環。想要實現成熟、有效的零信任資安,兩者缺一不可。
零信任營運化的必要步驟
首先,企業很重要的一點就是要評估自己的網路資安成熟度,並且找出您資安基礎架構的強項和弱點。其次是找出您的受攻擊面,包括網路駭客所有可能的入侵點。最後是評估您企業的風險,了解有哪些潛在威脅及其衝擊。
一旦您清楚了解自己的網路資安成熟度、受攻擊面以及風險狀況,您就能擬定一套零信任營運化計畫,內容包含:里程碑、技術投資、人員訓練,以及建置時間表。此外,還必須實施嚴格的認證機制、安全存取政策,並強制實施最低授權存取,以支援您的人力並確保其安全。
集中管理和監控資安措施,以及將可視性延伸至所有企業資產,有助於更快偵測威脅並做出更好的判斷。不僅如此,您還必須投保資安險並盡可能整合資安工具和平台,以便降低成本、簡化管理、減輕 IT 人員負擔。您越能證明您對自己的境擁有良好的可視性與掌控能力,您在投保資安險時就越容易獲得折扣。
遵照以上步驟,您就能成功達成零信任的營運化,並且實現更好的資安、風險管理與企業韌性。
透過整合來達成卓越營運
整合是卓越營運的關鍵,請看下圖來了解 Trend Vision One™ 如何將零信任營運化。這套方法既符合像 NIST 這類的產業框架,又能為客戶帶來效益。當客戶採用這套擁有眾多範疇的感測器並能與第三方整合的 XDR,就能完整掌握自己的受攻擊面、監控及偵測潛在的威脅,同時還能獲得我們全球威脅情報的威力。Trend Vision One 會匯集各種資料,讓客戶可即時分析及評估風險、產生風險評分,確認每一個體的身分以便進行認證和授權。
有了 Vision One,客戶就能根據風險資訊,使用我們的 Zero Trust Network Access 產品或第三方政策貫徹產品來執行存取控管。此外還能監控、管理、調整及執行動態的資料導向資安控管,全部都從單一主控台上執行。這些步驟對於零信任的營運化不僅重要,而且也意味著零信任成熟度的不同階段。有了 Vision One,客戶就能精細控管每一個體、評估每一項風險、集中執行每一項動作並實現自動化,不論客戶正在邁向零信任過程的哪一個階段,或是正在使用何種其他資安解決方案。
零信任策略涵蓋了各種資安框架 (如 NIST、CISA 及 ISO) 的最佳實務原則。Trend Vision One 讓資安團隊非常容易遵從這些最佳實務原則,並且涵蓋從防範到偵測及回應的所有零信任支柱。
克服障礙
零信任的營運化會面臨幾項技術挑戰,包括:整合並非針對零信任設計的老舊系統、解決建置複雜性,以及確保不同資安技術之間能夠連貫地整合。財務上,這項轉移可能需要大量的初期成本以及後續的維護、更新和訓練費用。人員方面的挑戰也可能減緩導入速度,例如:員工抗拒改變、缺乏理解或訓練,以及資安責任的增加。
儘管如此,零信任的效益仍使得它通常還是值得投資,尤其在改善資安與風險管理方面。例如,若能與 SWG、CASB 及 ZTNA 互通,並且將受攻擊面管理與 XDR 整合至單一平台,就能減輕 IT 團隊的負擔,又能提供單一事實來源讓您在現有資安架構下執行風險評估,包括第三方整合與 API。
審慎規劃、取得重要關係人支持、提供充分的訓練,以及投資相容的技術,都能協助您成功應付這些挑戰,將零信任有效地營運化。
風險管理策略與規劃
為確保能夠成功移轉至零信任架構,您可運用一些風險管理策略和規劃方法。這些策略包括:評估老舊系統、投資互通性解決方案,以及採取階段性建置方法。減輕財務風險的策略則包括執行成本效益分析,以及在您的 IT 預算當中預先規劃零信任移轉成本。此外,在人員因素方面,您可透過教育訓練計畫來讓關係人參與,同時培養出一種資安意識文化。
零信任的後續監控與改善
追蹤關鍵績效指標 (KPI) 與數據,對您在評估零信任資安方法的成效時至關重要。
以下是一些您應該注意的關鍵數據:平均偵測時間 (MTTD)、平均回應時間 (MTTR)、事件發生率、存取控管合規狀態、使用者異常行為、認證失敗事件、權限提升事件、修補管理合規狀態、員工訓練合規狀態,以及使用者滿意度。藉由監控這些數據,您就能根據資料來做出判斷並調整您的策略,確保您的零信任模型有效並不斷改進。
讓零信任更具說服力
零信任是假設所有使用者、裝置和應用程式都可能含有潛在威脅,除非能證明它安全無虞。這套多重面向的資安方法能帶來一種更完善的防禦,將每一個存取請求都視為一項潛在威脅有助於您防範風險、縮小受攻擊面、防止未經授權的存取。
隨著威脅不斷攀升,導入零信任是一種改善企業目標並支援數位轉型的有效方法。零信任打破了傳統的網路邊界,提供無縫、安全的遠距上班。不僅如此,它還能讓企業加快雲端移轉、安全地整合 IoT 裝置,並且改善營運及客戶體驗。
只要能落實零信任的最佳實務原則,企業就能加快網路資安成熟度,建立一種更強韌的資安體質。這套方法不僅能有效消除資安漏洞,更可主動達成法規遵循要求,例如:GDPR、HIPAA 或 PCI-DSS,最終創造一個更安全、更完善的數位環境,向客戶、合作夥伴、股東以及保險業者展示您的企業在資安風險管理方面已經做好萬全準備。
Trend Vision One 還能與 SWG、CASB 和 ZTNA 互通,並且將受攻擊面管理與 XDR 都納入單一主控台當中。
不論您正在邁向零信任過程的哪一個階段,趨勢科技廣泛且持續壯大的合作夥伴陣容 (例如 IAM、防火牆、BAS 及 SIEM/SOAR 廠商) 能為您現有的資安架構提供風險評估所需的單一事實來源,包括第三方整合與 API。應用程式當中的指引、教育以及直覺的使用介面,都能協助您在自己的環境內達成零信任的營運化。
結論
零信任營運化的效益既深且遠:從支持網路資安防禦到提高生產力。身為資安長 (CISO),您最重要的就是要培養一種資安文化,並透過策略性決策來引領這項轉變。
與經驗豐富的解決方案供應商合作,例如趨勢科技,能大力支援這項工作,提供與零信任架構無縫整合的強大資安解決方案。如此就能確保零信任成為您企業韌性及成功的核心要素。