在零信任世界中,合规性不均匀

An agency can run a completely compliant network and still be breached by a trusted user’S帐户被暴露。

by Elastic / March 30, 2021
SPONSORED

美国政府是世界上最大的网络目标之一。通过全球范围扩大的端点阵列,代理网络越来越容易受到恶意软件,间谍软件和赎金软件的群体,并且已经有许多高调漏洞在这些网络内暴露漏洞。政府明显将网络安全视为至关重要,但目前的机构网络要求受到重大关注遵守。

简单地说,合规不是安全;遵守是问责制,确保满足具体的安全要求。这些要求传统上假设企业用户可信赖并访问所有内部公司资产。一个代理商可以运行完全合规的网络,仍然被可信用户突破’S帐户被暴露。

零信任安全性假设没有用户或设备是值得信赖的。所有身份验证都是连续验证的,而不是实时录制,而不是录制,而不是被视为登录正确凭据的用户是他们所说的,建立了一个零信任方法,以提供对该用户的最小权限访问。这种有限的访问减少了损坏和损失潜在的攻击者可以实现。

零信任与旧的相反“trust, but verify” methodology—instead, it’S一种转化为:的风险管理方法“不信任并记录一切。”

什么 ’ 外面已经在

几十年来,一个基本的安全性是假设周边内部的任何东西都是安全的。实际上,内部网络安全违反了所有时间,从无意中发出,例如点击网络钓鱼电子邮件或离开工作站时留下屏幕,恶意内部人士弯曲窃取分类文件或破坏关键资产。这两种情况都意味着您的数据和系统可能已经以某种方式受到损害。

甚至在我们的新Covid世界之前,周边本身也变得可实现:它现在包括云存储和应用程序;远程端点,例如现场员工或远程工作者的移动设备;物联网设备;和供应商系统,例如售货亭和信用卡终端,可以在全球船上找到。

这意味着有更多的方式来损害用户和系统。如果您只关注合规性,请您’在违规之后,他们总是会在清理,而不是狩猎—and stopping—损坏完成之前的入侵者。什么’所需的是改变心态“protect the network” to “保护用户,资产和资源。”

了解谁’敲门

NIST特刊800-207 ,零信任的一个关键元素被描述为关注保护资源而不是网络段;用户和资产aren’t仅仅因为他们在网络上而受到了信任。

强大的身份验证对于这种方法至关重要。需要通过涉及仅涉及的用户名和密码,甚至是公共访问卡或个人身份验证卡的用户凭据确认。认证还可以包括生物识别和行为,以确定正确的人是否正在从可能的位置以通常的方式使用预期设备。

与此同时,安全可以’T干扰人员’努力完成工作。通过自动化大部分身份验证过程,可以使用AI工具完成,延迟应最小化而不会降低安全性。


永远不会错过每日Govtech今天的故事时事通讯。

订阅


我们的赞助商可以实现此内容;它不是写的,不一定反映了E.Republic的编辑人员的观点。

E.Republic平台 & Programs