在今天基于云的服务器和应用程序中,单因素的“安全网络”是不够的. 今天,你需要零信任的心态来保护你的全数字资产.
在2020年为之前的雇主工作时, 我参与了一个帮助客户评估网络安全的项目. 在分析过程中,我们发现了恶意软件 Emotet 在我们委托人的系统里.
自从金融部门首次向美国政府报告此事以来,全世界都在与Emotet作斗争.S. 网络安全和基础设施安全局. 通过欺诈性电子邮件附件传播, 该恶意软件的创造者将其基础设施出售给其他恶意参与者,以便他们, 太, 他们可以把自己的附件隐藏在看似有用的Word文档中——发票, 海运订单, 甚至COVID-19更新.
当用户试图打开附件时,弹出窗口提示他们“启用宏”来查看. 当受害者这样做时, 恶意软件开始在他们的机器上运行, 为数据盗窃打开了大门, 其他木马攻击和勒索软件.
更糟糕的是,每次用户打开它,病毒都会发生变化. 因为它一直在进化, 国际安全机构欧洲刑警组织要到2021年才能摧毁它.
幸运的是, 早在2020年, 我为客户做的工作包括通过Azure MFA(多因素认证)进行身份保护。, 设备保护通过 微软 Intune, 通过Exchange Online protection (EOP)实现数据保护, 微软资讯保护(MIP), 数据丢失预防(DLP), 以及通过微软云应用卫士(MDCA)保护应用程序, 原微软云应用安全(MCAS). 通过这种多因素的方法, 我们将Emotet从客户的系统中移除并阻止它进一步传播, 为公司省去了一场可能需要花费100万美元或更多的痛苦的补救.
我在Emotet上的经验表明,随着更多的公司将服务器和数据转移到云端,这些问题只会越来越严重. 这个信息很清楚:仅仅保护网络已不足以保护一个组织的整个数字生态系统. 公司所依赖的虚拟墙正在瓦解, 特别是当企业和日常计算机用户越来越依赖于访问文件的便捷性时, 分析数据,在任何云支持的地方工作.
在2021年加入Centric之后, 我开始和我的新同事们合作,创建一种零信任的安全方法. 它包括一个多因素安全评估,就像帮助我的团队确定Emotet和零信任安全架构元素的评估一样. 我们认为,为了当今的安全,组织需要两者兼顾. 但是你从哪里开始呢?
从你现在拥有的安全感开始
然后才能构建安全体系结构, 你必须进行评估以充分了解你目前的安全状况. 评估应该包括一个全面的路线图,以帮助您部署和采用 微软365 保护零信任架构六大支柱的能力:身份, 设备, 应用程序, 基础设施, 数据和网络. 然后你就可以安全地增强你的微软365投资了.
当你面试评估提供者并检查他们的建议时, 确保他们有足够的带宽和技能来创建一个包含以下内容的路线图:
- 业务和行业的需求和要求
- 微软365安全和合规态势
- 可伸缩的许可
- 当前状态评估
- 安全性和法规遵从性需求
- 安全意识和培训需求
- 下一个步骤.
一旦完成, 您的路线图将成为您加固现有体系结构和构建其所需敏捷性的指南,以便更早地识别潜在风险并更快地消除它们.
建立你的零信任架构
你的零信任架构的六大支柱保护着人们, 贯穿整个组织足迹的流程和技术. 因为它们是相互关联的,所以您的体系结构必须采用整体方法. 仅修复网络服务器或仅修复当前问题的日子已经一去不复返了!
让我们来看看在零信任架构中每个支柱所扮演的角色:
- 身份 -身份是你必须保护的新边界. 随着越来越多的移动和 远程工作你必须确保你的人无论在哪里工作都是安全的.
- 端点/设备 -随着远程工作者的增多,接入网络的设备也越来越多,种类也越来越多, 任何时间,任何地点. 零信任的心态超越了传统, 基于位置的方法, 扩展以确认您可以基于各种因素信任每个设备, 除了位置.
- 应用程序 -你需要动态地保护应用程序,取决于它们驻留的零信任支柱,以防止未经授权的访问和下载, 你的保护必须基于几个因素, 不仅位置.
- 基础设施 -基础设施现在不只是内部部署的服务器和pc. 现代基础设施包括虚拟资源,如容器, micro-services, 底层操作系统, 以及基于prem和云的固件.
- Data —必须保护数据, 包括结构化和非结构化数据, 贯穿整个组织,贯穿所有文件和内容, 无论它驻留.
- 网络 -未来的网络很可能是传统网络的混合体, On-prem资产和基于云的资源. 只有同时保护他们,你才能保持你的安全姿势.
结论
对于安全架构师来说,现在是令人兴奋的日子——但对于企业所有者来说,这是充满挑战的日子. 要想保持领先,保护自己免受越来越复杂的攻击,需要勤奋, 持久性和敏捷性.
在Centric,我们开发了自己的零信任安全评估. 我们的目标是让我们的客户建立他们需要的数字生态系统,以确保有价值的数字资产. 这种方式, 您可以知道正确的人正在正确的应用程序和正确的基础设施中访问正确的数据, 设备或网络.
然而,同样重要的是要记住,即使是最好的安全系统也不是一成不变的. 成功, 您的组织必须全天100%地致力于安全性, 每一天. 否则, 你冒着成为另一个网络犯罪统计数据的风险,把你的客户, 员工和公司都面临风险.
关于作者
想了解更多? 让我们一起合作.