组织超越密码去拥抱 一个新的方法来防御网络攻击。 在合作生产与零信任关 最终用户在网络安全缺口 关键的外卖 Y 你可能已经注意到,在网络空间中四处走动有点困难。更多六位数的授权码发送到您的手机。 更多要求确认您的第一只宠物或四年级老师的姓名 。更多盒子 以选中“信任此设备”。总的来说,必须更频繁地证明你是你。 这不是你的想象。这是一种相对较新的网络安全理念,称为“零信任”,它正在改变全球网络。这听起来就像:网络、站点或应用程序不会允许你进入,没有证据证明你属于那里。Infosys北美网络安全主管MayankAgarwal认为零信任是一种思维方式的改变。“零信任是所有网络安全讨论的前沿和中心。这是关于最小特权原则的。这意味着只授予一段时间的访问权限, 访问量最少。一旦完成了你应该做的任何工作,访问权限就会被剥夺。 零信任网络安全理念正在改变全球网络。这些 1 网络、站点或应用程序不会允许你进入(或让你留在)没有证据证明你属于那里,并且它们会监控意外行为。 2 向云计算和分散工作的转变立即导致网络犯罪上升。安全方法必须迅速实现现代化。 3 超过四分之三的全球组织现在正在采取更积极的网络安全方法。大约40%的人采用了零信任模式,将安全重点转移到互联网接入点,远离最终用户。 麻省理工学院技术评论洞察对全球商业领袖进行的一项民意调查显示,在过去两年中,四分之三的组织在网络安全方法上变 得更加积极,最终用户安全是网络安全问题的首要问题。大约40%的受访者表示,他们的组织已经采用了零信任模型,另 有18%的人正在实施该模型,17%的人正处于规划阶段。 方法 今年早些时候,麻省理工学院技术评论洞察对其全球高管小组进行了调查,了解他们目前对网络安全的担忧和未来计划 。在256名受访者中,约70%是最高管理层或董事。他们代表了广泛的行业, 从零售到运输,IT和电信、专业服务和金融服务的受访者数量略多 。虽然受访者来自所有地区,但其中大部分来自北美(39%)、欧洲(33%)或亚太地区(23%)。所有收入类别都有很好的代表性 :16%的受访者的公司在2020年的总收入超过50亿美元,26%的公司在5000万美元以下,27%的公司在1亿美元至10亿美元之间。 Infosys首席信息安全官VishalSalvi说,这一点很重要,因为公司需要考虑“采用新的安全架构来支持新的连接模型”。 确保在covid-19云 除了不断增长的网络犯罪浪潮之外,还要感谢covid-19的这种额外的警惕性。大流行使云计算成为焦点:封锁将数百万工人送回家,在那里他们远程连接到公司系统,通常使用他们的个人设备而不是雇主的设备。传统的集中式安全,用户在早上登录一次-相当于城堡周围的护城河-是 不再可行。 这种转变发生了大规模,几乎立即出现了网络攻击的增加,例如勒索软件、网络钓鱼尝试和拒绝服务。 为什么现在零信任 零信任主导了美国的最终用户网络安全讨论。 印孚瑟斯网络安全主管马扬克·阿加瓦尔(MayankAgarwal)表示,自2021年5月乔·拜登总统的行政命令“改善国家的网络安全”使其成为联邦政府及其所有业务合作伙伴的核心安全框架以来 北美。 订单状态所需的结果: •联邦工作人员拥有企业管理的帐户,允许他们访问完成工作所需的一切,同时可靠地保护他们免受有针对性的复杂网络钓鱼攻击 。 •联邦工作人员用于完成工作的设备受到一致的跟踪和监视,并且在授予对内部资源的访问权限时会考虑这些设备的安全状况。 •代理系统彼此隔离,并且它们之间和内部流动的网络流量经过可靠的加密。 •企业应用程序经过内部和外部测试,可以通过互联网安全地提供给员工。 •联邦安全团队和数据团队共同开发数据类别和安全规则,以自动检测并最终阻止对敏感信息的未经授权的访问。 这反映了威胁格局的根本变化,因为网络犯罪变得更加有条理和有组织。“威胁行为者就像他们自己的行业一样运作,”Agarwal说 。 信息服务的新分布性质保证了网络犯罪分子利用的漏洞数量增加。 组织处于微妙的境地,必须为其员工和合作伙伴提供轻松的访问,同时确保他们的数据和应用程序不会落入坏人之手。 在民意调查的受访者中,近55%的人表示他们面临的最大挑战是确保混合或完全远程劳动力。他们的第二大挑战也与分散的IT基础设施有关,是通过云保护应用程序和数据(49% )。 具体来说,68%的受访者担心云应用程序和数据会受到恶意软件,勒索软件和网络钓鱼攻击。尽管55%的人对他们的云安全性没有信心 配置配置,59%的人认为他们有足够的控制流程和策略来保护云 。大约三分之一的受访者表示,对员工进行充分的网络安全培训是一项挑战。 最终用户受到攻击 任何IT安全战略中最薄弱的环节一直是人,麻省理工学院斯隆分校(CAMS)网络安全研究联盟执行主任KeriPearlson说。CAMS研究网络领域的组织、管理和战略问题。“只需要一个人点击错误的电子邮件或错误的链接或安装错误的程序,系统就会被感染。 “零信任是所有网络安全讨论的前沿和中心。这是关于最小特权原则的。这意味着提供最少的访问权限, 只有一段时间。” MayankAgarwal,Infosys北美网络安全主管 这不仅仅是传统意义上的最终用户,而是与我们的系统交互的所有人。每个与系统交互的人都是一个可能的漏洞点,“Pearlson说。 Salvi说,尽管通常超过99%的系统安全措施是由IT在后端处理的,但用户负责的一小部分安全威胁占了20次网络攻击中的近19次。 “它们都是从网络钓鱼电子邮件开始的,”Salvi说。“他们试图拿到钥匙,而不是打破锁。一些网络钓鱼尝试甚至可以欺骗谨慎的用户,伪装成来自人力资源或最高管理层的紧急消息。Covid封锁使最终用户能够造成更多损害,安全策略迅速调整。 与传统的最终用户安全模型相比,用户最初登录到零信任环境,甚至通过指纹、面部扫描或 多重身份验证-不是监控的终点。一旦进入,零信任就会谨慎地跟随用户进行网络日,确保他们没有做一些邪恶的事情,并且没有错误地点击一个为黑客打开大门的链接。除了偶尔的重新身份验证请求外,用户不会注意到零信任,除非它决定不信任你并将你锁定在你想去的地方。 “我不必依赖用户来做正确的事情来使安全性发挥作用,”Salvi说 。“他们不必记住复杂的密码或每三个月更改一次密码,也不必 确保云 55 % 的受访者对他们的云安全性配置不正确没有信心 保险到520万人。它有 % 59 相信他们有足够的控制流程和策略来保护云 对下载的内容保持谨慎。 使用零信任 MolinaHealthcare是一家总部位于加利福尼亚州长滩的管理式医疗提供商,该公司使用零信任作为该组织的安全模型。财富100强公司管理医疗补助和其他健康 年收入达270亿美元,并管理与数千家医疗保健提供商(包括医院、诊所、医生办公室和家庭健康提供商)的合作伙伴关系。 资料来源:麻省理工学院技术评论见解调查,2022年 除了通常的安全问题外,MolinaHealthcare还必须保护个人健康数据,以遵守联邦和州的隐私法规。“这些数据包含丰富的个人身份信息,可用于身份盗用或经济利益,”他说。 莫利纳首席安全官迈克·威尔逊(MikeWilson)补充说,自大流行爆发以来,网络攻击者一直以前所未有的速度瞄准莫利纳。 %的受访者正在采取更积极的 74 网络安全方法 资料来源:麻省理工学院技术评论见解调查,2022年 “[网络犯罪分子]正在投资基础设施、工具和人员,就像我们一样 ,”威尔逊说。“这是一场货币军备竞赛。威尔逊指出,这是一场不公平的竞赛,因为如此多的医疗保健是通过医生办公室等中小型企业提供的,这些企业无法与试图闯入其系统的老练犯罪分子相提并论。 Covid将Molina的20,000多名员工分散到偏远地区,这些地区唯一的共同特征是互联网接入。零信任是保护IT基础设施的关键因素,通过Wilson称之为互联网“阻塞点”。所有Molina用户,无论是员工、承包商、成员还是提供商,都连接到安全的互联网网关,该网关不仅检查他们的凭据,还检查其设备和网络位置的凭据。 如果网关看到用户表现出异常模式(例如,在同一天从三个不同的设备登录),则会发送警报。网关可能会要求 额外的身份验证并阻止用户的活动,直到它对用户的身份和意图感到满意。“所有这些都发生在纳秒内,”威尔逊说。 网关还监视设备。威尔逊说,医疗保健比其他一些行业更容易受到攻击,因为有数百万台医疗设备连接到互联网。每台设备(不仅是计算机系统,还包括患者监护设备和成像机等日常工具)都为网络犯罪分子提供了访问提供商网络的机会,并且 从那时起,其他组织。 “只需要一个人点击错误的电子邮件或错误的链接,或者安装错误的程序,系统就会被感染。 KeriPearlson,麻省理工学院网络安全研究联盟执行主任 麻省理工学院斯隆管 公司面临的最大网络安全挑战 55% 确保混合或完全远程的劳动力 49% 云基础设施安全 “零信任的艺术是开始思考角色-人或设备或其他任何东西-以及他们如何相互交互,”威尔逊说。“每个人的正常行为是什么,什么是奇怪的?如果他们的行为很奇怪,您可以提高身份验证要求或降低您允许的访问级别。但所有这些通常对个人来说是无缝的 。 确保企业IT软件攻击 确保为员工提供充分的网络安全培 48% zero-trust收养之路 大约15%的受访者表示,采用零信任模型的最大挑战是了解它是什么以及如何开始。对于大约46%的受访者来说,最大的挑战是将模型集成到传统的IT基础架构中,或者用零信任兼容的系统替换旧系统。近四分之一的受访者还表示需要在IT和员工方面进行大量投资。 29% 训 运营技术和IT相遇的漏洞 25% 在内部保护软件,以防止未经授权的工具或软件使用 24% 缺乏全面的安全控制、流程或策略 19% 内部威胁 19% 遵守网络安全合规 资料来源::麻省理工学院技术评论洞察民意调查,2022年 “网络犯罪分子正在投资基础设施、工具和人员,就像我们一样。 MikeWilson,MolinaHealthcare首席安全官 整合的挑战是艰巨的,威尔逊说。“零信任不是你打开的开关” ,而是一种在本地控制数据的哲学 水平。成功的零信任策略涉及所有供应商共同努力,以确保安全访问他们负责的应用程序或区域。“一条大护城河变成了到处都是许多小护城河,”威尔逊说。技术挑战是建造足够深的护城河以保护,但又不能太深,以至于应用程序无法根据需要相互通信。“细分部分真的非常非常难,”他说。 好消息是,零信任不是一个全有或全无的主张,而是可以根据组织最需要保护的资产逐步采用。 “重要的是首先制定整体战略,然后以较小的块构建程序。然后努力 基于此的整个计划,然后进入下一阶段,“Agarwal说。 一些遗留系统可能无法适应零信任方法,组织可能需要考虑现代化以充分保护自己。“如果你尝试使用现有的管道并在此基础上拼凑安全性,”Salvi说,“它不会像完全零信任的方法那样安全,而且它也可能会影响。 用户体验。” 但是,通过将安全重点转移到互联网接入点,组织可以降低最终用户安全措施的总体成本,Salvi补充道。“对于分布式劳动力,零信任是管理和保护连接的唯一方法,”他说。“零信任是真实的,也是不可避免的。这只是一个你想成为领导者还是追随者的问题。 “零信任缩小了网络安全方面的最终用户差距”是麻省理工学院技术评论见解的执行简报。我们要感谢所有参与者以及赞助商Infosys。麻省理工学院技术评论见解独立收集并报告了本文中包含的所有发现,无论参与或赞助。LaurelRuma是本报告的编辑,NicolaCrepaldi是出版商。 关于麻省理工学院技术评论见解 MITTechnologyReviewInsights是麻省理工学院技术评论的定制出版部门,麻省理工学院技术评论是世界上运行时间最长的技术杂志,