组织超越密码去拥抱 一个新的方法来防御网络攻击。 生产的伙伴关系 零信任关 最终用户的差距在网络安全 2麻省理工学院技术评论洞察与印孚瑟斯钴业合作 关键的外卖 1 zero-trust网络安全理念 你可能已经注意到这有点难正在改变全球网络。这些 Y 在网络空间。更多的六位数授权码短信到您的手机上。更多请求确认的名称 2 第一个宠物或四年级的老师。更多的箱子以选中“信任此设备”。总的来说,必须证明 更多的,你是你。 这不是你的想象。这是一个相对较新的网络安全哲学被称为“零信任”,它是改变全球网络。就像听起来一样 例如:网络、站点或应用程序不允许您进入 没有证据,你属于那里。MayankAgarwal,负责人印孚瑟斯北美网络安全,认为零 信任是一种思维方式的改变。“零信任是重中之重所有网络安全讨论。这是关于原则 最低特权。这意味着只授予一段时间的访问权限,访问量最少。一旦完成任何 你应该做的工作,访问权限被剥夺了。 网络、网站或应用程序不允许 你(或者让你保持)没有证据属于那里,他们监视 意想不到的行为。 转向云计算 分散的工作立即导致 在网络犯罪上升。安全的方法不得不迅速现代化。 3 超过四分之三的全球化组织正在采取一个更积极的网络安全方法。 采取了zero-trust约40%模型中,移动安全焦点 互联网接入点和远离最终用户。 麻省理工学院技术评论见解调查全球商业领袖揭示了四分之三的组织 变得更加激进的方式吗 过去两年的网络安全和最终用户安全网络安全中最重要的问题。 方法 今年早些时候,麻省理工学院技术评论洞察进行了调查其全球高管小组讨论他们当前的担忧 以及有关网络安全的未来计划。的256 高层管理人员或受访者中,约70%董事。他们代表了广泛的行业,从零售到运输,数量略多 的IT和电信行业的受访者,专业人士服务和金融服务。虽然受访者来了来自所有地区,其中大部分来自北美 (39%),欧洲(33%)或亚太地区(23%)。所有收入类别代表性很强:16%的受访者 2020年公司总收入超过50亿美元, 26%在5000万美元以下,27%在100美元之间百万,10亿美元。 大约40%的受访者表示他们的组织已经采用了零信任模型,而另一个18%正在实施该模型,并且 17%是在规划阶段。 这很重要,首席信息VishalSalvi说印孚瑟斯的安全官,因为公司需要考虑“采用新的安全架构 支持新的连接模式。” 确保在covid-19云 除了不断增长的网络犯罪浪潮,谢谢 COVID-19用于提高这种额外的警惕性。大流行让云计算成为中心舞台:封锁已发送 数以百万计的工人回到家中,在那里他们连接起来远程到公司系统,通常使用他们的个人 设备而不是雇主的设备。传统集中式用户在早上登录一次的安全性- 现代相当于一个城堡的护城河不再可行。 发生大规模的转变,几乎网络攻击立即增加,例如 勒索软件、网络钓鱼尝试和拒绝服务。 为什么现在零信任 零占据终端用户的信任网络安全在美国的讨论 2021年5月以来,当总统拜登 “改善国家的行政命令网络安全”的核心保障联邦政府和框架 玛雅说,所有的商业伙伴 阿加瓦尔,印孚瑟斯的网络安全主管北美。 订单状态所需的结果: •联邦工作人员企业管理账户, 允许他们访问他们需要的一切 做好自己的工作,同时保持可靠的保护即使是有针对性的,复杂的网络钓鱼攻击。 •联邦工作人员用来完成工作的设备持续跟踪和监控, 这些设备的安全状况纳入 授予对内部资源的访问权限时的帐户。 •代理系统彼此隔离,并且 并在他们之间的网络流量流动是可靠的加密。 •企业应用程序经过内部测试,并且外部,可以提供给员工 在互联网上安全。 •联邦安全团队和数据团队工作共同开发数据分类和安全 自动检测并最终阻止的规则未经授权的访问敏感信息。 这反映了基本的变化的威胁景观,随着网络犯罪变得更多 有条理和有组织的。“演员运行的威胁喜欢自己的行业,”阿加沃说。 麻省理工学院技术评论洞察与印孚瑟斯钴业合作3 信息服务的新分布性质保证弱势群体数量的增加分利用网络犯罪。 组织处于微妙的境地,不得不 为员工和合作伙伴提供便捷的访问同时确保他们的数据 应用程序没有错误的人手中。 在民意调查受访者中,近55%的人表示他们最大的挑战是确保混合或完全远程 劳动力。他们的第二个最大的挑战与分散式IT基础架构相关,正在确保应用程序和数据通过云(49%)。 具体来说,68%的受访者担心的 云应用程序和数据受到恶意软件的攻击, ransomware,钓鱼攻击。尽管55% 对他们的云安全性没有信心 配置,59%的人认为他们有足够的控制权保护云的流程和策略。关于一个 三分之一的受访者表示培训具有挑战性员工充分的网络安全。 最终用户受到攻击 任何IT安全策略中最薄弱的环节始终存在是人,执行董事KeriPearlson说 麻省理工学院斯隆网络安全研究联盟 (凸轮)。CAMS研究组织、管理和网络领域的战略问题。“只需要一个 点击错误电子邮件或错误链接的人,或安装错误的程序,使系统受到感染。 “零信任是和前面所有网络安全中心讨论。它是关于最小特权原则。这意味着至少 的访问, 只有一段时间。” 玛雅Agarwal,网络安全的负责人北美,印孚瑟斯 这不仅仅是传统意义上的最终用户,而是所有与我们的系统交互的人。每一个 人与系统的相互作用是可行的脆弱点,”Pearlson说。 确保云 55 % 尽管通常超过99%的系统安全性措施由IT在后端处理,Salvi说,用户负责的一小部分安全威胁 占近1920网络攻击。 “它们都是从网络钓鱼电子邮件开始的,”Salvi说。“他们试图获得钥匙而不是破坏 锁。一些网络钓鱼尝试甚至可以愚弄谨慎的人从人类用户,伪装成紧急消息 资源或最高管理层。新冠疫情封锁使最终用户能够造成更多损害,以及安全策略 迅速适应。 的受访者不觉得相信他们的云 安全是正确配置 59% 与传统的最终用户安全模型相比,用户首次登录到零信任环境— 即使是通过指纹、面部扫描或 多重身份验证-不是监控的终点。 一旦进入,零信任会随着用户的发展而谨慎地遵循网络日,确保他们没有做某事 邪恶,并且没有错误地点击链接为黑客打开了一扇门。除了偶尔 请求重新进行身份验证,用户不会注意到零信任除非它决定不能信任你并将你锁在外面 你想去的地方。 “我不必依赖用户来做正确的事情。 使安全性发挥作用,“萨尔维说。“他们不必记住一个复杂的密码或每三个更改一次密码个月或谨慎下载。” 使用零信任 莫利纳保健,管理式医疗提供者的头位于加利福尼亚州长滩,使用零信任作为组织的安全模型。财富100强公司管理医疗补助和其他健康 相信他们有足够的 控制流程和政策保障 云 资料来源:麻省理工学院技术评论见解调查,2022年 保险到520万人。它有 年收入达270亿美元,管理合作伙伴关系成千上万的卫生保健提供者包括 医院、诊所、医生办公室和家庭健康提供者。 除了通常的安全问题外,莫利纳 医疗保健必须保护个人健康数据以符合要求符合联邦和州隐私法规。“这些数据是 丰富的个人身份信息,可以 被利用用于身份盗窃或经济利益,“他说莫利纳首席安全官迈克威尔逊补充说cyberattackers针对莫利纳的 大流行以来前所未有的速度。 74% 被调查者的采取更积极的 网络安全的方法 资料来源:麻省理工学院技术评论见解调查,2022年 麻省理工学院技术评论洞察与印孚瑟斯钴业合作5 “[网络犯罪分子]正在投资基础设施和工具 和人,就像我们一样,“威尔逊说。“这是一种货币 军备竞赛。威尔逊指出,这是一场不公平的比赛,因为医疗是通过小和 中型企业,如医生办公室,其中无法与寻求 进入他们的系统。 新冠疫情将莫利纳的20,000多名员工分散到偏远地区唯一的共同特征 上网。零信任是保护安全的关键因素 IT基础设施,通过威尔逊所谓的互联网 “阻塞点。”所有Molina用户,无论是员工,承包商、成员或提供商,连接到安全 互联网网关,不仅检查他们的凭据,而是他们的设备和网络位置。 “只需要一个人 电子邮件或点击错了错误的链接,或安装错误的程序系统 被感染。” 克里Pearlson,执行主任 麻省理工学院研究联盟网络安全 麻省理工学院斯隆管理学院(摄像头) 最大的网络安全 公司面临的挑战 55% 确保混合或完全远程的劳动力 49% 云基础设施安全 48% 确保企业IT软件攻击 32% 确保足够的网络安全培训员工 29% 漏洞的操作技术,它满足 25% 确保软件内部阻止 未经授权的工具或软件使用 24% 缺乏全面的安全控制,流程或政策 19% 内部威胁 19% 遵守网络安全合规 资料来源::麻省理工学院技术评论洞察民意调查,2022年 如果网关看到用户展示一个不同寻常的模式—例如,从三个不同的设备登录同一天,它发送警报。网关可能会要求 额外的身份验证并阻止用户的活动,直到它对用户的身份和意图感到满意。“这一切发生在纳秒,”威尔逊说。 网关还监控设备。威尔逊说 医疗保健比其他一些行业更容易受到伤害因为数以百万计的医疗设备连接起来 到互联网。每个设备,而不仅仅是计算机系统但患者监护设备等日常工具 和成像machines-presents机会 网络犯罪分子访问提供商的网络,以及从那时起,其他组织。 “零信任的艺术是开始思考角色—— 人员或设备或其他内容,以及他们如何互动彼此之间,“威尔逊说。“什么是正常行为 对于每一个,有什么奇怪的?如果他们表现得很奇怪,你提高身份验证要求或降低 您允许的访问级别。但所有这些通常都是无缝的个人。” zero-trust收养之路 大约15%的受访者表示最大的挑战 采用零信任模型就是了解它是什么 是以及如何开始。约46%的受访者表示,总体上最大的挑战是整合 将模型转换为旧IT基础架构或替换旧 具有零信任兼容系统的系统。几乎一个在四个答复者中还提到需要大量 投资和员工。 6麻省理工学院技术评论洞察与印孚瑟斯钴业合作 整合的挑战是艰巨的,威尔逊说。 “零信任不是你打开的开关”,而是一个在本地控制数据的理念 水平。成功的零信任策略涉及所有供应商共同努力,确保安全访问他们负责的应用程序或领域。“一 单一的大护城河变成了很多小护城河到处都是,“威尔逊说。技术挑战是 建造足够深的护城河以保护,但不要那么深应用程序无法根据需要相互通信。 “细分部分真的非常非常难,”他说。 好消息是,零信任不是全有或全无命题,但可以逐步采用 组织最需要保护哪些资产。 “重要的是首先制定整体战略,然后在较小的块中构建程序。然后努力基于此的整个计划,然后移至 下一个阶段,”阿加沃说。 “网络罪犯是投资在基础设施和工具 和人民,正如我们。” 首席安全官迈克•威尔逊莫利纳保健 一些遗留系统可能无法适应零信任方法,组织可能需要考虑现代化来保护自己 充分。“如果你尝试使用现有的管道并在此基础上建立拼凑的安全性,” 萨尔维说:“它不会像完全安全的那样安全。零信任方法,它也可能会影响 用户体验。” 但是,通过将安全重点转移到互联网上接入点,组织可能会降低整体 最终用户安全措施的成本,Salvi补充道。“随着分布式劳动力,零信任是唯一的方法 管理和保护连接,“他说。“零信任 是真实的,也是不可避免的。这只是一个问题,是否你想成为一个领导者或追随者。” 麻省理工学院技术评论洞察与印孚瑟斯钴业合作7 “零信任缩小了网络安全方面的最终用户差距”是麻省理工学院技术评论见解的执行简报。我们要感谢所有参与者以及赞助商Infosys。麻省理工学院技术评论见解已收集和 独立报告本文中包含的所有发现,无论参与或赞助。劳雷尔·鲁马是本报告的编辑,尼古拉·克雷帕尔迪是出版商。 关于麻省理工学院技术评论见解 麻省理工学院技术评论见解是麻省理工学院技术评论的定制出版部门,全球历史最悠久的技术杂志,由世界上最重要的技术机构提供支持-制作