Fordelene ved at have tre lag af sikkerhed
Dr. Ronald Ross, datalog og kolleger ved det Nationale Institut for Standarder og Teknologi, fortæller Tonya Hall om betydningen af test for sikkerhed og lagdeling cyber-forsvar.
Skal Læs: Hent Forrester ‘ s gratis guide til at lære, hvordan og hvorfor Nul, Tillid er den bedste måde at forsvare din virksomhed.
Jeg får stillet to spørgsmål, som mindst ugentligt, i nogle tilfælde næsten dagligt:
- Hvor skal vi starte til Nul Tillid? Fix din IAM og bruger side af ligningen. Hvad er forskellen mellem andre rammer og Nul Tillid? OK, nu kan vi komme ned til møtrikker og bolte på denne ene.
Nul Tillid vendte sig 10 år i år. John Kindervag ‘ s forskning og analyse af virksomheder, der afslørede, at farlige antagelser om “tillid” var blevet en væsentlig del af netværket. Han indså, at den menneskelige følelser, tillid, var mere end en enkelt fejl; det var et stort ansvar for virksomheders netværk, der vil føre til fiasko over og over igen i år at komme.
Siden 2010 har angribere overtrådt tusindvis af virksomheder, stjæle milliarder af poster. Nogle virksomheder gik ud af markedet, at nogle regeringer lidt geopolitiske tilbageslag, der vil tage år at udrede, og mange borgere har mistet troen på, at integriteten af deres landes valgprocedurer. Og ingen af dem, der udnytter eller brud nogensinde kræves for fjernangribere at bruge deres mest avancerede færdigheder og teknikker. De fleste af dem begyndte med svigt i et par grundlæggende sikkerhed kontrol og den uundgåelige lateral bevægelse af angribere.
Også: ophavsret © Müller-rapport bekræfter de værste: den Nationale suverænitet er i fare, over hele verden
Nul Tillid var ikke født ud af et behov for at sælge en anden sikkerhed, kontrol eller løsning. Det blev født fra et ønske om at løse en reel virksomhed problem. Og lige så trusselsbilledet og de udfordringer, der har udviklet sig over de sidste 10 år, Forrester har arbejdet for at opbygge den oprindelige begreb i en enkel ramme, vi kalder ZTX, eller Nul Tillid udvidet.
Vores rammer løser de arkitektoniske og driftsmæssige problemer med Nul Tillid — nemlig, hvordan at komme i gang, og hvordan til at opretholde en Nul Tillid tilgang. ZTX dækker, hvordan til at “bygge” Nul Tillid til den teknologi, der stak af din virksomhed. Det hjælper organisationer med at forstå, hvordan de kan vælge løsninger, der leverer på Nul Tillid principper, at gøre det muligt for deres strategi over tid. Forrester også rullet en række (to hidtil) af virtuel infrastruktur til at fremvise, hvad Nul Tillid implementeringer ligne — vi spiste vores egen hundefoder.
Nul Tillid virker, men det gør det ikke nemt. Forrester har klienter, der er involveret i at rulle ud ZTX teknologier og metoder, og vi fortsætter med at revidere og opdatere vores forskning, som vi arbejder med flere virksomheder. Vores virtuelle arkitekturer yderligere cement gyldigheden af vores tilgang.
Du har måske bemærket en eksplosion af Nul Tillid til for nylig. Vi tror, at denne vedtagelse er baseret på to faktorer:
For det første, cybersikkerhed industrien har ramt et vendepunkt, hvor den massive bruge til at bevise, at den negative af “god sikkerhed” er ved at være brugt op.For det andet, Direktører og bestyrelse ledelse for virksomheder, der er trætte af teknisk snak og misforståelser omkring cybersikkerhed operationer. Nul Tillid til, er simple i deres navn, omfattende i sin tilgang, og realistisk i accept af den iboende fejl, som plager virksomheders fra den anden de begynder at sende elektroner.
Nu til de andre rammer spørgsmål.
Der er en lang række andre metoder, rammer, bygger, og tilgange, der kan være en del af en sikkerhedsstrategi. Hvis du virkelig gør det dybe dyk på disse andre tilgange, vil du forstå, at det i sandhed, de er på en eller anden måde forskellige sider af ens mønter. Hver ramme ser på endpoint sikkerhed, hver ramme skubber til brugeren kontrollerer og optimal firewall-regler, og hver metode er rettet mod kræsne, hvor sælger teknologier, der kan anvendes til at løse disse problemer. Hver har deres egen smag af tilgang, og i al ærlighed, nogen af dem kunne blive ansat som en del af en langsigtet strategi.
OK — men vent et øjeblik.
Også: Windows 10 sikkerhed: En vejledning til ledere TechProResearch
Sidder i analytiker stol og taler til Fortune 50 organisationer dagligt, at de ikke engang kan beskæftige sig med ting så simpelt som at give MFA, ved hjælp af dårlige passwords, som kæmper med en mislykket firewallen, og ikke formår at lappe ti år gamle servere, der taler til en større udgave af komplekse rammer og komplicerede strategier med fokus på jagter overensstemmelse tjeklister. Hvis de fleste virksomheder kan ikke selv gøre de grundlæggende ting (læs vores forskning, og notér tal på, hvor produktive, grundlæggende sikkerheds-kontrollen er ussel fejl, hvis du tvivler på dette), så det står til grund, at anvendelsen af noget så svært som en løbende tilpasning, eller 15.000 ord tjekliste dokumenter, ville det være noget, der er lysår væk. Tilføj til, at de vanskeligheder beskriver nogle rammer med fem-brev-lange akronymer, mile-lange tjeklister og variable input, og kompleksiteten stiger yderligere.
Nul Tillid er fokuseret på enkelhed og sandheden om, hvordan tingene er nu. Vi skubbe organisationer til at starte fra Nul Tillid til og arbejde ud fra denne position, at vi hele tiden, ved hjælp af programmering, udadtil. Og vi fortæller dem, at dette er en proces, eventuelt en flerårige-lang, og at denne proces ender aldrig-nogensinde.
Virkeligheden i cybersecurity er, at alle skal stoppe med at sutte på det grundlæggende, før vi nogensinde kan endda overveje at flytte til noget så avanceret som hele tiden baserer sikkerhedskontrol og beslutninger om analytiske kontekstuelle faktorer. Denne type avanceret kapacitet er en atom-reaktor niveau af kompleksitet, når de fleste organisationer er heldige, hvis de kan selv sætte en pære i.
Også: Hvad er digital transformation? Alt, hvad du behøver at vide
Par enkelhed og klarhed med et årti, af forskning, i den virkelige verden tilfælde, en industri i kø for at blive vurderet til optagelse, og de faktiske funktionelle implementeringen af den strategi, og pludselig en af disse tilgange synes at være en smule mere pragmatisk.
Dette indlæg blev oprindeligt bragt her.
Sikkerhed
Android økosystem af pre-installeret apps på, er privatlivets fred og sikkerhed rod
Der er den mest usikre sprog?
Google løser Chrome ‘onde markøren’ bug misbrugt af teknisk support scam sites
VirusTotal debuterer retro, forenklet brugerflade til legacy-systemer
Relaterede Emner:
Sikkerhed
CXO
Innovation
Digital Transformation: En CXOs Guide
Big Data Analytics