Solarwinds攻击表明,零信任必须在Ciso的路线图上

最近的SolarWinds Orion供应链攻击表明,传统的企业安全领域已经过时,而且可以说已经存在很长一段时间了。阅读更多背景)

这种攻击尤其令人担忧,因为攻击者使用了一种复杂的供应链攻击来攻击旨在集中监视和控制IT基础设施(包括数据中心、云和应用程序)的软件。这类软件的目标意味着数据所有者不能再假定数据在“防火墙之后”是安全的(即……,企业安全领域不再有信任保证)。破坏企业IT管理软件的攻击者将具有明显的优势,使攻击变得容易,而企业所有者很难根除。只要控制面受到挑战,CISOs就必须确保网络安全包括其所处的任何环境中的数据弹性,甚至在企业安全边界内。

Solarwinds攻击只是一个开始。其他网络控制器,包括SDN,SD-WAN和其他数据流技术将继续具有高级持久威胁(APTS)的有吸引力的目标。供应链漏洞将继续有效地绕过外围防御的选项。
在ATOS,我们已经长期主张企业安全域不再是可信的。事实上,我们倡导数据必须让企业支持组织的使命。这种观点是云和OT / IOT / IIT / IOT / IOT / IOT等媒体提供经济利益以及对普遍数据弹性的理解。在此视图中,Atos Enviments作为使命和业务启用程序,通过云计算,物联网配置文件和业务流程外包提供分布式配置文件。最终组织可以实现他们对公共卫生,财务管理,声音政府等重要服务的数字化。

虽然零信任必须是具有成熟的数字转型计划的组织的一部分,甚至尚未追求数字转型的组织不能延迟距离零信任之旅。韦德国际亚洲官网但是,由于我们开始2021年,我们还必须意识到必须立即解决防御性问题。本组织及其利益相关者 - 患者,养老金领取者,公民等 - 无法容忍零信任方法延迟数字化的缘故。企业的“谷仓门”明显打开。

此类软件的目标意味着数据所有者不再假设数据是安全的“在防火墙后面”

什么是零信任?

Zero Trust是一种最优于“永不信任,始终验证”的概念的方法,并且必须逐步应用于所有数字域和解决方案。这意味着保证才能根据其指定的权利,故意被授权的实体用于访问,收集,传输,存储和以其他方式处理它的实体使用。这也意味着在数据存在的情况下,证明执法,意识和有效事件响应的能力。当有效应用时,零信任是实现这种能力的工具,过程和活动的编排。

结论

数字化代表了改善服务和医疗保健,财务保障,公共服务,环境管理和其他利益攸关方福利的机会。新兴数字景观将需要通过云,设备和应用程序进行数据移动和分发的高索引。我们必须拥抱超出传统企业的数据运动,并在任何驻留位置时坚持数据弹性。这意味着数字转换是必要的零信任。韦德国际亚洲官网然而,Solarwinds违反清醒地提醒我们外部和不受信任的实体已经坐在组织内部企业内,无论组织是否已开始数字转型。韦德国际亚洲官网因此,在任何一种情况下,CISOS都应探索零信任并毫不拖延地应用其原理。

在通往零信任的道路上

Atos Cyber​​seCurity_Position_paper _-_ on_the_road_to_zero_trust

阅读Atos关于零信任的立场及其在未来计算中的地位

分享这篇博客文章


关于Dan Schaupner.

数字创新发展主管,数字安全咨询,ATOS
自2017年以来,Dan Schaupner一直在ATOS,并为他的咨询活动带来了二十年的经验。此前,丹是华盛顿特区风险管理公司的首席执行官,建议美国政府对云安全(FEDRAMP /可信互联网连接)。在他的职业生涯中,丹已经建议了许多行业的商业和技术领导,包括金融,医疗保健,高等教育,制造和其他行业。伟德国际备用网址1946韦德国际始于英国丹是毕业于ATOS Gold的技术领导者计划,Atos专家社区的成员,并为新兴专业人士的Atos燃料计划提供指导。丹拥有弗吉尼亚理工学院的MBA,该技术学士学位,距离密歇根大学和CISSP和Cism认证的工程学士学位。