【調查報告】受訪者100%肯定零信任策略 部署轉型三大挑戰
近年零信任策略 (Zero Trust Strategy) 被奉為阻止網絡入侵的金科玉律,不過要真正做到零信任並不容易,因為企業的基建架構有可能要大執,才能支援零信任解決方案的要求。網絡安全顧問及方案供應商 Optiv 早前完成一份有關企業管理層對零信任策略的問卷調查,結果顯示受訪者 100% 認同可有效減少被襲風險,但要落實執行卻有克服三大挑戰 ……
零信任是指一種對任何網絡活動、用家或裝置保持懷疑的安全模型,以帳戶安全為例,即使登入者使用了正確的名稱及密碼,系統還會要求對方提供額外的驗證方式如指紋、硬體安全鑰匙,以減少帳戶被盜用的風險。即使用家成功登入內部網絡或帳戶,系統還會根據其使用權限,限制對方可接觸到的區域或資料。更先進的人工智能技術更會分析及比對登入者的行為,例如對方的登入時間、位置或裝置與過往有否明顯分別等,換句話說,零信任其中一個重要環節是一套嚴格的登入管制策略。
Optiv 這次共向不同行業如政府部門、金融、醫療機構、科技公司的員工,發出 150 份問卷,當中有 43% 受訪者更是規模達 1,000 至 5,000 名員工的企業或機構的 CISO/CSO,意見有一定的代表性。從報告中可見,確立零信任策略的頭三個原因分別是:1. 可阻止入侵者在內部網絡橫向移動 (44%);2. 將可接觸到重要資料的人員限制在最低份量 (44%) 及 3. 收窄企業被攻擊的層面 (41%)。
雖然調查回應百分百肯定零信任策略的用處及重要性,不過,綜合受訪者的回應,要實行卻有三大挑戰。
-有 47% 受訪者指公司內部有太多不同工具、持分者,中間因各種因素而無法協調或溝通,令零信任策略難以貫穿整個架構
-有 44% 受訪者指公司有太多古舊的設備及系統,它們並不支援零信任方案,必須先進行替換及重整架構
-公司內缺乏專家,無法制定有效的零信任策略及確立部署路線圖
由此可見,雖然很多管理層都明白零信任方案的重要性,但公司內部卻未必有專業人士或足夠的人手,自行部署零信任方案的開展,而且時間上亦未必許可。這時管理者應考慮選用網絡安全顧問服務,依賴第三方服務供應商的經驗及專才,才能盡快找出轉型的痛點所在,以最有效率的方法提升公司的網絡安全防禦力。
相關文章:【信定唔信?】AI 網絡安全工具的零信任盲點
https://www.wepro180.com/ai210720/