零信任:新现实中的关键组成部分
时间:2022-03-30 12:21:02 | 来源:行业动态
时间:2022-03-30 12:21:02 来源:行业动态
零信任是一项简单的策略,其核心是古老的最小特权网络安全原则的加强版。但与这个名字恰恰相反的是,零信任是一项对员工友好的安全解决方案,因此可以被IT专业人员和其他员工所接受。
零信任可以真正为各种规模的企业提供更好的安全结果。今年6月中国刚刚通过了《数据安全法》,中国企业被要求改善他们的数据保护实践。未能保护数据并导致大规模数据泄露的组织将面临最高200万元人民币的罚款并可能被暂停相关业务。因此,许多企业已经实施或正在实施零信任,有些甚至建立了基于零信任安全的新一代远程办公系统。
在最近一些备受瞩目的网络攻击中出现了一种明显的模式恶意软件通过网络钓鱼或由恶意行动者利用暴露的服务器漏洞对企业进行攻击。恶意软件在进入后会在企业内部横向移动,寻找高价值的目标。勒索软件正是通过这种模式找到可以加密的目标,然后索取解密赎金。我们震惊地发现,全球不乏脆弱和暴露的服务器,也不乏勒索软件的受害者。
幸运的是,零信任可以在这方面有所作为。零信任的基本理念是确保用户只能访问他们需要访问的应用程序,而且必须在经过验证和授权之后才能访问。事实上,在采取零信任策略的情况下,用户在经过验证并被授予访问权限之前无法访问应用程序,因此不会暴露应用程序。在零信任威胁保护下,用户会被自动阻止访问钓鱼网站或恶意软件分发网站,而恶意软件会被自动阻止访问其命令和控制。通过这些基本机制,零信任使恶意软件更难进入或传播。
零信任的核心是非常严格的访问控制,能够确保只向经过验证和授权的用户授予访问权限,而且只用于必要的用途。尽管该策略的名称是零信任,但它并不吓人。这个概念十分简单,可以被认为是一种添加了环境变量的最小权限访问形式。
在线咨询
