電子郵件安全公司Egress對美國和英國的500名IT領(lǐng)導(dǎo)者和3,000名員工進(jìn)行的一項新調(diào)查顯示,在過去一年中,94%的企業(yè)都經(jīng)歷了內(nèi)部數(shù)據(jù)泄漏�����。
84%受訪的IT領(lǐng)導(dǎo)層工作者表示�����,人為錯誤是導(dǎo)致嚴(yán)重事故的首要原因�����。然而�����,受訪者更關(guān)心內(nèi)部人員的惡意行為�����,28%的受訪者表示故意惡意行為是他們最大的恐懼�。
盡管造成的事故最多�,但人為錯誤在IT領(lǐng)導(dǎo)層的擔(dān)心列表里依然排名墊底,只有21%的受訪者表示人為錯誤是他們最擔(dān)心的問題�����。不過56%的受訪者認(rèn)為遠(yuǎn)程/混合工作將使防止人為錯誤或網(wǎng)絡(luò)釣魚造成的數(shù)據(jù)泄漏變得更加困難,但61%的員工認(rèn)為他們在家工作時造成違規(guī)的可能性與在公司并無區(qū)別甚至更小�����。
從漏洞的原因來看�����,74%的企業(yè)因員工違反安全規(guī)則而遭到利用�,73%的企業(yè)成為網(wǎng)絡(luò)釣魚攻擊的受害者。
在調(diào)查員工是否會如實上報觸犯了違規(guī)行為時�,97%的員工表示會如實上報,這對55%要依靠員工提醒他們是否發(fā)生了安全事件的IT領(lǐng)導(dǎo)者來說是個好消息�。但誠實可能并不會有回報,因為89%的事件都會對涉事員工產(chǎn)生消極影響�。
報告指出:內(nèi)部風(fēng)險是每個企業(yè)最復(fù)雜的漏洞——它具有深遠(yuǎn)的影響,從遭遇勒索軟件攻擊到失去客戶信任�����。企業(yè)必須立即采取行動�,以減輕其員工帶來的風(fēng)險。
該報告強調(diào)了賦予員工權(quán)力的重要性�����,企業(yè)希望員工保護(hù)雇主的數(shù)據(jù),同時也有責(zé)任確保他們正在建立一種積極的企業(yè)安全文化�。有了正確的技術(shù)和戰(zhàn)略,企業(yè)才可以將員工從最大的安全漏洞觸發(fā)者轉(zhuǎn)變?yōu)樽顝姶蟮陌踩谰€�����。
重視內(nèi)部風(fēng)險�,防止數(shù)據(jù)泄露
一、應(yīng)用零信任安全理念�����,構(gòu)建縱深防御體系
傳統(tǒng)的訪問驗證方式只需要知道IP或主機信息�����,便可通過驗證�,而零信任默認(rèn)不相信任何人�����,需要明確用戶身份�、訪問來源�����、授權(quán)途徑等信息�,否則訪問請求則會被立即拒絕�����。零信任的主流技術(shù)SDP�����,(Software Defined Perimeter, 軟件定義邊界)�。SDP建立虛擬邊界,利用基于身份的訪問控制和權(quán)限認(rèn)證機制�,讓應(yīng)用和服務(wù)“隱身”,具有相應(yīng)權(quán)限的用戶才能看見�。智行零信任訪問控制系統(tǒng)以身份為基石,遵循“網(wǎng)絡(luò)無特權(quán)化�����、信任最小化�、權(quán)限動態(tài)化”原則,采用軟件定義邊界技術(shù)�����,強化身份治理與訪問控制,充分利用態(tài)勢感知�、流量分析、資產(chǎn)監(jiān)測�����、行為畫像�,并結(jié)合應(yīng)用隱身和終端準(zhǔn)入與管控,持續(xù)�、動態(tài)的構(gòu)建企業(yè)核心資產(chǎn)的安全防護(hù)壁壘。
二�、強調(diào)以身份為主軸,動態(tài)訪問控制授權(quán)
智行零信任訪問控制系統(tǒng)強調(diào)身份與授權(quán)的關(guān)系�,所有訪問均建立在身份的基礎(chǔ)上,針對“誰可以訪問誰”的控制�����,任何用戶都必須先進(jìn)行認(rèn)證后再接入�,對于接入的授權(quán)用戶�����,根據(jù)最小權(quán)限原則只允許用戶訪問其允許訪問的業(yè)務(wù)系統(tǒng)。系統(tǒng)可為不同用戶配置不同的安全策略�����,并且基于來自終端環(huán)境�、身份信息、審計日志等多源數(shù)據(jù)建立用戶的信任模型�,對用戶的訪問風(fēng)險進(jìn)行實時評估,根據(jù)結(jié)果動態(tài)調(diào)整其安全策略�����。同時�,通過對“什么數(shù)據(jù)可以被調(diào)用”的控制,來確保數(shù)據(jù)流轉(zhuǎn)過程中的安全�����,實現(xiàn)資產(chǎn)動態(tài)防御的目的�。
三、重視網(wǎng)絡(luò)安全系統(tǒng)建設(shè)�,提升安全防范意識
面對復(fù)雜多變的各類網(wǎng)絡(luò)威脅,僅僅依靠被動攔截是不夠的�,零信任安全架構(gòu)作為一種主動防御安全理念,將責(zé)任與安全治理深度融合�,是企業(yè)作為網(wǎng)絡(luò)安全防護(hù)與數(shù)據(jù)安全治理的最佳踐行利器�����,讓企業(yè)內(nèi)部訪問行為與網(wǎng)絡(luò)流量可視可控�����、智能�。從而從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞�����。也能有效的解決內(nèi)部人員責(zé)任與身份相結(jié)合的去對數(shù)據(jù)進(jìn)行合理應(yīng)用等問題�����,防止數(shù)據(jù)濫用或非法泄露�。同時,各行業(yè)用戶及企事業(yè)人員需要提升網(wǎng)絡(luò)安全防范意識�����,及時做好漏洞修復(fù)�,提高密碼強度�,養(yǎng)成定期備份重要資料�����、加強保密意識及內(nèi)部人員對數(shù)據(jù)保護(hù)的敏感性等行為習(xí)慣�����,共筑數(shù)字化轉(zhuǎn)型時期的安全基石�����。
公安備案號:44030502000376