安全性如何指导您在云中的路径

面向未来的安全云安全性如何指导您在云中的路径 在您的云之旅中灵活安全向云计算的竞赛正在进行中。由于企业弹性受到大流行的威胁，转向远程工作意味着许多组织需要灵活，云使可扩展网络成为可能。与此同时，新的基于云的技术为推动创新、自动化和追求新的增长提供了机会——或者只是节省资金并且更有效率。并实现更大的数字化转型的画面正在创造组织准备好将云作为连续能力的一种紧迫感。随着这些因素的结合，关于云的历史不确定性已经消失。然而，加速云采用也暴露了组织面临新的业务风险——尤其是当涉及到潜在的安全漏洞时。例如，新的云启用数字经验可能会扫清转型之路，但它们也创造了新的威胁载体。在卫生部门，最近发现超过一半 (53%) 的联网医疗设备和其他物联网设备存在严重漏洞，可能会损害患者的安全和隐私。 1组织应平衡当今与未来的安全需求。他们应该准备好并且足够敏捷以确保他们现有的技术足迹，同时准备好管理即将发生的事情——无论他们在云之旅中的哪个位置。他们必须经常这样做额外资源的奢侈。在任何云之旅中，如果 Cloud Continuum 是地图，那么安全就是指导组织更有效地导航的指南针。面向未来的安全云280%的工作负载可能在未来几年的云。 充满挑战的时代组织应考虑其安全性问题背景下的简介，例如：增加攻击成功的安全威胁正在增加——没有行业或地理界限。我们 2021 年的研究揭示了 270 次攻击，与 2020 年相比，每家公司每年增长 31%。这些攻击对云或本地环境不分青红皂白。智能威胁策略网络攻击更加复杂，威胁参与者灵活地变形以比大多数组织更快地利用新兴技术。例如，勒索软件运营商正在滥用云基础设施并引入新的加密技术以更好地逃避检测。安全分析瘫痪可见性和控制保证是必要的，但安全团队可能会陷入分析瘫痪或过度设计解决方案以缩小漏洞差距。例如，当监管机构想要证明组织如何确保安全时其云基础，安全团队可能难以交付，因为旧的、以数据中心为中心的控制框架无法调整和正确处理现代数字功能。安全团队应该敏捷并与业务保持一致，以准备好保护他们的组织并实现云机会。面向未来的安全云我们的年度网络安全状况韧性研究发现，那些密切关注使他们的安全实践与业务战略保持一致，从而实现更好的业务成果。他们更擅长阻止攻击、更快地发现和修复漏洞并减少其影响。3 安全盲点安全团队应该认识到他们的组织在云之旅中所处的位置。然而，它们受到以下因素的阻碍：安全文化转变传统的安全心态是一种控制，例如，控制周界以限制谁有权使用技术。但随着网络安全采用零信任方法——其中，根据定义，没有人是值得信任的——从需要直接控制分担责任。学习如何放弃控制需要文化转变。此外，今天的安全团队通常关注过程而不是结果。他们需要意识到安全行动应该跟上不断变化的不断变化的环境云之旅规避新风险。技能稀缺传统安全资源包括两个核心技能组合：安全管理员（基础设施、漏洞管理、网络安全技能）和网络防御团队（威胁情报、调查、事件响应）。当前的资源被要求以新的方式完成工作，这引入了新的技能要求。缺少的是具有安全域的资源专业知识和云技术技能，例如具有身份技能的软件工程师和访问管理。提高现有技能要充分利用 Cloud Continuum 方法，需要资源和添加新技能。面向未来的安全云4 软件自动化的进步超过了安全性随着云计划的进展和软件自动化的进步，传统的软件开发生命周期 (SDLC) 管理变得更加灵活。安全性必须跟上容量需求，而实现这一目标的唯一方法是通过自动化。提高软件自动化程度也需要安全功能，以有效保护云平台上的新兴服务。不幸的是，安全领域的技能和能力落后于这些软件自动化的进步。无法平衡资源云可以启用安全技术，例如端点检测和响应、安全信息和事件管理 (SIEM)、基于信任的架构和网络威胁情报。但随着组织敞开大门对于这些技术，现有的压力安全资源和能力可以达到一个突破点，引入了新的漏洞。首席信息安全官应该调整多个杠杆来管理他们的云之旅——包括技术、资源和战略合作伙伴。鉴于我们在保护云方面已有 10 多年的历史，有很多东西可以从那些已经经历过的人那里学到很多东西小路。在内部缺乏技能的地方，有课程、有能力并且有充足的开源安全自动化内容可用启动旅程中的组织。面向未来的安全云42%的受访者表示安全和合规风险是云采用的最大痛点。30%的 CISO 表示他们没有具备迁移到云端所需的技能。5 安全的云之旅不是一次性的事件安全组织将面临挑战，以保持在威胁面前并不断适应，以避免组织的云之旅出现延误。随着我们转向更加以人为本的互联网并接受像元宇宙这样的进步，安全团队应该提高他们的云安全能力和敏捷性，以清楚地识别和应对不断变化的风险。领导者应该确信他们已经确定了最高风险的威胁向量，并且在软件开发人员创建新服务的同时有效地管理新的风险暴露。面向未来的安全云6 你要去哪里？无论是刚刚开始还是已经在云之旅中顺利进行，组织都需要清楚地了解业务成果和残余或新出现的风险以及解决这些风险的方法。他们应该了解当前进度的状态，并对计划的方向有一个总体的看法。整个企业的领导者需要了解整个组织的安全性如何。他们应该认识到当他们的安全团队的行动实现业务目标时，什么时候不是。他们应该能够辨别差异安全团队之间阻止进展并保护业务免受看不见的威胁。他们应该理解认为业务是安全的和知道它是安全的之间的细微差别。他们应该考虑云安全是让他们放慢速度还是帮助他们加快旅程。就他们而言，安全领导者应该了解任何云之旅所需的进展速度，以便他们可以应用适当的护栏来保护业务。为了以最安全的方式利用云，组织需要问自己：我们的安全能力是否有助于我们导航和推进我们的云之旅？面向未来的安全云如果 Cloud Continuum 是一张地图构建旅程，然后安全是帮助指导沿途有效决策的指南针。7 了解路线每当我们踏上任何旅程时，总会有我们通常遵循的心理检查表：我知道我要去哪里吗？我计划好我的路线了吗？我打包旅行必需品了吗？让我们假设一个组织的云之旅的基础知识已经涵盖——总体方向已经确定，云服务提供商参与进来，安全团队参与进来。现在，有什么问题采取的路线，没有一种尺寸适合所有人。面向未来的安全云8 虽然我们认识到可以采取一系列方法，但以下路线表示移动到云端时通常考虑的频谱的两端：直达路线带领组织穿越一些具有挑战性的领域——但使用高速公路来帮助快速创新。采用这种“驱动和学习”的方法可以使高管了解云之旅一个增量的战术镜头——更少的前期投资，更多的云原生方法。在这里，安全能力可能主要是现有生态系统的扩展。风景优美的路线通过文化转变和云，让组织走上更加曲折的道路复杂性，但获得了业务的好处一路转型。采取这种“激烈和有意的'道路让高管们看到通过变革的视角进行云之旅——更少的交钥匙，更多的北极星战略和治理。在这里，安全能力在将安全网络转向零信任方法方面可能更具变革性。基本进站应提供对网络防御和控制保证的可见性。定期签到有助于确保所选路线映射到组织的业务战略。两条路线都将使组织达到其最终目标，但会创造不同的体验。从安全的角度来看，每条路线都是有效的，但有不同的风险，需要不同的方法。面向未来的安全云931%的 CISO 表示，从一开始，安全并不是围绕迁移到云的讨论的一部分，他们正在努力迎头赶上。 选择路线每条路线对安全团队如何引导云之旅的进展都有不同的影响。这些路线突出了组织当前的安全策略可能需要如何调整才能有效地进行：直达路线开车和学习风景路线强烈而有意云之旅安全重点迁移到 SaaS、IaaS 中的主要云提供商和 PaaS 环境以扩大足迹。安全计划的重点是优化集成和增量更改，安全性可以增加您的现有工具套件；在本地环境中工作和将其注入您的团队已经知道的工具中；涉及软件工程策略即代码（DevSecOps）。迁移到混合/多云环境；更复杂但提供了长期的弹性。安全计划的重点是破坏和对复杂系统进行现代化改造，并涉及承担更多北极星类型的活动，例如采用零信任来改造网络安全方法；启动人才和文化转变和底层安全架构的变化。对于这两种路由，都采用身份管理和数据安全性。复杂程度取决于选择的路线。面向未来的安全云10 管理风险影响云之旅风险和进展的因素有：特定行业：有些行业更有可能在一条路线上取得成功，而不是比另一个。例如，监管和众所周知，合规问题会影响银行业向安全云的迁移。特定位置：地理足迹可以影响进度。例如，全球或多国与区域组织有不同的安全需求。此外，主权云使组织能够控制数据的位置、访问和处理云环境对某些国家或部门的新兴行业标准有影响。客户参与特定：考虑与不同类型的客户参与相关的风险。例如，通过以下方式直接与客户互动与管理众多供应商和支付方式相比，Uber 或 Airbnb 等数字平台具有不同的风险企业对企业 (B2B) 环境中的流程。创新特定：新的云服务在引入之前需要进行风险评估；安全必须跟上制裁和评估那些打开大门的服务的步伐增量风险。例如，威胁建模，风险或业务影响评估和剩余风险确定可以简化新服务的引入。随着元宇宙的展开，安全领导者应该适应业务需求。面向未来的安全云11 您的安全指南针想要利用 Cloud Continuum 带来的机会的组织应该了解必须做出哪些决策以及需要哪些安全措施来支持结果。在此过程中，组织需要围绕其安全参与考虑许多领域——与他们的人员、他们的技术和他们的合作伙伴生态系统相关。如何处理这些元素取决于根据您自己的特定云旅程成熟度——无论是刚刚起步、加速还是“一路走来”，组织都需要在移动中转移安全工作。更重要的是，风险和因素会发生变化，因此在进站停下来继续询问有关旅程的问题很重要——我们的安全方法是否仍在与业务战略同步？我们有相关的技能吗？我们是否规划了容量？通过最佳休息时间，高管可以检查甚至调整他们的方向，以确保他们在合适的路线上。面向未来的安全云12 使用安全作为指南来简化云之旅时的三个注意事项你在哪里？你该怎么办？你应该与谁合作？使安全与业务保持一致确保 CISO 及其安全团队高度一致，并使用安全作为推动云之旅的推动力来促进业务成果。采取行动：加速应用程序和数据迁移；评估/重新平衡适当的技能组合；确保数据得到适当的许可；证明所建造的东西符合监管要求。通过设计确保安全使用技术作为杠杆来集成和自动化安全解决方案，并转向云原生架构。采取行动：测试用于当前安全状况的技术；利用云原生安全架构和服务来腾出员工从事更高优先级的网络安全活动。融入您的生态系统在与战略供应商和安全同行互动的过程中停下来受益于洞察力和行业专业知识。采取行动：联系您的生态系统，包括其他 CISO 和供应商，以听听他们如何应对共同挑战；通过建立新的技术社区来预测技能需求或托管服务经验。面向未来的安全云13 组织不应固守自己选择的道路；他们可以将方向从直达路线更改为风景路线，然后再返回以纠正任何错误转弯。什么将澄清路线是安全指南针的一致指南，因为它引入了导航任何云之旅的敏捷性。面向未来的安全云14 是什么云连续体？什么是元宇宙？Cloud Continuum 包括从公共到边缘的一系列功能和服务，以及介于两者之间的一切，由云优先网络无缝连接，并由先进的 Cloud Continuum 实践提供支持。构成 Cloud Continuum 的一系列技术因所有权和位置而异，从靠近企业到完全在场外。云优先的 5G 和软件定义的网络统一了 Continuum，允许从几乎任何地方访问云，并确保私有云、公共云、混合云、边缘云或多云之间没有孤岛。更多访问：埃森哲将元宇宙视为互联网的一种演变，它使用户能够超越浏览，进入和/或参与持久的共享体验，这种体验跨越了我们现实世界的范围，甚至介于两者之间。埃森哲将元宇宙视为一个不断发展和扩展的连续体多维度；我们称之为元宇宙连续体。更多访问：面向未来的安全云15 联系人丹·梅伦常务董事，埃森哲安全 daniel.w.mellen@accenture.com格雷琴迈尔斯云安全负责人，埃森哲安全 gretchen.myers@accenture.com面向未来的安全云参考1 健康 IT 安全，2022 年 1 月数据源80% 的工作负载可能在云端未来几年。埃森哲技术愿景 202