企业云安全

不会过时的安全云云中的安全指导你的路径如何 弯曲安全云的旅程云的比赛正在进行中。随着业务弹性受到大流行的威胁，向远程工作的转变意味着许多组织需要灵活,可伸缩的网络由云。与此同时，基于云的新技术为推动创新、自动化和追求新增长提供了机会，或者只是节省了资金。和更有效率。和实现更大的数字转换创建的照片组织需要将云作为连续功能做好准备的紧迫感。随着这些因素结合在一起，关于云的历史不确定性已经消失。然而,加速云也采用公开组织新业务十分危险当涉及到潜在的安全漏洞时。例如,新的云数字启用经验可能会扫清转型之路，但它们也创造了新的威胁媒介。在卫生部门，最近发现超过一半（53%）的联网医疗设备和其他物联网设备存在严重漏洞，可能对患者的安全和隐私有害。组织应该平衡今天的安全需求和明天的安全需求。他们应该准备足够和敏捷确保现有技术的足迹,同时准备好管理未来 - 无论他们处于云之旅的哪个阶段。他们必须经常这样做，而没有奢侈的额外资源。在任何云之旅中，如果云连续体是地图，那么安全性就是指导组织更有效地导航的指南针。不会过时的安全云280%可能的工作负载云计算在未来几年。 艰难时期组织应该考虑他们的安全概要文件的问题,如:增加攻击成功的安全威胁正在增加 - 没有行业或地理界限。我们 2021 年的研究表明，有 270 次攻击，每家公司每年比 31 年增加 2020%。这些攻击不分青红皂白地针对云或本地环境。智能威胁策略网络攻击更加复杂，威胁行为者比大多数组织更快地灵活变形以利用新兴技术。例如，勒索软件运营商正在滥用云基础设施并引入新的加密技术以更好地逃避检测。安全分析瘫痪可见性和控制保证是必要的，但安全团队可能会迷失在分析瘫痪或过度设计解决方案以缩小漏洞差距中。例如，当监管机构想要证明组织如何获得安全的证据时其云基础，安全团队可能难以交付，因为旧的、以数据中心为中心的控制框架无法协调和正确解决现代数字功能。安全团队应敏捷并与业务保持一致，以便准备好保护其组织并实现云机会。不会过时的安全云我们每年的网络安全状态弹性研究发现，那些密切使其安全实践与业务战略保持一致，以实现更好的业务成果。他们更擅长阻止攻击，更快地发现和修复漏洞并减少其影响。3 安全盲点安全团队应认识到其组织在云之旅中所处的位置。然而,他们是受:安全文化的转变传统的安全思维是一种控制，例如,控制周边的限制谁可以获得技术。但是，随着网络安全采用零信任方法，其中，根据定义,没有人信任的主需要直接控制分担责任。学习如何放弃控制权需要文化转变。此外，当今的安全团队通常关注流程而不是结果;他们需要意识到，安全措施应该跟上一个不断发展的不断变化的环境云之旅,以避免新的风险。一个稀缺的技能传统的安全资源包括两个核心技能集：安全管理员（基础结构、漏洞管理、网络安全技能）和网络防御团队（威胁情报、调查、事件响应）。当前的资源被要求以新的方式完成工作，这引入了新的技能要求。缺少的是具有安全域的资源专业知识和云技术技能，例如具有身份技能的软件工程师和访问管理。Upskilling现有需要资源和添加新技能才能充分利用云连续体方法。不会过时的安全云4 软件自动化的进步超过安全随着云计划的进展并触发软件自动化的进步，传统的软件开发生命周期 （SDLC） 管理变得更加敏捷。安全性必须跟上容量需求，而实现这一目标的唯一方法是通过自动化。不断提高的软件自动化需要相同的安全功能，以有效地保护云平台上的新兴服务。不幸的是，安全领域的技能和能力落后于这些软件自动化的进步。无法平衡资源云可以实现安全技术，例如端点检测和响应、安全信息和事件管理 （SIEM）、基于信任的架构和网络威胁情报。但随着组织打开大门这些技术,在现有的压力安全资源与能力可以达到一个突破点，引入了新的漏洞。首席信息安全官应调整多个杠杆来管理他们的云之旅，包括技术、资源和战略合作伙伴。鉴于我们已经在保护云方面已有十多年了，从那些已经走下这条路的人那里可以学到很多东西。路径。在内部缺乏技能的地方，有教训，有容量，并且有充足的开源安全自动化内容可用启动组织旅程上。不会过时的安全云42%的受访者表示安全合规性风险是云采用的最大痛点。30%的CISOs说他们不喜欢已经进入云所需的技能。5 一个安全的云不是旅程一晚的事件安全组织将面临挑战，必须面对威胁并不断适应，以避免组织云之旅的延迟。随着我们转向更加以人为本的互联网并拥抱元宇宙等进步，安全团队应该提高他们的云安全能力和敏捷性，以清楚地识别和应对不断变化的风险。领导者应该确信他们已经确定了最高风险的威胁向量，并且正在有效地管理新的风险暴露，就像软件开发人员创建新服务一样快。不会过时的安全云6 你要去哪里?无论是刚刚起步还是已经在云之旅中走过很远，组织都需要清楚地了解业务成果和剩余或新兴风险以及解决这些问题的方法。他们应该了解当前进展的状况，并对计划的方向有一个总体的看法。整个企业的领导者需要了解整个组织的安全性表现。他们应该认识到当他们的安全团队的行动能够实现业务目标时，当他们没有时。他们应该能够分辨出不同在安全团队之间阻止进度并保护业务免受看不见的威胁。他们应该了解认为业务安全与知道业务安全之间的细微差别。他们应该考虑云安全是减慢了他们的速度，还是帮助他们加速了旅程。就安全领导者而言，他们应该了解任何云之旅所需的进度，以便他们可以应用适当的护栏来保护业务。为了以最安全的方式利用云，组织需要问自己：我们的安全功能是否有助于我们导航和推进云之旅？不会过时的安全云如果云连续的地图构建旅程，然后安全是指南针，有助于指导沿途的有效决策。7 了解路线每当我们采取任何旅程,有精神检查表我们通常遵循:我知道我要去哪里吗？我计划好路线了吗？我是否打包了旅行必需品？让我们假设组织的云之旅涵盖了基础知识 - 确定了大致方向，云服务提供商参与其中，安全团队参与其中。现在，有哪个问题路线,没有一刀切。不会过时的安全云8 虽然我们认识到可以采取一系列方法，但以下路线表示迁移到云时通常考虑的光谱的两端：直接的路线带领组织穿越一些具有挑战性的地形，但使用高速公路来帮助快速跟踪创新。把这个方法使驱动器和学习高管们看到云之旅渐进式战术视角 — 更少的前期投资，更多的云原生方法。在这里,安全功能可能占主导地位扩展现有的生态系统。风景优美的路线通过文化转变和云使组织走上更蜿蜒的道路复杂但拿起业务的好处一路上的转变。采取这种“强烈和故意的道路让高管们看到通过变革性的视角实现云之旅 - 更少的交钥匙工程，更多的北极星战略和治理。在这里，在将安全网络迁移到零信任方法方面，安全功能可能更具变革性。必要的进站应提供对网络防御和控制保证的可见性。定期签到有助于确保所选路线映射到一个组织的商业策略。这两种途径都将看到组织实现其最终目标，但创造不同的体验。从安全角度来看，每条路由都是有效的，但具有不同的风险，并且需要不同的方法。不会过时的安全云931%的首席信息安全官表示，从一开始就没有讨论迁移到云，他们正在努力迎头赶上。 选择路线每种路由对安全团队如何引导云之旅的进度都有不同的影响。这些路由突出显示了组织可能需要如何调整当前的安全策略才能有效进行：直接的路线开车和学习风景优美的路线强烈和有意的云之旅安全重点搬到一个主要在SaaS云提供商,IaaS和PaaS环境扩大足迹。安全计划侧重于优化集成和增量更改，其安全性可增加您的安全性现有工具套件;在原生环境中工作和将其注入您的团队已经知道的工具中;涉及软件工程策略即代码 （DevSecOps）。迁移到混合/多云环境;更复杂但提供了长期的韧性。安全计划侧重于中断和对复杂系统进行现代化改造，并承担更多工作北极星类型的活动，例如采用零信任来转变网络安全方法;培养人才和文化转变和底层安全架构的变化。对于这两种路由，都采用身份管理和数据安全性。复杂程度取决于选择的路线。不会过时的安全云10 管理风险影响云之旅风险和进度的因素包括：特定于行业的:有些行业更有可能在一条路线上取得成功，而不是比另一个。例如,监管和众所周知，合规性问题会影响银行业向安全云的转变。具体地点:地理足迹会影响进度。例如,全球或多国和地区组织有不同的安全需求。此外，主权云，使组织能够控制数据的位置、访问和处理云环境对某些国家或行业的新兴行业标准有影响。客户engagement-specific:考虑与不同类型的客户互动相关的风险。例如，通过以下方式直接与客户互动优步或Airbnb等数字平台与管理众多供应商和付款相比具有不同的风险企业对企业 （B2B） 环境中的流程。Innovation-specific:新的云服务在引入之前需要进行风险评估;安全必须跟上制裁和评估那些打开大门的服务的速度增量风险。例如,威胁造型,风险或业务影响评估以及剩余风险确定可以简化新服务的引入。随着元宇宙的发展，安全领导者应该适应以满足业务需求。不会过时的安全云11 您的安全指南针希望利用云连续体带来的机遇的组织应该了解必须做出哪些决策以及需要哪些安全性来支持结果。在此过程中，组织需要考虑围绕其安全参与的许多领域 - 与其人员、技术和合作伙伴生态系统相关。如何处理这些元素取决于在您自己的特定的云旅程成熟度-无论是刚开始、加速还是“一路走来”，组织都需要在移动中转移安全工作。更重要的是，风险和因素会发生变化，因此在进站时停下来并继续询问有关旅程的问题非常重要 - 我们的安全方法是否仍在与商业战略步调一致？我们有相关技能吗？我们是否规划了容量？通过最优的打破,高管检查甚至调整他们的方向，以确保他们在合适的路线上。不会过时的安全云12 使用安全性作为指南针以简化云之旅时的三个注意事项你在哪里?你应该做什么呢?你应该与谁?安全与业务一致确保首席信息安全官及其安全团队高度一致，并使用安全性作为推动云之旅的推动因素来推动业务成果。采取行动:加速应用程序和数据迁移;评估/重新平衡适当的技能组合;确保数据获得适当许可;证明已构建的内容符合法规要求。安全的设计使用技术作为杠杆来集成和自动化安全解决方案，并转向云原生架构。采取行动:测试所使用的技术是否适合其当前安全状况;利用云原生安全架构和服务，让员工腾出时间从事更高优先级的网络安全活动。靠近你的生态系统在与战略供应商和安全同行互动的旅程中暂停受益于见解和行业专业知识。采取行动:联系您的生态系统，包括其他首席信息安全官和供应商，以听听他们如何应对共同的挑战;通过建立新的技术社区来预测技能需求或管理服务经验。不会过时的安全云13 组织不应该固步于他们选择的道路;他们可以将方向从直接路线更改为风景路线，然后再返回以纠正任何错误的转弯。将澄清路线的是来自安全指南针的一致指南，因为它引入了导航任何云旅程的敏捷性。不会过时的安全云14 是什么云连续?metaverse是什么?Cloud Continuum 包括从公共到边缘以及介于两者之间的各种功能和服务，通过云优先网络无缝连接，并由高级云连续体实践提供支持。构成云连续体的一系列技术因所有权和位置而异，从靠近企业到完全异地。云优先的 5G 和软件定义网络统一了 Continuum，允许从几乎任何地方访问云，并确保私有云、公共云、混合云、边缘云或多云之间不存在孤岛。更多的访问:埃森哲将元宇宙视为互联网的演变，它使用户能够超越浏览，居住和/或参与持久的共享体验，这种体验跨越我们现实世界的范围，完全虚拟和介于两者之间。埃森哲将元宇宙视为一个不断发展和扩展的连续体多维度;我们称之为元宇宙连续体。更多的访问:不会过时的安全云15 联系人丹Mellen董事总经理,埃森哲安全 daniel.w.mellen@accenture.com格雷琴迈尔斯埃森哲安全 gretchen.myers@accenture.com 云安全负责人不会过时的安全云参考文献1 健康,安全,2022年1月数据源80%的工作负载可以在云中未来几年。埃森哲技术展望202242%的受访者表示安全性和遵从性风险是云采用的最大痛点。埃森哲云连续体30%的CISOs说他们没有技能需要进入云。埃森哲的网络安全状态恢复2021年31%的CISOs表示安全的一部分围绕从一