实现卓越安全态势的路线图

获取以零信任为核心定制的转型计划 为确保Akamai在日益发展的安全环境中保持保护状态，并避免自满，我们最近利用零信任成熟度模型（ZTMM）可视化了我们的安全性能。在此，我们分享如何为您自己的组织执行此操作，可以突出关键改进领域并创建通往实现世界级安全态势的清晰路线图。 简化通向零信任的旅程 企业访问和安全问题复杂且不断变化。在这种背景下，在向零信任安全态势迈进时，确定应集中哪些努力可能具有挑战性。 这就是为什么我们建议使用ZTMM作为评估和可视化您当前安全态势的工具。我们已将其用于评估Akamai自身的公司安全态势，以及评估几位客户的安全态势。在流程结束时，您将拥有一份实际行动路线图，帮助您迈向零信任架构。（见参考文献）附录A有关零信任概念更详细的信息。 为什么零信任成熟度模型是有意义的 我们认为在实施更强安全态势的道路上，最关键的一步是第一步：开始行动。然而，当涉及到复杂且不断变化的网络安全主题时，开始说起来容易做起来难。我们见过许多组织在关于做什么、做多少、以及如何按顺序进行改变以实现零信任方面感到困惑。 这里正是ZTMM（零信任模式管理）发光发热的地方。它围绕零信任构建了一个框架，提供了一种线性感，这使得实施更为简便。它帮助组织制定变革计划并预算更新。此外，它还向非IT专业人士解释零信任概念，这有助于IT团队获得所需的认可。 ZTMM 经过实践检验。它是由美国网络安全和基础设施安全局（CISA）开发的，并在美国联邦机构中得到广泛应用。 零信任成熟度模型的五大支柱和三项能力。 ZTMM代表着五个不同支柱间实施梯度的变化，因此可以在时间上逐步进行微小的进步。这五个支柱要求您考虑身份、设备、网络、应用程序和 workload，以及数据（图1）。ZTMM还要求您思考三个跨越所有五个支柱的能力： • 可视化和分析• 自动化和编排• 管理与治理 每个区域都被分配了一个成熟度状态，这描述了一个组织实现零信任方法有多接近。四个成熟阶段（传统、初始、高级和最佳）描述了从手动配置和VPN向理想的“无边界安全”设置转变的过程（见图2）。在成熟度的最佳端，组织授予应用程序最低权限，拒绝认证和对易受攻击设备的访问，防止内部威胁扩散，并立即检测和响应安全事件。（见附录B关于ZTMM框架的更详细描述。） )图2：零信任成熟度之旅（来源：CISA） 通过突出成熟度最低的领域，ZTMM帮助组织发展一个更加平衡的安全环境。Akamai行业领先的安全解决方案组合，结合我们的专业知识，使我们比以往任何时候都更容易迈向成熟的安全态势。 您的团队是否在实施零信任架构时遇到困难？您并不孤单。 创建零信任架构的责任不仅仅落在某个部门身上。它需要组织各层级利益相关者的认同、灵活性和批准。 Akamai是一家提供网络安全和云计算服务的企业，致力于保障在线业务的稳定运行。我们的市场领先的安全解决方案、卓越的威胁情报和全球运营团队在全球范围内保障关键数据和应用程序的安全，无处不在。这种鸟瞰视角意味着我们理解在迈向零信任安全姿态过程中最常见的挑战——并且我们可以帮助您找到解决方案。 三个常见的零信任挑战 1.了解从何处开始。我们通常建议从提高工作负载可见性和减少攻击面开始，以加强网络安全弹性——但这当然取决于组织目前的网络安全状态。 2.快速取得成功。实现零信任可能看似一项庞大的任务，让团队难以集中精力关注任何一件事或庆祝朝着目标所迈出的每一步。 3.展示投资回报率。零信任项目并不便宜，通常需要组织内部的文化变革以及技术变革。证明投资回报的能力——无论是降低攻击面、减轻数据泄露、保护漏洞还是获得财务收益——至关重要，尤其是对于决策者和安全领导者而言。 准备好开始您的零信任之旅并可视化您的安全态势？ 正如我们在Akamai所做的那样，您可以使用ZTMM来可视化您组织当前安全措施的成长状况。这样做将有助于突出您如何使您的流程更加平衡，以及为了实现零信任架构需要做出哪些改变。 如何Akamai可以帮助您实现零信任安全态势 一个成功的零信任架构采用多种控制和原则来解决安全挑战。 我们将考虑各项举措和路线图，协助您制定一个全面考虑整个企业和其目标的实施方案，以实现世界级的安全。这种方法使我们能够与您合作，构建既有效又可持续的长远期安全系统和流程。 与Akamai Cloud协同，我们的安全产品系列——包括先进的分布式ZTNA解决方案、行业领先的微分段、防钓鱼的多因素认证（MFA）以及主动式DNS防火墙——将推动您的安全态势向零信任成熟度模型的“最优”端发展。此外，整个系统可以通过单个代理和单个控制台运行（图3）。 案例研究 可视化跨国零售电商的安全态势，运用零信任成熟度模型 最近，我们分析了一家跨国零售商的电子商务安全态势，可视化其安全状况，并提供相应的路线图，以帮助其更接近世界级的安全态势。我们的专家团队在ZTMM（零信任模型）的多个方面确定了改进区域，并按重要程度从高到低进行排序。在此，我们分享研究结果。 一个在实施过程中存在差异的不平衡系统 在每个支柱中，我们发现某些功能已实现最高（最优）成熟度水平，例如移动设备管理和应用部署的自动化。然而，每个支柱中的某些功能仍处于传统水平，这带来了严重风险。 尤其是在身份和网络支柱中的关键功能没有得到加强；这些支柱是零信任架构的基础。这些功能包括多因素认证（MFA）、身份基础设施的集成管理、基于上下文的安全访问控制以及微分段。 风险ID基础设施 我们的分析师发现，在零售商内部，ID和密码认证是标准做法；多因素认证（MFA）仅限于少数系统。这导致认证信息被滥用的风险很高。此外，存在多个ID基础设施，例如Microsoft Entra ID、本地Active Directory（AD）和轻量级目录访问协议（LDAP）。由于零售商的管理未集成，存在从安全措施较弱的ID基础设施（如LDAP）开始的违规风险。 未集成的授权控制 授权控制尚未整合，因此每个应用程序都单独处理。无法阻止来自易受攻击设备或可疑访问的访问：如果对公司网络有访问权限的员工或合作伙伴的电脑感染了恶意软件，通过横向移动非法访问系统和资源的风险很高。 不充分的市场细分 我们发现，该零售商的安全措施主要针对外部威胁，忽略了已入侵网络的攻击者带来的风险。没有强大的内部隔离，通过仓库的Wi-Fi网络或VPN漏洞进行入侵可能会导致不受控制的横向移动。这种缺乏内部障碍显著增加了系统广泛受到损害、数据泄露和运营中断的风险，因为攻击可以在没有遏制措施的情况下自由地在网络中移动。 不充分的脆弱性管理和响应 该零售商没有将软件物料清单（SBOM）与漏洞信息相链接的管理系统。这意味着它无法迅速识别并对应用漏洞作出反应，这带来了高风险。 我们的建议 我们建议零售商采取以下五个步骤来加强其安全态势： 1. 采取主动措施以降低当前设置中存在的未经授权入侵和横向移动风险。 2. 持续将身份基础设施集成到他们现有的技术堆栈中 3. 制定一个计划以扩大身份验证和授权能力，并结合零信任网络访问技术 决定实施粒度工作量和应用保护的最高效方法。 5. 建立针对未知未来威胁的应对系统和流程，开发加强脆弱性管理和响应的系统与流程，并制定计划 如果您对开始您的零信任之旅感兴趣，联系我们免费的安全评估。 附录A：零信任概念的概述 零信任是一种基于这样一个理念的安全哲学：不应信任组织网络边界内外任何用户、设备或系统。 相反，验证流程和监控被用于最小化风险。这包括执行严格的身份和访问管理（IAM）策略、使用多因素认证（MFA）和优先考虑基于角色的访问控制（RBAC）。 零信任概念已经存在15年，但在COVID-19大流行期间，由于组织面临远程访问要求的增加，其重要性日益凸显。许多公司意识到，在用户和设备分布而非集中时，它们现有的安全措施不再有效。 今天，零信任原则有许多实施方案，包括零信任架构、零信任网络访问（ZTNA）、零信任安全网关（SWG）和微分段。 了解更多关于零信任的信息。 附录B：ZTMM 2.0框架 五项支柱 每个支柱可以按照自己的节奏发展，并且可能比其他支柱发展得更快——直到需要跨支柱协调时为止。 跨支柱能力 这三个能力支撑整个零信任架构，确保安全措施得到整合、及时响应且保持一致性。 零信任成熟度模型中的成熟度方面 ZTMM 2.0 定义了每个功能的四个成熟度级别。目标是确定五个支柱和三个能力的当前成熟度级别，然后制定一个计划，将每个功能的成熟度提升到最高级别。 联系我们讨论Akamai安全套件以及我们能为您的组织安全带来的长期差异。