行业新闻
电子邮件安全公司Egress对美国和英国的500名IT领导者和3,000名员工进行的一项新调查显示,在过去一年中,94%的企业都经历了内部数据泄漏。
84%受访的IT领导层工作者表示,人为错误是导致严重事故的首要原因。然而,受访者更关心内部人员的恶意行为,28%的受访者表示故意恶意行为是他们最大的恐惧。
尽管造成的事故最多,但人为错误在IT领导层的担心列表里依然排名垫底,只有21%的受访者表示人为错误是他们最担心的问题。不过56%的受访者认为远程/混合工作将使防止人为错误或网络钓鱼造成的数据泄漏变得更加困难,但61%的员工认为他们在家工作时造成违规的可能性与在公司并无区别甚至更小。
从漏洞的原因来看,74%的企业因员工违反安全规则而遭到利用,73%的企业成为网络钓鱼攻击的受害者。
在调查员工是否会如实上报触犯了违规行为时,97%的员工表示会如实上报,这对55%要依靠员工提醒他们是否发生了安全事件的IT领导者来说是个好消息。但诚实可能并不会有回报,因为89%的事件都会对涉事员工产生消极影响。
报告指出:内部风险是每个企业最复杂的漏洞——它具有深远的影响,从遭遇勒索软件攻击到失去客户信任。企业必须立即采取行动,以减轻其员工带来的风险。
该报告强调了赋予员工权力的重要性,企业希望员工保护雇主的数据,同时也有责任确保他们正在建立一种积极的企业安全文化。有了正确的技术和战略,企业才可以将员工从最大的安全漏洞触发者转变为最强大的安全防线。
一、应用零信任安全理念,构建纵深防御体系
传统的访问验证方式只需要知道IP或主机信息,便可通过验证,而零信任默认不相信任何人,需要明确用户身份、访问来源、授权途径等信息,否则访问请求则会被立即拒绝。零信任的主流技术SDP,(Software Defined Perimeter, 软件定义边界)。SDP建立虚拟边界,利用基于身份的访问控制和权限认证机制,让应用和服务“隐身”,具有相应权限的用户才能看见。智行零信任访问控制系统以身份为基石,遵循“网络无特权化、信任最小化、权限动态化”原则,采用软件定义边界技术,强化身份治理与访问控制,充分利用态势感知、流量分析、资产监测、行为画像,并结合应用隐身和终端准入与管控,持续、动态的构建企业核心资产的安全防护壁垒。
二、强调以身份为主轴,动态访问控制授权
智行零信任访问控制系统强调身份与授权的关系,所有访问均建立在身份的基础上,针对“谁可以访问谁”的控制,任何用户都必须先进行认证后再接入,对于接入的授权用户,根据最小权限原则只允许用户访问其允许访问的业务系统。系统可为不同用户配置不同的安全策略,并且基于来自终端环境、身份信息、审计日志等多源数据建立用户的信任模型,对用户的访问风险进行实时评估,根据结果动态调整其安全策略。同时,通过对“什么数据可以被调用”的控制,来确保数据流转过程中的安全,实现资产动态防御的目的。
三、重视网络安全系统建设,提升安全防范意识
面对复杂多变的各类网络威胁,仅仅依靠被动拦截是不够的,零信任安全架构作为一种主动防御安全理念,将责任与安全治理深度融合,是企业作为网络安全防护与数据安全治理的最佳践行利器,让企业内部访问行为与网络流量可视可控、智能。从而从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。也能有效的解决内部人员责任与身份相结合的去对数据进行合理应用等问题,防止数据滥用或非法泄露。同时,各行业用户及企事业人员需要提升网络安全防范意识,及时做好漏洞修复,提高密码强度,养成定期备份重要资料、加强保密意识及内部人员对数据保护的敏感性等行为习惯,共筑数字化转型时期的安全基石。