2024零信任商業(yè)價值

零信任商業(yè)價值PAGE10PAGE10目錄序言 6摘要 9面向人群 9目標 9什么是零信任？ 10對零信任的理解誤區(qū) 12商業(yè)價值綜述綱領 13商業(yè)價值 14商業(yè)價值的含義？ 144.1.2商業(yè)價值與風險 15信息安全的商業(yè)價值 16為零信任投資做商業(yè)案例 18零信任的商業(yè)價值 19章節(jié)格式 20商業(yè)價值：成本節(jié)約與優(yōu)化 21商業(yè)價值：運營韌性 22商業(yè)價值：業(yè)務敏捷 23商業(yè)價值：促進合規(guī) 24商業(yè)價值：維護聲譽和品牌價值 25商業(yè)價值：減少IT風險 26商業(yè)價值：安全地采用新技術 27商業(yè)價值：加速業(yè)務單位整合（并購） 27商業(yè)價值：更好地利用現(xiàn)有投資 28商業(yè)價值：提高可視性和分析性 29商業(yè)價值：改進用戶體驗 30商業(yè)價值：支持戰(zhàn)略性業(yè)務計劃 31商業(yè)價值：重塑業(yè)務流程 32商業(yè)價值：更好地滿足潛在客戶的安全需求 33傳達商業(yè)價值 34了解你的受眾 35了解你組織結構 35建立一個團隊并形成聯(lián)盟 35溝通策略 35為過程制定計劃 367.結論 36摘要零信任是一個大規(guī)模的產(chǎn)業(yè)趨勢，被全世界許多組織采用以及宣傳；它帶來了更好的安全性能同時減少支出，并提高商業(yè)效率以及靈活性。然而，“零信任”作為一個行業(yè)專有名詞存在被錯誤理解或者難以理解。業(yè)務領導與非安全專業(yè)人才，例如關鍵決策人、預算持有人、以及監(jiān)事等，他們在各個組織零信任發(fā)展的道路上影響著第一步的成敗。這是因為，采用零信任作為一種組織戰(zhàn)略，從根本上講，需要在整個企業(yè)中進行支撐與改變，以及投入大量的時間、精力和金錢。所以，安全人員需要傳達零信任的理念給非技術以及非專業(yè)人員，從下到上直到董事會的成員。我們相信，信息安全產(chǎn)業(yè)仍未賦能從業(yè)人員可以簡潔直接地傳達零信任戰(zhàn)略的商業(yè)價值。這篇CSA國際云安全聯(lián)盟的指南可以彌補這一空白。面向人群該文檔主要面向人群是信息安全專家與從業(yè)者，他們希望向各個組織里的業(yè)務領導與重要參與者展示零信任帶來的價值與商業(yè)影響。該文檔還面向的人群是各個組織里的非技術、非安全方面的從業(yè)者。這份白皮書包含部分技術概念，但是也能讓非專業(yè)人群理解。目標該文檔為信息安全專家提供信息與思路，以此來有效溝通與展示為什么他們的組織應該投資零信任安全戰(zhàn)略。這些溝通是為了向內部參與者展示：例如非安全方面IT人員、企業(yè)規(guī)劃人員、財務與預算團隊、業(yè)務線經(jīng)理、應用程序所有者、企業(yè)首席高管（CEO:首席執(zhí)行官，COO:首席運營官，CFO:首席財務官）以及董事會成員。這份白皮書使得安全專家能夠向組織里的業(yè)務領導與重要參與者展示采用零信任帶來的價值與商業(yè)影響1。其次，說服組織主動投資零信任。什么是零信任？零信任是一個基于若干核心原則的網(wǎng)絡安全戰(zhàn)略，以簡單的、具有可觀的積極影響方式作用于組織的架構、方式、運營。根據(jù)美國國家安全電信咨詢委員會《零信任和可信身份管理報告》中的表述：“零信任是一個網(wǎng)絡安全戰(zhàn)略，假定沒有任何用戶和資產(chǎn)被隱式信任。它默認破壞已經(jīng)發(fā)生或者即將發(fā)生，所以，企業(yè)范圍內的用戶不應該通過簡單的認證就允許訪問敏感信息。反而每個用戶、設備、應用以及交易必須不間斷地驗證身份?！备鶕?jù)美國國家標準與技術研究院（NIST）發(fā)布的《零信任建設》（SP800-207）文檔定義:“零信任（ZT）是一個術語，它是一個不斷進化的網(wǎng)絡安全范式的集合，從基于網(wǎng)絡邊界的靜態(tài)防御，到專注于用戶、資產(chǎn)，以及資源。零信任架構（ZTA）使用零信任理念來規(guī)劃產(chǎn)業(yè)和企業(yè)的基礎設施和流程。零信任假設沒有任何隱式信任賦予物理或者網(wǎng)絡位置（局域網(wǎng)或者互聯(lián)網(wǎng)）的資產(chǎn)或者用戶賬戶，或者基于資產(chǎn)擁有權（企業(yè)所有或者個人所有）來賦予信任。驗證和授權（訪問主體和設備）是獨立的功能，作用在與企業(yè)資源的對話建立之前?！盢IST文檔還提出，零信任“不是單個架構而是一系列關于流程、系統(tǒng)設計和運營的指引原則，它可用作改進任意分類或者敏感等級的安全態(tài)勢?！逼渲羞€包括了7個零信任的核心原則，列出以供參考：可觀測狀態(tài)總體來說，零信任很大的程度不同于傳統(tǒng)的、基于信任的“城堡護城河”物理網(wǎng)絡邊界安全架構，因為傳統(tǒng)架構在云計算、遠程辦公、威脅加劇的時代下變得不再高效。老練的攻擊者越來越精于利用在現(xiàn)代高級的分布式企業(yè)網(wǎng)絡中暴露出的技術或者人力薄弱點，時常嚴重地影響網(wǎng)絡連接穩(wěn)定性。成功的網(wǎng)絡攻擊基本上利用了各種方式的信任。這使得“信任”，無論是隱性的還是顯性的，這個危險的薄弱點必須被排除。在零信任中，所有的網(wǎng)絡數(shù)據(jù)包都是不可信的，同其他在系統(tǒng)中經(jīng)過的數(shù)據(jù)包分別單獨對待。信任等級實質上為零，所以被稱之為零信任。值得注意的是，這個方法關注的是從數(shù)字系統(tǒng)中移除信任，而不是人群、關系或者文化。零信任是一個全面的網(wǎng)絡安全戰(zhàn)略，包含云/多云，內部和外部伙伴/參與者用戶（企業(yè)識別或者自帶設備）端點，私有部署以及混合系統(tǒng)，包括IT（信息技術），OT（運營技術）和IoT（物聯(lián)網(wǎng)）。零信任不是產(chǎn)品（盡管基于零信任的安全基礎設施可以利用各種不同的產(chǎn)品來實施），也不需要組織剔除更換原有的安全基礎設施。零信任驅動著新一代的信息安全的架構方法，使得資源與控制的對齊來保證最低權限的訪問，保證每個網(wǎng)絡數(shù)據(jù)包視作不可信，讓系統(tǒng)強制在流程的每一層執(zhí)行“默認拒絕”模型。零信任方法是一個慎重和謹慎的戰(zhàn)略，指引著組織對于基礎技術的選擇和部署，包括身份、設備、網(wǎng)絡、應用和數(shù)據(jù)盡可能地安全。契合零信任的慎重決定反映了對于日漸增長的危險的認識，以及對更穩(wěn)固和適應性強的安全態(tài)勢的需求，利用基于風險的方法來授權訪問。零信任的采用包括動態(tài)環(huán)境、嚴格的訪問控制、持續(xù)的驗證、行為監(jiān)視以及嚴格的安全規(guī)章強制執(zhí)行。通過慎重地采用零信任方法，組織志在通過以一個更警惕和懷疑的態(tài)度面對網(wǎng)絡流量和人工與非人工活動來最小化數(shù)據(jù)泄露風險和非授權訪問風險。零信任現(xiàn)處在被企業(yè)大量應用的早期階段，而且是美國聯(lián)邦政府新的網(wǎng)絡安全策略的必要部分。同樣地，我們期望持續(xù)關注如何成功在組織中采用零信任的指引。對零信任的理解誤區(qū)零信任安全是一個戰(zhàn)略，不是即買即用的，或者開發(fā)即可實施的。作為一個戰(zhàn)略，它將影響你的思維、決策、優(yōu)先級和對IT與安全工程的考慮。采用這個戰(zhàn)略意味著您的組織架構將會升級和進化到零信任架構。應用得當?shù)脑挘阈湃沃敢鷮τ诩夹g架構的選擇和部署，包括身份、設備、網(wǎng)絡、應用、數(shù)據(jù)，以及交叉領域（例如可視化與分析、自動化與編排，還有治理）。零信任不是防止數(shù)據(jù)泄露的一招制勝絕招。盡管大多數(shù)泄露僅包含數(shù)以千計的數(shù)據(jù)記錄，但百萬記錄級別數(shù)據(jù)的泄露會使得代價成指數(shù)級上升。警惕性和嚴謹?shù)闹卫硎怯行p少以下風險因素的重要方法：以上這些是數(shù)據(jù)泄漏的主要來源，并是零信任實施時需要處理的。零信任不僅僅是技術。市面上有大量的安全技術，在明確的環(huán)境中對威脅對癥下藥。相比技術，零信任更關注的是人和流程，它需要的是齊心協(xié)力，把這些要素結合起來，通過自動化策略達成更全面的安全。零信任并不難，但它要求安全和技術團隊與業(yè)務方（這個文檔的重點）建立合作關系。這帶來了組織內的文化轉變，可能會一時難以適應，但當這個關系建立完成時，零信任會變得簡單許多以及更加高效。商業(yè)價值綜述綱領商業(yè)價值綱領由CSA國際云安全聯(lián)盟零信任工作組編撰，其中包括幾個可以幫助理解和傳達零信任商業(yè)價值的方法。以始為終：這個方針鼓勵人們在零信任過程的開始建立關于組織期望方向與明確的展望目標。與商業(yè)價值相關的期望結果包括減少合規(guī)成本、事故的經(jīng)濟影響、IT和流程債務的復雜性、殘余風險，以及總體擁有成本（TCO）。泄露總會發(fā)生：100%安全這種不現(xiàn)實的目標，轉而考慮更有安全韌性這一更容易達成的目標。這個轉變帶來三個好處：風險控制：這是零信任中的關鍵元素。理解組織的風險偏好可以提供一個容許風險的閾值。零信任的目標幫助機構將內在風險減少至可接受范圍，通過實施控制減少可能性、影響，或二者兼而有之。這可使組織變得更堅韌以及更靈活。采用基于風險的優(yōu)先級將幫助組織理解和識別他們需要解決的差距。組織可以做個穩(wěn)妥的決策來選擇出發(fā)點–通常從小問題出發(fā)是情理之中，通過快速達成短期目標來改善安全態(tài)勢并建立零信任倡議的推動力。當選擇一個較小且低風險的保護面作為試點時，獲得和維護領導層的接納會更容易，這樣就可以利用其指標來突出安全范式的變化并展示商業(yè)價值。傳達零信任的商業(yè)價值將有效鼓勵領導層來發(fā)布正確的指令，為成功的零信任過程樹立根基。商業(yè)價值商業(yè)價值的含義？這一章節(jié)是為了向讀者介紹普遍的核心商業(yè)概念和術語。提供了基礎詞匯和概念模型使得讀者提出更有價值的問題，理解商業(yè)驅動因素，構筑一個具有商業(yè)意義的零信任應用案例。這一章節(jié)并不是全面的商業(yè)或者金融管理介紹，因為這方面在網(wǎng)上已經(jīng)有許多可靠的相關資源了。除了營利性企業(yè)之外，還有許多不同類型的組織，包括非營利性組織、政府機構，以及監(jiān)管機構，它們并不是傳統(tǒng)的企業(yè)。比如一個為了監(jiān)管銀行產(chǎn)業(yè)的聯(lián)邦政府機構就不是一個“企業(yè)”，但它仍可以從零信任中獲益。像這樣的組織，它們的商業(yè)價值就應該是有助于實現(xiàn)其組織的任務目標。企業(yè)運作在財務或者績效指標上，已經(jīng)發(fā)展出一套全面的標準來衡量這些指標。如果你的組織是一家公開貿易的公司，就需要公開報告財務狀況。這些報告對你來說是必讀的，因為它們將你與組織的指標和績效聯(lián)系起來，包括面臨的戰(zhàn)略挑戰(zhàn)和機遇。盡管并非所有以下的指標都適用于每個組織，這個列表涉及了幾個你應該熟悉的指標。為了了解組織的具體情況，最明智的可能是在做了一些基礎調查后，找財務部門一位友好的同事，問下他們哪些財務術語和指標是對你的組織最重要的。21515）不同的角色有著不同的興趣傾向。例如股東傾向于對健康的股價和/或可靠的股息感興趣。另一方面，其他利益相關方對別的指標更為在乎，這根據(jù)他們的角色而定。4.1.2商業(yè)價值與風險企業(yè)很大程度上在乎風險。風險控制（RM）原則提出四種風險處理方式：66接受、規(guī)避、緩解和轉移3。近些年來的實踐表明了無論接受還是規(guī)避風險都不充分。我們知道風險轉移，常見于保險，并不防止事故，而且很多時候實際的成本太大。風險緩解仍然是最高效的投資。緩解需要一系列的管控（技術、人員、流程）來減少風險直至可接受范圍。通常來說，管控會花費金錢，消耗資源，并放慢事務的進度。由于零信任是企業(yè)的整體戰(zhàn)略，因此一個平臺和策略模型就可以為隱私、安全、合規(guī)性和第三方風險管理（TPRM）等其他領域奠定基礎。零信任架構將在基礎設施技術和層級之間執(zhí)行多重控制。內部威脅的風險對于組織來說是最難管理的，因為它涉及有效訪問權限的合法用戶（例如員工、前員工、承包商或者商業(yè)伙伴），他們擁有著有關組織安全條例、數(shù)據(jù)和計算機系統(tǒng)的內部信息。威脅可能涉及欺詐、盜竊資產(chǎn)、盜竊知識產(chǎn)權，甚至是破壞。其通常來自內部人員的事故涉及有效訪問的濫用。零信任通過執(zhí)行最小權限的原則，在授權對資產(chǎn)的訪問之前，要求正確的身份證明（認證）和有效訪問權（授權），以此來減少內部威脅的可能性。它還通過約束橫向移動來限制其影響范圍。第三方風險管理，有時被稱為供應商風險管理或者供應鏈管理，是評估和減輕供應商（例如供應商，商業(yè)伙伴和供應鏈成員）引入的風險的實踐。這一過程通常從關系剛形成時就開始，并持續(xù)維持，包括至關系結束時。零信任戰(zhàn)略通過提供更好的可見性和控制來減少任何第三方安全事件的影響，并賦予供應商最小的訪問權限來降低這些風險。信息安全的商業(yè)價值簡單來說，信息安全是指對公司的數(shù)字資產(chǎn)、系統(tǒng)和數(shù)據(jù)的保護和保障。通過實施有效的安全措施，企業(yè)可以最小化未授權訪問、數(shù)據(jù)泄露和網(wǎng)絡攻擊的風險，使其正常運營，維持客戶和合作伙伴的信任，避免因安全事件造成的潛在財務損失或者商譽減值。隨著商業(yè)和數(shù)字經(jīng)濟的普及，信息安全成為組織內部和董事會的首要關注1717點。世界經(jīng)濟論壇（WEF）60%的國內生產(chǎn)總值（GDP）是數(shù)字化的4，同時美國國家經(jīng)濟研究局（NBER）認為企業(yè)估值主要由無形資產(chǎn)驅動，其中包括數(shù)據(jù)和知識產(chǎn)權（IP）5。這些資產(chǎn)逐漸成為攻擊和破壞的目標，因此必須受到妥善保護。信息安全基于三個主要概念：機密性（Confidentiality）（Integrity）和可用性（Availability），它們共同構成了CIA三要素。安全策略，實施和安全風險的描述都基于這三個參數(shù)：如果實施得當?shù)脑挘畔踩珣撘部梢灾С制髽I(yè)的使命。安全性通過保護企業(yè)認為貴重的資產(chǎn)來減少對整個企業(yè)的風險，以此來支撐企業(yè)。信息安全的成功實施有著額外好處，可以促進對國際和國內標準和法規(guī)的合規(guī)。遵從許多這些標準和法規(guī)（例如HIPAA、GDPR、PCIDSS和ISO27000）包括關于數(shù)據(jù)保護，正確的風險管理，限制對受保護數(shù)據(jù)和流程的訪問，以及如何保護這些信息的定期培訓。所有這些東西都是正確的信息安全計劃的一部分。從風險管理（RM）和合規(guī)性的角度來看，信息技術（IT）和運營技術（OT）系統(tǒng)代表了相當大的風險來源，必須通過實施技術或者流程控制來降低風險。這些控制可以是自定義，或者像遵從法規(guī)一樣通過外力來強加給它們。組織通常必須通過合規(guī)性報告或者審核流程來證明他們的控制是如何按照預期執(zhí)行的。零信任通過確?，F(xiàn)有控制按預期進行來提高安全性，并為組織提供進一步加強這些控制的持續(xù)改進規(guī)劃。在沒有固有信任的環(huán)境中，安全團隊通過使用PAGE21PAGE21風險框架來監(jiān)視、識別、保護、檢測、響應，并從感知到的和現(xiàn)有的威脅中修復。這有助于分清輕重緩急，因為任何組織都沒有無限的資源和時間。零信任為你所有的網(wǎng)絡安全、隱私和運營韌性（OR）的活動提供基礎。零信任不僅提高了控制效率。作為一種首要的戰(zhàn)略和架構，零信任打破了組織內部的壁壘，將IT、安全、應用、架構和商業(yè)整合在一個統(tǒng)一的構想下，以保障資產(chǎn)符合商業(yè)目標。為零信任投資做商業(yè)案例一般來說，商業(yè)案例的研究輔助組織的利益相關方做出關于項目提案的可行性決定，并且它的使用被認為是私營和公共組織的標準實踐。商業(yè)案例通常是一個文檔化、結構化的提案，準備它是為了幫助組織決策者對提案的投資或者項目做出選擇決定。一個商業(yè)案例從商業(yè)過程表現(xiàn)、需求和/或問題、期望收益來描述投資或者項目的理由與解釋。它確定了要滿足的高級需求，并提供了對提案的替代解決方案的分析（包括拒絕或者推進每個選項的理由）、假設、約束、風險調整后的成本效益分析、初步收購策略。它還可能包括財務指標，例如投資回報率（ROI）、預計總擁有成本（TCO）或凈現(xiàn)值（NPV）等。ROINPV的可的因素，或者作為推動商業(yè)價值的促成者。不同的組織有不同級別的形式、過程和架構來進行決策，并且對商業(yè)案例的內容有著不同的期望。實踐者應花時間去學習在組織內部技術、戰(zhàn)略和IT投資決策是如何制定的，并遵循應當?shù)牧鞒毯图軜?。商業(yè)案例一個不變的方面是它必須體現(xiàn)商業(yè)價值，這是這份文檔的主要關注點。接下來的章節(jié)提供了零信任倡議實現(xiàn)商業(yè)價值的14種不同方式。當你確定了適用的領域，你可以適當?shù)亓炕鼈?，并結合到你的組織需求的商業(yè)案例結構中。零信任的商業(yè)價值如前文所述，零信任是一個增強的安全和風險管理方式，它假定身份（真人、非真人/機器），設備（個人電腦、移動設備、物聯(lián)網(wǎng)）或者工作負載（服務器、計算實例、容器或功能）在默認情況下是不可信的。所有的訪問依賴于身份驗證以及基于上下文信息的訪問策略的評估與授權。零信任需要持續(xù)投入時間、資源和預算，但作為回報，它帶來了安全、技術和商業(yè)方面的好處?？偟膩碚f，零信任通過提供以下商業(yè)價值的收益：零信任不同于之前的安全方法，它們承諾了部分或全部這些好處。具體而言，零信任方法本質上是整體的，必須將傳統(tǒng)的分離式系統(tǒng)與IT安全基礎設施層級強制實施動態(tài)控制。章節(jié)格式5.15.1為什么對企業(yè)重要：零信任如何幫助：對誰重要：關注成本降低和風險管理的高管(CFO、CISO、CIO)、IT和安全團隊以及需要安全訪問他們日常工作資源的員工為什么企業(yè)關心這個特定的話題?零信任安全措施通過什么方式達成價值?企業(yè)里的哪些角色會對這個話零信任允許組織通過標準化和簡化用戶與設備訪問來整合不同的冗余工具和技術例如用個訪問具替換程訪問具(例VPN)和地訪問具(例如 ?NAC)。這意味著企業(yè)可以減少購買、部署和維護冗余的基于邊界的安全解決方案么做、為什么?商業(yè)價值：成本節(jié)約與優(yōu)化為什么對企業(yè)重要：減少安全措施的總擁有成本（TCO），更高效地分配業(yè)務單位的資源，而不是各自為政（資本支出、運營支出、人員）。零信任如何幫助：減少對傳統(tǒng)安全系統(tǒng)的需求，降低安全漏洞的風險，減少恢復成本，簡化安全體系結構，自動化提高生產(chǎn)力。對誰重要：關注成本降低和風險管理的高管（CFO、CISO、CIO）、IT和安全團隊以及需要安全訪問他們日常工作資源的員工。零信任允許組織通過標準化和簡化用戶與設備訪問來整合不同的冗余工具和技術，例如用單個訪問工具替換遠程訪問工具（例如VPN）和本地訪問工具（例如NAC）。這意味著企業(yè)可以減少購買、部署和維護冗余的基于邊界的安全解決方案相關的成本。由于它們更新，零信任平臺傾向于使用普遍接受的最佳實踐、現(xiàn)有標準和廣泛采用的協(xié)議，這提高了系統(tǒng)的互操作性，還可能消除對定制集成的需求并減少部署工具的數(shù)量。零信任可以降低連接和寬帶成本，特別是在傳統(tǒng)企業(yè)的IT基礎設施中。組織可以減少或消除對MPLS和SD-WAN等昂貴的專用鏈路的需求，并依賴互聯(lián)網(wǎng)作為其公司網(wǎng)絡。這種方法消除了對邊界的依賴，允許每個用戶到每個資源的點對點訪問，從而大幅度節(jié)省了站點間網(wǎng)絡或者通過數(shù)據(jù)中心回程一切的相關成本。零信任可以改進流程，發(fā)現(xiàn)更多節(jié)約成本的機會。通過自動執(zhí)行訪問請求和審批來提高安全流程的效率，減少人工干預，從而減少管理開銷并提高生產(chǎn)力。此外，零信任簡化了安全架構，降低了管理的復雜性和開銷，以及安全漏洞的風險。通過降低安全漏洞的可能性和影響，零信任降低數(shù)據(jù)泄露的總體和單個事件的成本。它可以通過限制泄露的程序直接降低成本，從而最大限度減少損失和恢復成本。它還可以通過減少數(shù)據(jù)泄露的發(fā)生，間接降低成本。此外，零信任可以通過更嚴格和更有效的安全控制來幫助企業(yè)減少保險開銷。零信任還可能更快地準備和保護新的基礎設施，因為企業(yè)可以減少在新設備上建立用戶和執(zhí)行安全策略所需的時間和精力。商業(yè)價值：運營韌性為什么對企業(yè)重要：運營韌性是在任何危險造成的中斷下依然可以開展業(yè)務包括關鍵業(yè)務和核心業(yè)務功能等運營的能力。企業(yè)運營通常完全依靠IT技術和系統(tǒng)，而脆弱或不可靠的IT基礎架構將會對企業(yè)產(chǎn)生重大的破壞性影響。企業(yè)運營的基礎架構系統(tǒng)的韌性必然是關鍵重點。零信任如何幫助：默認情況下，零信任架構中的系統(tǒng)和設備彼此隔離。只有通過驗證和授權的身份才能通信，并且僅限于授權的協(xié)議。零信任的細粒度隔離降低了攻擊者執(zhí)行偵察或橫向移動的能力。攻擊的影響范圍越小，整個系統(tǒng)的韌性更強。零信任平臺還通過快速適應和允許訪問變化的環(huán)境（例如DR站點），從而改進業(yè)務連續(xù)性和災難恢復的準備和執(zhí)行工作。對誰重要：首席運營官（COO）、首席執(zhí)行官（CEO）、首席財務官（CFO）、運營團隊、業(yè)務領導零信任策略應當基于一種由內而外的方法，企業(yè)應該深思熟慮地詢問我們在對抗什么？我們在保護什么？可以根據(jù)資產(chǎn)的價值來確認策略的優(yōu)先級，通常至少在一定程度上是根據(jù)他們交付的服務或他們支持的流程來決定的。這樣可以更好地與業(yè)務保持一致，還可以增加業(yè)務的韌性。采用零信任框架可以全面減少惡意行為者遍歷網(wǎng)絡的能力來降低風險，并通過高級隔離和授權來減少勒索軟件的影響。正確實施零信任控制可以顯著減少勒索軟件或其他漏洞利用的影響范圍。這在保護關鍵網(wǎng)絡設施免受以網(wǎng)絡為中心的攻擊風險中尤為珍貴，這些風險通常來自受害用戶和VPN連接。從運營的角度來看，由于其主動性和有效的事故最小化，它降低了與業(yè)務運營相關的風險，并允許更精簡的維護團隊。并且，它還提供了強大的業(yè)務持續(xù)性和災難恢復流程，實現(xiàn)運營韌性。商業(yè)價值：業(yè)務敏捷為什么對企業(yè)重要：快速響應市場變化和商業(yè)機會的能力非常珍貴，并可對其成功產(chǎn)生巨大影響。能使業(yè)務更加靈活的技術或方法通常非常有吸引力。零信任如何幫助：通過簡化和動態(tài)、實時的策略來增強安全性，同時提高生產(chǎn)力。改進的預防措施和減少的安全維護開銷，使企業(yè)隨時準備并專注于抓住商業(yè)機會。即使只是為安全團隊騰出時間以便更好地與業(yè)務協(xié)作，也是有價值的。對誰重要：首席執(zhí)行官（CEO）、首席流程官（CPO）、首席信息安全官（CISO）、首席技術官（CTO）、首席信息官（CIO）、首席運營官（COO），風險、運營團隊零信任模型提供了適應不斷變化的業(yè)務需求的靈活性。當員工在改變組織角色時，或者當新系統(tǒng)上線應用市場機遇時，訪問策略可以自動調整。這使組織在不損害安全性的情況下能夠快速適應不斷變化的業(yè)務需求。零信任模型確保職員可以在任何地方、任何設備上安全地訪問公司資源。這通過提供對資源的安全訪問來促進遠程工作，允許職員在保持安全標準的同時輕松訪問完成工作所需的資源。通過對不同部門和團隊提供資源的安全訪問，允許員工更輕松地協(xié)助，并在不損害安全性的情況下共享資源，從而提高生產(chǎn)力。零信任通過提供統(tǒng)一的控制平面和策略模型來簡化企業(yè)安全架構的操作，從而提高系統(tǒng)管理和用戶訪問的效率。這使得組織能夠在管理風險的同時快速行動以追求商業(yè)機會。此外，設備狀況、惡意軟件狀態(tài)以及對安全策略的更改都會被持續(xù)監(jiān)控和驗證，允許組織能自信而敏捷地執(zhí)行。不僅如此，零信任通過提供可應用于任何環(huán)境的全面安全框架，加快了像云計算和移動設備等新技術的采用。通過增強組織的安全態(tài)勢并最小化安全漏洞的風險，零信任可以在保持嚴格的安全協(xié)議的同時更快、更順暢地部署新的應用和服務。商業(yè)價值：促進合規(guī)合規(guī)要求可能是政府或行業(yè)監(jiān)管機構強加給企業(yè)的，也可能是企業(yè)為了通過獲得各種認證來提高其級別而自愿采用的。在這兩種情況下，組織都要求證明它符合合規(guī)標準。這些標準通常規(guī)定了各種技術和流程控制。合規(guī)報告是記錄和證明這些控制是適當且有效的行為。未能滿足合規(guī)要求可能會導致罰款，而且可能數(shù)額巨大。零信任如何幫助：零信任系統(tǒng)需要對動態(tài)和上下文感知策略進行積極評估。因為這些策略是動態(tài)的，因此減少執(zhí)行策略所需的人工工作量。而且，由于它們可以綁定到業(yè)務流程，這些系統(tǒng)通?？梢宰詣由珊弦?guī)報告。零信任系統(tǒng)可以減少執(zhí)行控制和報告合規(guī)要求（創(chuàng)建審計文檔）的成本和工作量。它們還確保組織持續(xù)合規(guī)，而不僅僅是定期合規(guī)。對誰重要：董事會、合規(guī)團隊/首席合規(guī)官、治理風險合規(guī)（GRC）團隊、首席財務官（CFO）、應用所有者滿足和報告合規(guī)需求通常是復雜、耗時和昂貴的。零信任會在很多種方式中減少這種開銷。首先，由于零信任系統(tǒng)是基于上下文的自動化策略，這對于它們來說更容易實現(xiàn)并保持合規(guī)。這是因為策略，通常被描述成有意義的業(yè)務術語，會自動適應身份或關聯(lián)設備的變化，來確保組織持續(xù)合規(guī)。其次，零信任系統(tǒng)的控制集通常是自動文檔化的。當范圍內資產(chǎn)的策略清晰且一致時，所有流量都被加密，所有訪問都被記錄，證據(jù)收集的負擔和時間減少，從而減少審計本身帶來的組織負擔。換而言之，零信任架構減少了開銷和合規(guī)審計給組織帶來的“麻煩”。商業(yè)價值：維護聲譽和品牌價值為什么對企業(yè)重要：當今世界，網(wǎng)絡威脅和數(shù)據(jù)泄露變得越來越普遍，安全已成為各種規(guī)模的企業(yè)的關鍵憂慮。數(shù)據(jù)泄漏不但會導致財務損失，還會導致聲譽受損，影響公司的品牌價值和股價。所以，企業(yè)需要采取措施來增加安全性，捍衛(wèi)自己的品牌價值。零信任如何幫助：零信任架構將強化組織作為目標，加快威脅檢測和響應，并減少成功攻擊的影響。這些好處將通過減少網(wǎng)絡攻擊的頻率和影響來保護其聲譽和品牌價值。對誰重要：企業(yè)品牌和聲譽的安全和保障涉及許多利益相關者，包括批準預算的高管、部署安全系統(tǒng)的IT領導、確保合規(guī)的法務人員以及監(jiān)視安全協(xié)議的人力資源人員。零信任是公關消息傳遞和客戶對數(shù)據(jù)保護期望的有用參考。通過實施這些措施，企業(yè)可以保護其數(shù)據(jù)免受未授權訪問、盜竊和其他網(wǎng)絡威脅。企業(yè)還可以投資于能夠實時監(jiān)測和響應威脅的安全監(jiān)控工具。這些工具可以幫助企業(yè)快速識別和響應安全事故最小化泄漏造成的損失?？傊岣甙踩院秃葱l(wèi)品牌價值是企業(yè)的優(yōu)先任務。通過實施強大的零信任網(wǎng)絡安全架構，對員工開展最佳實踐教育，投資安全監(jiān)控工具，并制定危機管理計劃，企業(yè)可以保護其數(shù)據(jù)和聲譽免受網(wǎng)絡威脅。IT風險為什么對企業(yè)重要：管理和處理IT風險來減少安全事故的影響對于各個行業(yè)的組織來說是至關重要的，這些事故可能會嚴重影響業(yè)務運營、收入產(chǎn)生和商業(yè)聲譽。減少IT風險有助于保護敏感信息、保持生產(chǎn)力，確保不間斷的服務交付，并滿足合規(guī)性和監(jiān)管要求。零信任如何幫助：組織需要一種動態(tài)和全面的方法來增強安全態(tài)勢并減少相關風險。零信任架構假定不具有固有的信任，并促進動態(tài)的、基于風險的、強大的身份與訪問控制，基于上下文和自適應的分段、持續(xù)監(jiān)控和主動安全措施。因此，零信任促進了強大的安全態(tài)勢，保護了關鍵資產(chǎn)，防范了復雜的網(wǎng)絡威脅。適用對象：減少IT風險對于包括第三方在內的各類組織利益相關者至關重要。業(yè)務領導負責通過風險減少措施來確保組織安全和減少IT風險。負責評估、實施、管理和監(jiān)控風險減少策略的IT和安全團隊。處于前端的終端用戶，以及他們的意識、行動和遵循與適應的意愿，可以顯著影響零信任策略的采用過程。采用零信任架構使組織通過實施嚴格的訪問控制來降低網(wǎng)絡安全事故的可能性，并確保用戶和設備在訪問資源前持續(xù)驗證和授權，從而最小化未授權訪問的風險。它還可以更好地了解和響應潛在異常活動，并創(chuàng)建和運行更具韌性的網(wǎng)絡。此外，劃分網(wǎng)絡和限制橫向移動可以最小化潛在事故的影響半徑，確保任何安全泄漏都被遏制并減輕其影響。這些降低風險的措施加強了組織的整體網(wǎng)絡安全態(tài)勢，提供更強的韌性以對抗數(shù)字領域中不斷進化的威脅。商業(yè)價值：安全地采用新技術為什么對企業(yè)重要：靈活性、減少成本、與時俱進安全地采用新技術是在不斷變化的環(huán)境和不斷增長的收入中保持競爭力的關鍵。零信任如何幫助：由于其靈活性，良好構建的零信任架構應該能夠無需大量重建和相關成本即可集成新技術。零信任本質上是關于使用更廣泛的上下文信息來做出訪問決策。對誰重要：工程師、財務、信息安全人員、產(chǎn)品所有者采用基于零信任的架構將導致任何從新云、物聯(lián)網(wǎng)到人工智能之類的新技術的采用更加安全，因為零信任專注于保護資源（包括基于云的資產(chǎn)、服務、工作流、網(wǎng)絡賬號、結構化與非結構化數(shù)據(jù)等），而不僅僅是網(wǎng)絡段或IP地址。例如，新的基于云的服務可以很容易地合并到企業(yè)的零信任策略模型和實施點中，并綁定到他們的身份驗證系統(tǒng)中。這使企業(yè)可以在不犧牲安全性或生產(chǎn)力的情況下快速使用這項新技術。商業(yè)價值：加速業(yè)務單位整合（并購）為什么對企業(yè)重要：短期：由特定人員從“隨時隨地”訪問關鍵業(yè)務系統(tǒng)，將提高并購準備效率，加速并購執(zhí)行與整合，增加并購成功的可能性。中期：由于標準化、重新架構和更改IP尋址方案，收購公司系統(tǒng)和網(wǎng)絡的集成通常是昂貴、緩慢和痛苦的。這增加了成本和時間，降低并購活動的價值。零信任如何幫助：為用戶和系統(tǒng)提供幾乎即時的精確訪問，實習協(xié)助和數(shù)據(jù)交換。避免昂貴而緩慢的網(wǎng)絡集成和IP地址重新映射。為舊系統(tǒng)添加現(xiàn)代身份驗證，在獲得的系統(tǒng)上覆蓋更強的安全層。對誰重要：財務部門、戰(zhàn)略部門、主導收購的業(yè)務部門企業(yè)兼并和收購(M&A)通常對企業(yè)具有戰(zhàn)略重要性，涉及大量資金，并且通常具有很大的緊迫性。他們也經(jīng)常失敗——《哈佛商業(yè)評論》指出，70%到90%的收購都失敗了，“整合”是主要的潛在挑戰(zhàn)。整合是一個多維度的問題，因為對數(shù)據(jù)和計算機系統(tǒng)的訪問幾乎是當今業(yè)務每一個方面的基礎，而且訪問系統(tǒng)可能以非常重要的方式幫助或阻礙被收購公司的整合。零信任可以通過兩種方式加速訪問。首先，在短期內，零信任系統(tǒng)將使正確的人（或系統(tǒng)）能夠精確訪問正確數(shù)據(jù)和操作系統(tǒng)。這既應用于收購前的盡職調查，也應用于即時的收購后整合任務。關鍵人員的訪問至關重要且時間敏感，企業(yè)必須在不損害安全性的情況下這樣做。其次，在收購完成后的中期，零信任系統(tǒng)可以快速部署一致和標準化的訪問方法、身份、驗證和策略實施。零信任平臺通常允許不對被收購公司進行完整的網(wǎng)絡改造的情況下實現(xiàn)目標。商業(yè)價值：更好地利用現(xiàn)有投資為什么對企業(yè)重要：減少運營成本和現(xiàn)有投資間更好的集成，提供更好的可見性和對威脅的響應。零信任如何幫助：通過將控制簡化到更少的平臺，并最大程度地提高技術之間的集成，零信任可以創(chuàng)建一個簡化的集成技術堆棧，具有更低的運營成本和更高的安全效率。對誰重要：首席信息安全官（CISO）、首席信息官（CIO）、采購、首席財務官（CFO）、安全運營由于零信任結構利用了常用部署的安全基礎設施的最佳實踐，因此組織不必為了滿足需求而購買新技術，只需要當前使用的現(xiàn)有技術能滿足控制的需要。例如，通常可以使用現(xiàn)有的身份和訪問平臺作為起點，并使用動態(tài)觸發(fā)的多因素驗證（MFA）和其他上下文分層，如設備運行狀況和位置，來提供更粒度的訪問控制。從那時開始，網(wǎng)絡基礎設施可能會減少，但是對于擁有傳統(tǒng)內部工作負載的組織，可以根據(jù)要求繼續(xù)利用當前的投資。在大多數(shù)組織中，很可能已經(jīng)有一些控制和活動非常適合零信任策略，并且應該擴展以覆蓋企業(yè)內更廣泛的范圍。通過在整體零信任策略模型中增加現(xiàn)有平臺的利用率，組織可以開始逐步淘汰一些重點產(chǎn)品，以支持整合，從而提高效率并降低運營成本。商業(yè)價值：提高可視性和分析性為什么對企業(yè)重要：改進并增強數(shù)據(jù)收集，并將數(shù)據(jù)轉換為信息和知識，使企業(yè)能夠做出與風險和這些決策的成功或失敗相關的明智的安全決策。零信任如何幫助：收集和報告身份和上下文增強數(shù)據(jù)提供了跨風險領域的可見性，以及特定變更對整個環(huán)境的總體影響。這種可視性還允許更好地識別資源需求，以及決策可能影響的過程。對誰重要：首席戰(zhàn)略官（CSO）、首席信息官（CIO）、首席運營官（COO）、首席財務官（CFO）IT、運營和安