数位浪潮之下,随之而来的是风险也不断演变,如今已导致技术背后安全与信任之间的关系,越来越不平衡,如何因应全球都在探讨,就在美国每年10月举办全国资安意识月前夕,Cisco提出了新信任标准(The New Trust Standard)的探讨与分享,期望扭转现今的威胁局势。
特别的是,当中以零信任(Zero Trust)的网络安全策略,作为新时代信任标准的首要关键构成,而这也可能成为日后Cisco其合作伙伴都必须朝向的目标,甚至倡议各方供应链都该重视,台湾产业势必也要关注这股潮流,尽早做好准备。
不只网络安全零信任与供应链安全,要赢得企业与客户之间的信任,需在多个层面设法提升
现在的信任失效了吗?从现实面来看,的确有很大的问题,资料外泄问题持续严重,供应链威胁更引发产业高度重视,都持续成为国际与资安界关注的焦点。为此,美国-已积极采取行动,对于零信任与供应链议题,提出国家级别的战略。例如,美国联邦倡议采用零信任原则与方法来保护资讯系统与网络,于是NIST推出《NIST SP 800-207 Zero Trust Architecture》标准文件,而在2021年5月12日,美国总统拜登签署EO 14028的总统行政命令,当中已经强调零信任与供应链安全的实践。
同时,该国的大型网络与资安厂商也早已陆续发力,例如这次Cicso提出的新时代信任标准,又在呼应此一态势。更引起我们关注的是,多年前他们已经提出网络安全的零信任架构,也将这样的概念融合于产品,而在这次新信任标准的发布中,他们并不只针对网络安全,而是在更多层面上,都提出新的信任基本要求。
根据Cisco的说明,他们之前就已采取多项行动,除了零信任架构的建立,Cisco也与供应商签订合约,要求对方也能遵守Cicso所承诺的资安与隐私标准,此外,他们公布了自家面对-索取资料的原则与方法(a Principled Approach to Government Requests for Data)的文件,以及隐私资料表(Privacy Data Sheets),当中描述自家各产品服务对于处理个人资料的方式,并针对客户常见问题提供足够详细的回答,以获取客户的信任。
这也意味着,这些议题早已受各界关注并持续进展,但如今Cisco的行动,开始将这些点、线汇整成面,建构出一个更完整的信任框架。
这样的国际态势,势必将会影响到国内企业,而这也将给予国内企业资讯长一个更宏观的思维,就是要让近年备受关注的资安议题,包括零信任网络安全策略、供应链安全与资料治理的推动,从现有的信任基准拉升到新一个水准。
关于新信任标准的意义,Cisco指出,现在要赢得客户的信任,需依赖整个组织的安全性与透明度,这里所探讨的对象,包括:产品、服务、人员、流程、道德与价值观、内部系统、供应商与承包商。如此一来,客户才能信任将资料交给你。
毕竟,若不知道环境里有什么,不了解硬件与软件是如何制造,或者没有证据表明相互连接的系统是如何做到安全,都会使我们面临风险。
显然,思科推动的新信任标准涵盖更多层面,而这当中还不只是企业内部各构面与供应商,甚至还包含了道德与价值观,尽管Cisco在此并未多作着墨,但也可看出现今信任关系的变化。
提出新时代信任标准的框架,包含5大关键要素,期望各界也能仿效
对于这个新信任标准的提出,思科全球资安产品事业部业务经理朱育民表示,这将有助于塑造产业在数位转型上的思维,可以跨出更好的一步,这个标准如同一份指引,也是一份大纲,能够分享给客户与供应商,让他们在资安行动上,有更明确的方向可以遵循,同时希望这样的概念,能让其他企业也能仿效或思考。
具题而言,这是一个关于期望与责任的框架,要让企业与客户双方都能同意新的规范,提升数位的信任关系。而这个新信任标准的内容,是Cisco从各方交流与经验所整理归纳而来,包括了客户、合作伙伴、资安产业与监管机构等,当中包含了5大关键要素,分别是:零信任架构、受信任供应链、资料治理、透明度,以及合规监管与认证。
零信任
在新信任标准的组成要素中,零信任架构(Zero Trust Architecture,ZTA),被列为第一关键。
根据Cisco的说明,在允许存取之前,对于是否安全的存取,要经过强制且基于证据的判断保证,也就是评估是否安全才可放行存取。目前,这种思维方式的转变,还处于早期阶段,但最终必须渗透到所有的系统之中。而这些系统本身的安全变化,将对提供给客户的产品与服务,带来深远的影响。
关于零信任的重要性,朱育民表示,零信任网络安全虽然提出了许多年,但大家还没有这样的意识,随着美国NIST提出SP 800-207,该国-也正在要求当地联邦-,导入零信任架构的网络安全策略,因此,不管是标准、法规的力量,都已朝向这样的趋势。他认为,这次Cisco提出的新信任标准,是一个很好的时间点,也可以重新教育客户、市场与整个产业,了解到零信任的重要。毕竟,现在企业受攻击的表面是越来越多,零信任网络安全策略将可提供过往要补足的构面。
Cisco本身也这么做,已经发展零信任解决方案。例如,他们在2019年提出对于零信任网络安全的定义,并将这样的概念融入自身。朱育民表示,在他们所提的3W零信任架构中──Workforce、Workloads与Workplace,其实就与NIST发布的SP 800-207 ZTA标准文件中,所描述的3个关键技术吻合,也就是增加的身份治理、微分割与软件定义的网络基础架构。
受信任供应链
第二个关键,是供应链风险的管理,也就是要如何相信供应商能建立一个值得信赖的供应链。这已是近年最受关注的资安威胁,供应链攻击已为全球屡屡带来严重损害,挑战也相当大。
但无论如何,现在的局势,就是客户都希望服务提供商要能了解自身产品中所有元件,并采取合理措施来检测与缓解各式资安问题。
对于供应链的议题,Cisco指出,复杂生态系统的厂商需要经过验证,才能确保最终我们销售或消费的技术的可信度,而这必须要融入供应链流程与技术本身。
至于实践上,Cisco提出6个要点,包括:防止窜改、要求供应商遵守正确的产业标准、建立信任链、在合约中建立信任,以及对于自家与其他供应商产品的整合要进行测试,并要定期执行稽核与漏洞测试。
其中,Cisco也提到了遵循产业标准,事实上,这是推动资安与零信任架构时所能采取的好出发点,他们举例,包括:资安与隐私控制的NIST 800-53,资安管理标准ISO 27001,以及云端使用安全的ISO 27018,还有隐私管理的ISO 27701等。
资料治理
第三是资料治理,其用意就是要确保资料得到适当处理与保护,只有为真正有需要的人提供存取权限,毕竟,客户都希望服务提供者能保护他们的资料,这是数位世界在信任上的基本要求,但不仅仅是如此,还要能尊重资料权利,持续抱持能符合客户与-规定的期望。
可以想像的是,将有越来越多的消费者,会考虑隐私与透明度的提供商。而资料的未来,将会朝向数位主权发展。
对此,Cisco提出3个建议,包括透过技术控制、透过合规控制,以及考虑让客户能选择资料存放资料中心的所在地区。
透明度
第四是透明度,企业要能揭露所有客户所需的资讯,必须让客户能在知情的情况下去选择。这样的精神,过往资安界积极揭露资安漏洞与资安事件时,就已经不断呼吁与强调。
关于增加透明度的方法,例如,让客户更容易得知或找到他们正在找寻的资讯,对于重大漏洞资讯应公开揭露,同时通知所有受事件影响的人,以及在-要求资料时为客户力争辩护。
合规监管与认证
最后的合规监管与认证,也就是要能证明,这是做到明确信任过程之中所必要,企业应透过独立的第三方验证,以证明对客户的承诺。
整体而言,在前面三大关键主轴之外,后面两个关键要素,也就是透明度与认证,其精神其实更是贯穿整个标准,其实两者的概念,过去其实已经不断被强调,但重要性可能被忽略,因此这次Cisco将它与零信任、供应链与资料治理,列为同等重要的要素。而从这5大方向着手,将是企业重新思考信任基准点的开始。
Cisco建议的零信任原则
●将客户体验放在首要任务,因为认证不应该是一种负担。使用者完成工作需要可以方便地存取企业内部与云端的应用程序。
●持续验证使用者、设备与应用程序是否受到信任。
●利用机器学习来识别异常用户行为的尝试登录。会有误报事件发生,因此要权衡阻止合法存取的风险。
●应用程序安全性政策的强度要与资料的敏感性相符合。这需要准确的资料分类,并要能够了解正常应用程序流量是什么样子,这样才能发现异常。
●确保不同应用程序元件之间需要安全的连接,例如应用程序逻辑与数据库。
●让入侵攻击者更难从一台服务器移动到其他服务器,使用技术包括网络分区隔离、强式的认证与加密,以及建立标记受信任的设备。
@资料来源:Cisco,iThome整理,2021年10月
为何需要新的信任标准?
之所以提出新的信任标准,Cisco举出了一个简单的问题,你的客户可以信任将资料交给你吗?答案是,随着商业型态复杂,信任这件事已不再是建立于个人关系之上,现在客户的信任已经开始依赖整个组织的安全性与透明度,这里谈的包括你的产品、服务、人员、流程、道德与价值观、内部系统、供应商与承包商。
因此,现在所论及的信任内涵,已经变得更加全面。例如,客户是否能信任你,不仅取决于你的政策,也取决于你的供应商,甚至你的共应商的共应商;不仅取决于你的网络安全防护,并还取决于你在发生漏洞时的做法;不仅取决于你如何储存客户的敏感资料,还取决于你如何在周五下班之际面对国外执法部门的请求。
而且,现在的安全也与信任及透明度拖不了关系。Cisco说明,在什么都相互连接的今日世界中,这意味着我们已是共享风险与共享安全的态势。然而,不知道我们的环境里有什么,不了解硬件与软件是如何制造,或者没有证据表明相互连接的系统是如何做到安全,都会使我们面临风险。因此,需要信任与透明度的存在并发挥作用,才能方便我们都能集体管理风险。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- 淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
- 哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
- 白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
- 北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步2024-06-28 09:27:13
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
- 科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15