许多网络安全的概念很复杂,往往难以向非技术性受众解释。Kerberoasting?Golden SAML?嗯?这使得安全领导者很难传达紧迫感并获得利益相关者对重要项目的支持。
让企业利益相关者和消费者认识保护个人和专业数字身份的重要性,正是身份定义安全联盟(IDSA)和国家网络安全联盟设立身份管理日(#IDMgmtDay2022)的原因。当您在 4 月 12 日着手开展意识建设计划时,考虑从 “债务 “的角度来看待日益严重的数字身份问题–这是一个既被普遍理解又令人恐惧的概念。—
根据今天发布的《CyberArk 2022年身份安全威胁态势报告》*的调查结果,许多企业由于优先考虑数字计划,例如加速云迁移,开发新的数字服务和支持随时随地工作的模式,而推迟了以身份为重点的安全保护措施,从而更深入地陷入网络安全债务。
不断上升的网络安全债务可能会阻碍创新和未来的成功
无论是大手大脚地去度个假,购买新房还是为客户推出新的交互式应用程序,您都可以通过将“付款”推迟到明天来承担债务,以获得您今天需要(或想要)的东西。但是,俗话说:“债务就像其他陷阱一样:容易陷入,但很难摆脱。”
网络安全债务是一种技术债务—这个术语首先由计算机程序员Ward Cunningham提出的,指重新设计一个从一开始就没有完全或适当设计的解决方案的未来成本。网络安全债务具体是指随着新系统和技术的不断增加,在组织的IT环境中积累的未解决的安全漏洞。当网络安全债务没有及时偿还时(换句话说,如果安全问题没有立即得到解决),”利息 “就会迅速积累,使得在未来修复这些短板变得困难和昂贵。
陷入网络安全债务的泥潭,最终导致用于维持企业生产和效率的专用资源减少。
企业数字化转型的权衡
虽然波动性仍然是企业的最大商业挑战,但不能选择停滞不前。几乎每个接受调查的组织(99%)在过去12个月内都加快了业务或IT计划,以推动持续的弹性和差异化竞争。
但是,尤其是在涉及大规模技术计划时,变革性项目很少能在不引起波动性的情况下实现。每一个项目都创建了大量新的相互关联的数字身份——网络空间的虚拟身份证——每个身份都包含与之相连的人或机器的凭据。这些数字身份用于促进交互和代理访问,通常是访问敏感的企业数据和执行工作或功能所需的资产。—
一个高利息的数字身份债务困境
威胁参与者或恶意内部人员只需一个受损的身份即可发起攻击,并开始提升特权,以便更深入地进入一个环境中去寻找有价值的资产。这可能就是为什么受访者将获取凭据列为其第一大风险领域的原因。然而,79%的受访者表示,他们的组织没有优先保护关键数据和资产。相反,他们正在全力推进受访者认为可能带来重大风险的举措。
这种不和谐的现象造成了大量的网络安全债务,随着“利息”以新的非管理的身份在每个主要的IT基础设施组件中积累,这种债务还在继续增加。
这个身份管理日,制定可行的回报计划,以解决网络安全债务问题
正如我们的个人生活一样,一定程度的债务有时是必要的。如果你的车坏了,你需要一辆车来上下班,你可能被迫贷款。同样,许多组织别无选择,只能快速跟踪能够在大流行驱动的挑战中保持运营的项目,并在此过程中进行一些安全权衡。
现在的关键是负责任地处理这一债务,以免余额变得过于庞大,或者更糟糕的是,由于安全决策不佳而未能以技术变革的速度发展,导致组织面临“破产”。
值得称道的是,一些受访者承诺要扭转局面。值得注意的是,几乎所有受访者都接受了“什么都不相信,验证一切”的零信任网络安全模型。其中一半(50%)的受访者将身份安全工具的实施作为他们铺平道路的三大举措之一。
面对持续的勒索软件攻击和其他新出现的威胁,他们正在更全面地处理网络安全债务和降低风险的能力—不仅强调重要的技术控制,如多因素身份验证(MFA)和最小特权,而且还强调以人为本的举措,如安全意识培训,将安全意识行为植入到他们的文化。这种纵深防御方法反映了一种普遍的“假设违规”心态,82%的受访者表示他们已经接受了这种心态。
摆脱网络安全债务需要时间,对于许多组织来说,还有很多工作要做。制定基于风险的计划可以帮助他们找到快速、高回报“付款”的方法,然后遵循可行的时间表来减少剩余的网络安全债务。有了一个可靠的以身份为中心的风险计划,组织可以有效地加强对新出现的威胁的防御,同时推进关键举措,以推动其业务向前发展。
要了解更多信息,请下载CyberArk 2022身份安全威胁形势报告。
*《CyberArk 2022 年身份安全威胁形势报告》调查了全球所有私营和公共部门中至少500人及以上的组织的1750项IT安全决策。
