數位身分如何驅動資安債,隱藏的轉型權衡

May 6, 2022 CyberArk Blog Team

Cybersecurity Debt Digital Identities

許多網路安全的概念很複雜,往往難以向非技術性受眾解釋。 Kerberoasting? Golden SAML? 嗯? 這使得安全領導者很難傳達緊迫感並獲得利益相關者對重要項目的支援。

讓企業利益相關者和消費者認識保護個人和專業數位身分的重要性,正是身分定義安全聯盟(IDSA)和國家網路安全聯盟立身分管理日(#IDMgmtDay2022)的原因 。 當您在 4 月 12 日著手開展意識建設計劃時,考慮從 「債務 」的角度來看待日益嚴重的數位身分問題 –這是一個既被普遍理解又令人恐懼的概念。

根據今天發佈的《CyberArk 2022 身分安全威脅情勢報告》*的調查結果,許多企業由於優先考慮數字計劃,例如加速雲遷移,開發新的數位服務和支持隨時隨地工作的模式,而推遲了以身分為重點的安全保護措施,從而 更深入地陷入資安債。

不斷上升的資安債能會阻礙創新和未來的成功

無論是大手大腳地去度個假,購買新房還是為客戶推出新的互動式應用程式,您都可以通過將“付款”推遲到明天來承擔債務,以獲得您今天需要(或想要)的東西。 但是,俗話說:「債務就像其他陷阱一樣:容易陷入,但很難擺脫。 ”

資安債是一種技術債務—這個術語首先由計算機程式師Ward Cunningham提出的,指重新設計一個從一開始就沒有完全或適當設計的解決方案的未來成本。 資安債具體是指隨著新系統和技術的不斷增加,在組織的IT環境中積累的未解決的安全漏洞。 當資安債沒有及時償還時(換句話說,如果安全問題沒有立即得到解決),“利息 ”就會迅速積累,使得在未來修復這些短板變得困難和昂貴。

陷入資安債的泥潭,最終導致用於維持企業生產和效率的專用資源減少。

企業數位化轉型的權衡

雖然波動性仍然是企業的最大商業挑戰,但不能選擇停滯不前。 幾乎每個接受調查的組織(99%)在過去12個月內都加快了業務或IT計劃,以推動持續的彈性和差異化競爭。

但是,尤其是在涉及大規模技術計劃時,變革性專案很少能在不引起波動性的情況下實現。 每一個專案都創建了大量新的相互關聯的數位身分——網路空間的虛擬身分證——每個身分都包含與之相連的人或機器的憑據。 這些數位身分用於促進交互和代理訪問,通常是訪問敏感的企業數據和執行工作或功能所需的資產。 —

threat landscape

一個高利息的數位身分債困境

威脅參與者或惡意內部人員只需一個受損的身分即可發起攻擊,並開始提升特權,以便更深入地進入一個環境中去尋找有價值的資產。 這可能就是為什麼受訪者將獲取憑據列為其第一大風險領域的原因。 然而,79%的受訪者表示,他們的組織沒有優先保護關鍵數據和資產。 相反,他們正在全力推進受訪者認為可能帶來重大風險的舉措。

這種不和諧的現象造成了大量的資安債,隨著「利息」以新的非管理的身分在每個主要的IT基礎設施元件中積累,這種債務還在繼續增加。

threat landscape

這個身分管理日,制定可行的回報計劃,以解決資安債

正如我們的個人生活一樣,一定程度的債務有時是必要的。 如果你的車壞了,你需要一輛車來上下班,你可能被迫貸款。 同樣,許多組織別無選擇,只能快速跟蹤能夠在大流行驅動的挑戰中保持運營的專案,並在此過程中進行一些安全權衡。

現在的關鍵是負責任地處理這一債務,以免餘額變得過於龐大,或者更糟糕的是,由於安全決策不佳而未能以技術變革的速度發展,導致組織面臨“破產”。

值得稱道的是,一些受訪者承諾要扭轉局面。 值得注意的是,幾乎所有受訪者都接受了什麼都不相信,驗證一切」的零信任網路安全模型。 其中一半(50%)的受訪者將身分安全工具的實施作為他們鋪平道路的三大舉措之一。

面對持續的勒索軟體攻擊和其他新出現的威脅,他們正在更全面地處理資安債和降低風險的能力—不僅強調重要的技術控制,如多因素身分驗證(MFA)和最小特權,而且還強調以人為本的舉措,如安全意識培訓,將安全意識行為 植入到他們的文化。 這種縱深防禦方法反映了一種普遍的「假設違規」心態,82%的受訪者表示他們已經接受了這種心態。

擺脫資安債需要時間,對於許多組織來說,還有很多工作要做。 制定基於風險的計劃可以幫助他們找到快速、高回報“付款”的方法,然後遵循可行的時程表來減少剩餘的資安債。 有了一個可靠的以身分為中心的風險計劃,組織可以有效地加強對新出現的威脅的防禦,同時推進關鍵舉措,以推動其業務向前發展。

若要瞭解更多資訊,請下載《CyberArk 2022 身分安全威脅情勢報告》。

*CyberArk 2022 身分安全威脅情勢報告》調查了全球所有私營和公共部門中至少500人及以上的組織的1750IT安全決策。

No Previous Articles

Next Article
CyberArk 對 2022 年 1 月 Okta 入侵事件的看法
CyberArk 對 2022 年 1 月 Okta 入侵事件的看法

Okta 是一家身分和存取管理供應商,經證實它在 2022 年 1 月一次有針對性的網路攻擊中其第三方支援工程師之機器遭受入侵。 3 月 22 日,犯罪組織 Lapsus$ 在網上分享了一些截圖,隨後證實了此消息。...