简化和保护 M&A
实现更快速的现代化 IT 集成
并购前景
面对经济的不确定性,组织寻求新方法来缓解业务波动。例如,其中一种方法就是进行合并或收购 (M&A),这可以使产品种类多样化,同时减少竞争威胁。并购还可以帮助收购方吸纳更多技术人才,并加速数字化转换。
然而,进行并购的公司在整个交易周期中都可能面临重大的网络安全风险。使用传统的网络合并进行集成可能会导致无效、冗余的系统,并使资源和数据面临风险。或者,应用 Zero Trust 原则的现代化并购,可以显著提高 IT 集成的效果,以便:
最大限度地降低 IT、安全和合规风险
降低持续成本,提高生产力
加快实施转换技术
常见的 IT 风险
并购过程中,每个组织之前的网络安全决策和底层 IT 系统都会对其他组织产生影响。攻击者可能会将被收购或被剥离企业的数据作为攻击目标,以此入侵规模更大的收购方企业。例如,攻击者可能会投放特洛伊木马(Trojan)恶意软件,专门窃取未公开信息 ——这类信息一旦泄露,可能会破坏交易进程;然后会将这些数据作为筹码实施勒索。
收购方企业常常遭遇可归因于并购整合活动的数据泄露事件。一个关键因素是攻击面的扩大:在此过程中,敏感文件和数据会通过数字化方式与多个第三方共享。在一起涉及 1.3 亿美元收购 Graduation Alliance Inc. 的案例中,攻击者入侵了并购律师事务所的电子邮箱地址,转移并窃取了原本支付给股东的款项。
即便是“已完成的”IT 集成也存在风险,例如:
休眠漏洞:如果双方的安全态势在集成时各不相同,则一方的安全态势可能会对另一方产生负面影响。例如,在万豪收购喜达屋连锁酒店网络之前,攻击者已经入侵了喜达屋的客户预订系统。这次入侵两年来一直未被发现,导致近 5 亿条客户记录遭到泄露。
影子 IT:合并后的公司员工需要时间来熟悉新的集成式流程和工具。在此过渡期间,某些员工或部门可能会采用未经批准的应用,或者没有遵守新的 IT 策略。
监管影响:如果任一方企业位于不同地区或行业且面临更严格的数据隐私法规,则必须格外谨慎以确保数据共享合规性。例如,《中华人民共和国个人信息保护法》(PIPL) 对并购场景中的个人数据传输提出了一定的通知和同意要求。不遵守规定可能会导致罚款,起始金额为人民币 100 万元(约14.9 万美元)的罚款。
过去的研究表明,70% 到 90% 的收购均以失败告终。如果企业在交易过程中做好应对新型网络威胁的准备并成功完成 IT 集成,则可以避免成为另一个(失败的)并购案例。
降低并购带来的 IT 风险
在传统的 IT 合并中,组织会尝试将两家合并公司的用户都连接到每一个资源。这遵循“城堡与护城河”的网络安全模型(网络外部的任何人都无法访问内部数据,但网络内部的每个人都可以访问)。
例如,组织可能会使用防火墙在两个网络之间传递流量,或在临时桥接点合并两个网络(即,多协议标签交换 (MPLS))来连接数据中心。或者,可以添加新的虚拟专用网络 (VPN),安全地授予新用户访问权限。过去,这种做法足以,因为业务应用均本地托管在数据中心内,而且大部分员工都在办公室内办公。
但是,在现代化职场中,收购方“A 公司”与被收购方“B 公司”的员工都需要多种选项,让其能够从任何地方使用任何设备安全地连接到几乎无限的云托管 SaaS 应用和网络组合。而如果其中任何一个用户或设备遭到入侵,攻击者便可能会越过众所周知的“护城河”。
换句话说,如果在并购过程中融合混合办公环境,基于边界的传统安全方法是不够的。
不过,当今的 IT 和安全领导者有机会重新制定并购 IT 整合战略手册。植根于 Zero Trust 安全模型的现代化方法,可确保所有进出企业的流量都经过验证和授权。
例如,在整合过程中,可以通过 Zero Trust 网络访问(ZTNA)保护资源——这是一种能够实现 Zero Trust 安全的技术。ZTNA 的优点包括:
要求进行多因素身份验证 ,从而降低威胁风险 ,例如凭据被盗和网络钓鱼等。此外,微分段(Zero Trust 的组件)还可以在确实发生攻击的情况下将数据泄露限制在一个小区域,从而最大限度地减少攻击带来的损失。
同时集成多个身份提供商,这会加速外部用户(即:“B 公司”员工和承包商)的身份验证,并让用户可以使用各种公司帐户或个人帐户进行身份验证。
根据用户的身份和上下文授予访问权限 ,采用通用的精细化策略,以及保护内部资产安全,无需添加风险更高的新 VPN 连接。
利用 Zero Trust 便利内部访问,无需复杂的网络合并,确保加快过渡员工加入,以及保障所有用户的“第 1 天”访问安全。这些都有助于组织更快地实现合并的好处,毕竟在并购过程中,时间就是金钱。
对速度的需求
两家公司合并后,它们面临着立即实现投资回报的巨大压力。然而,尝试通过传统网络合并方式整合企业系统面临多项挑战:
然而,尝试采用传统的网络合并方法来组合企业系统会带来一些挑战:
集成期延长且实施步骤长达数月,例如解决潜在的网络不兼容和可扩展性问题、IP 地址重叠,以及其他 IT 复杂性问题。
增加各种开销,例如管理单独的系统、维护过时(或冗余)的应用,以及增加技术债务(旧版硬件几乎总是需要更多开销才能维持运行)。
各种活动导致生产力降低,例如花费更多时间添加、配置和维护新 VPN。此外,对于远程办公的员工来说,使用基于云的 VPN 可能会增加他们与网络之间每个请求的延迟。
作为所有应用的聚合层,ZTNA 会为用户提供对授权资源的安全访问,同时简化实施。例如,ZTNA 可以:
简化访问权限授予,让大批新增用户和设备可以访问两家公司的资源,以及在网络内外(例如,不同的云环境)存储数据。在许多情况下,根本不需要使用终端用户软件。
维持员工的生产力和连接,这是一个关键考虑因素,因为合并通常会暂时影响员工的工作表现和留存率。Zero Trust 提供更低干扰的安全检查、简化的身份验证工作流程,以及更快的员工加入和退出步骤。
通过使用基于云的 Zero Trust 平台取代冗余的安全服务,提高技术效率。它还会减少提供和保护新的基础设施(或修复旧版系统中的漏洞)所需的工作量,以及避免 IP 冲突导致的困难或问题。
资产剥离
德勤在 2023 年 1 月开展的一项调查显示,将近一半的并购�专业人士可能会在未来 12 个月内寻求资产剥离(出售或分拆产品线、部门或子公司)。然而,与其他并购策略一样,资产剥离也会增加攻击者获取敏感数据和商业机密的可能性。资产剥离还会增加 IT 资产转移过程中出现错误配置和漏洞的可能性。
资产剥离场景中,分拆而成立的衍生公司拥有了寻求现代化发展的全新机会。在 IT 过渡期间,衍生公司采用 ZTNA 技术正合时宜,既可以最大限度地减少技术债务,又可以降低过渡本身的复杂性。由于 ZTNA 会验证每个单独的请求,因此,这会杜绝攻击者的横向移动。得益于精细化的 Zero Trust 访问策略,也可以让剥离业务中的应用和用户高效地退出。这将加快由此产生的两个企业的逻辑分拆,并且有助于按时履行分拆协议的条款。
简化和保护 M&A
Cloudflare 是通过 Zero Trust 来简化 IT 集成的最简单方式,在“第一天”就可以有效地保护关键应用和高风险用户组(例如:被收购公司的员工和承包商),然后随着业务发展,毫不费力地将互联网原生 ZTNA 技术扩展到企业的其它部分。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读 VPN 替代路径,以获取有关分阶段实现远程访问现代化和在并购期间简化员工入职的指南。
关键要点
阅读本文后,您将能够了解:
与并购相关的常见网络风险
传统 IT 集成的复杂性
应用 Zero Trust 安全的好处