面对经济的不确定性,组织寻求新方法来缓解业务波动。例如,其中一种方法就是进行合并或收购 (M&A),这可以使产品种类多样化,同时减少竞争威胁。并购还可以帮助收购方吸纳更多技术人才,并加速数字化转换。
然而,进行并购的公司在整个交易周期中都可能面临重大的网络安全风险。使用传统的网络合并进行集成可能会导致无效、冗余的系统,并使资源和数据面临风险。或者,应用 Zero Trust 原则的现代化并购,可以显著提高 IT 集成的效果,以便:
最大限度地降低 IT、安全和合规风险
降低持续成本,提高生产力
加快实施转换技术
并购过程中,每个组织之前的网络安全决策和底层 IT 系统都会对其他组织产生影响。攻击者可能会针对被收购或被剥离公司的数据,以此作为侵入较大型收购公司的方法。
例如,美国联邦调查局 (FBI) 发出警告,警惕勒索软件行为者利用并购活动发起攻击。攻击者启动特洛伊木马恶意软件,用于专门识别那些可能(如已发布)扰乱交易的非公开信息,然后利用这些数据进行敲诈勒索。
在收购方组织中,三分之一负责并购事务的高管遭遇过数据泄露,“原因可以归结为整合期间的并购活动”。一个关键因素是扩大了攻击面:作为并购流程的一个环节,通过数字方式与多个第三方共享敏感文件和数据。在在涉及 1.3 亿美元收购 Graduation Alliance Inc. 的 案例中,攻击者入侵了并购律师事务所的电子邮箱,以转移和窃取本应支付给股东的款项。
即便是“已完成的”IT 集成也存在风险,例如:
休眠漏洞:如果双方的安全态势在集成时各不相同,则一方的安全态势可能会对另一方产生负面影响。例如,在万豪收购喜达屋连锁酒店网络之前,攻击者已经入侵了喜达屋的客户预订系统。这次入侵两年来一直未被发现,导致近 5 亿条客户记录遭到泄露。
影子 IT:合并后的公司员工需要时间来熟悉新的集成式流程和工具。在此过渡期间,某些员工或部门可能会采用未经批准的应用,或者没有遵守新的 IT 策略。
监管影响:如果这两家公司位于数据隐私法规更加严格的其他区域或行业,则必须更加小心谨慎,以确保数据共享合规。例如,《中华人民共和国个人信息保护法》(PIPL) 对并购场景中的个人数据传输提出了一定的通知和同意要求;不遵守此类规定可能会导致最低 100 万人民币(约149,000 美元)的罚款。
过去的研究表明,70% 到 90% 的收购均以失败告终。如果企业在交易过程中做好应对新型网络威胁的准备并成功完成 IT 集成,则可以避免成为另一个(失败的)并购案例。
在传统的 IT 合并中,组织会尝试将两家合并公司的用户都连接到每一个资源。这遵循“城堡与护城河”的网络安全模型(网络外部的任何人都无法访问内部数据,但网络内部的每个人都可以访问)。
例如,组织可能会使用防火墙在两个网络之间传递流量,或在临时桥接点合并两个网络(即,多协议标签交换 (MPLS))来连接数据中心。或者,可以添加新的虚拟专用网络 (VPN),安全地授予新用户访问权限。过去,这种做法足以,因为业务应用均本地托管在数据中心内,而且大部分员工都在办公室内办公。
但是,在现代化职场中,收购方“A 公司”与被收购方“B 公司”的员工都需要多种选项,让其能够从任何地方使用任何设备安全地连接到几乎无限的云托管 SaaS 应用和网络组合。而如果其中任何一个用户或设备遭到入侵,攻击者便可能会越过众所周知的“护城河”。
换句话说,如果在并购过程中融合混合办公环境,基于边界的传统安全方法是不够的。
不过,当今的 IT 和安全领导者有机会改写并购 IT 集成的行动手册。植根于 Zero Trust 安全模型的现代化方法,可确保所有进出企业的流量都经过验证和授权。
例如,在集成过程中,可以使用 Zero Trust 网络访问 (ZTNA) 保护资源,这是一项可以实施 Zero Trust 安全的技术。ZTNA 的优点包括:
要求进行多因素身份验证,从而降低威胁风险,例如凭据被盗和网络钓鱼等。此外,微分段(Zero Trust 的组件)还可以在确实发生攻击的情况下将数据泄露限制在一个小区域,从而最大限度地减少攻击带来的损失。
同时集成多个身份提供商,这会加速外部用户(即:“B 公司”员工和承包商)的身份验证,并让用户可以使用各种公司帐户或个人帐户进行身份验证。
根据用户的身份和上下文授予访问权限,采用通用的精细化策略,以及保护内部资产安全,无需添加风险更高的新 VPN 连接。
利用 Zero Trust 促进内部访问,无需复杂的网络合并,确保加快过渡员工的加入,以及保障所有用户的“第 1 天”访问安全。这些都有助于组织更快地实现合并的好处,毕竟在并购过程中,时间就是金钱。
两家公司合并后,它们面临着立即实现投资回报的巨大压力。Bain & Co. 的分析(基于对 10 多年里并购活动的跟踪)发现,70% 的流程和系统集成都是在开始时失败,而不是在最后失败:“速度非常重要。事实上,根据我们的估计,超过一半的业务协同效应通常取决于系统集成。加快系统集成可以更快速地实现这些收入和成本的协同效应,更早引入新的技术功能,以及能够更早地向客户呈现统一且有凝聚力的形象。”
然而,尝试采用传统的网络合并方法来组合企业系统会带来一些挑战:
集成期延长且实施步骤长达数月,例如解决潜在的网络不兼容和可扩展性问题、IP 地址重叠,以及其他 IT 复杂性问题。
增加各种开销,例如管理单独的系统、维护过时(或冗余)的应用,以及增加技术债务(旧版硬件几乎总是需要更多开销才能维持运行)。
各种活动导致生产力降低,例如花费更多时间添加、配置和维护新 VPN。此外,对于远程办公的员工来说,使用基于云的 VPN 可能会增加他们与网络之间每个请求的延迟。
作为所有应用的聚合层,ZTNA 会为用户提供对授权资源的安全访问,同时简化实施。例如,ZTNA 可以:
简化访问权限授予,让大批新增用户和设备可以访问两家公司的资源,以及在网络内外(例如,不同的云环境)存储数据。在许多情况下,根本不需要使用终端用户软件。
维持员工的生产力和连接,这是一个关键考虑因素,因为合并通常会暂时影响员工的工作表现和留存率。Zero Trust 提供更低干扰的安全检查、简化的身份验证工作流程,以及更快的员工加入和退出步骤。
使用基于云的 Zero Trust 平台取代冗余的安全服务,提高技术效率。它还会减少提供和保护新的基础设施(或修复旧版系统中的漏洞)所需的工作量,以及避免 IP 冲突导致的困难或问题。
德勤在 2023 年 1 月 开展的一项调查显示,将近一半的并购专业人士可能会在未来 12 个月内寻求资产剥离(出售或分拆产品线、部门或子公司)。然而,与其他并购策略一样,资产剥离也会增加攻击者获取敏感数据和商业机密的可能性。资产剥离还会增加 IT 资产转移过程中出现错误配置和漏洞的可能性。
资产剥离过程中,分拆而成立的衍生公司拥有了寻求现代化发展的全新机会。在 IT 过渡期间,衍生公司采用 ZTNA 技术正合时宜,既可以最大限度地减少技术债务,又可以降低过渡本身的复杂性。由于 ZTNA 会验证每个单独的请求,因此,这会杜绝攻击者的横向移动。得益于精细化的 Zero Trust 访问策略,也可以让剥离业务中的应用和用户高效地退出。这将加快由此产生的两个企业的逻辑分拆,并且有助于按时履行分拆协议的条款。
通过其 ZTNA 市场分析,IDC 分析师将 Cloudflare 评为“领导者”。IDC 指出,Cloudflare“以积极进取的产品战略来支持企业的安全需求”,并且能够“为处于不同 Zero Trust 采用阶段的企业提供支持”。
Cloudflare 解决方案是通过 Zero Trust 来简化 IT 集成的最简单方式,在“第一天”就可以有效地保护关键应用和高风险用户组(例如:被收购公司的员工和承包商),然后随着公司的发展,毫不费力地将互联网原生 ZTNA 技术扩展到其余的业务。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
阅读 2023 年 IDC MarketScape ZTNA 报告,了解关于 ZTNA 市场的详细分析,以及 Cloudflare 与其他 17 家纳入的供应商的比较情况。
阅读本文后,您将能够了解:
与并购相关的常见网络风险
传统 IT 集成的复杂性
应用 Zero Trust 安全的好处