簡化並保護併購
實現更快速的現代化 IT 整合
併購展望
面對經濟不確定性,各組織都在尋求新的方法來緩解業務波動。例如,其中一種方法是進行合併或收購 (M&A),這樣既能多元化產品供應,又能減少競爭威脅。併購還能幫助收購方吸納更多技術人才,加速數位轉換。
然而,進行併購的公司在整個交易週期中可能會面臨重大的網路安全風險。採用傳統網路合併方式進行整合可能會導致系統效率低下且多餘,並使資源和資料面臨風險。而套用 Zero Trust 原則的現代併購 IT 整合,可以將能力提升數倍,以便:
最大程度降低 IT、安全性和合規性風險
降低持續成本並提高生產力
加快變革性技術的實施速度
常見 IT 風險
在併購的情況下,雙方之前的網路安全決策和基礎 IT 系統會對彼此產生影響。攻擊者可能會以被收購或剝離公司的資料為目標,藉此入侵規模更大的收購方公司。
以美國聯邦調查局 (FBI) 針對勒索軟件行為者利用併購活動發出的警告為例。攻擊者會部署特洛伊木馬惡意程式碼,專門識別在發佈後可能破壞交易的非公開資訊,然後使用這些資料作為勒索金錢的籌碼。
在收購方負責併購職能的高階主管中,有三分之一經歷過「因整合期間的併購活動而導致」的資料外洩。一個關鍵因素是攻擊面擴大:在整合過程中,敏感文件和資料會以數位方式與多個第三方共用。在一個涉及以 1.3 億美元收購 Graduation Alliance Inc. 的案例中,攻擊者入侵了負責併購的律師事務所的電子郵件地址,轉移並竊取了原定支付給股東的款項。
即使「已完成」的 IT 整合也會帶來風險,例如:
休眠漏洞:如果在整合時的安全狀態不相同,則可能會對另一方造成負面影響。例如,在 Marriott 收購 Starwood 酒店網路之前,攻擊者已經入侵了 Starwood 的客人預訂系統。這次入侵事件兩年內都未被察覺,最終致使近 5 億條顧客記錄暴露。
影子 IT:合併後公司的員工需要時間來熟悉新的整合式流程和工具。在這個過渡期間,某些員工或部門可能會採用未經批准的應用程式,或者沒有遵循新的 IT 政策。
監管影響:如果其中一家公司處於不同地區或產業,且該地區或產業有更嚴格的資料隱私權法規,則必須格外謹慎,以確保資料共用合規性。例如,中國的《個人資訊保護法》(PIPL) 對併購情境中的個人資料傳輸有特定的通知和同意要求;若不遵守,可能面臨不低於 100 萬人民幣(約 14.9 萬美元)的罰款。
過去的研究聲稱,70% 到 90% 的收購案以失敗告終。能夠為新的網路威脅做好準備,並在交易過程中成功應對 IT 整合的企業,就能避免為(失敗)併購統計資料再添一例。
降低併購帶來的 IT 風險
在傳統的 IT 合併中,組織會嘗試將使用者連接到兩個合併公司中的每個資源。這遵循「城堡加護城河」網路安全模型(即網路外的任何人都無法存取內部資料,但網路內的每個人都可以存取)。
例如,他們可能會使用防火牆在兩個網路之間傳遞流量,或在臨時橋接點合併兩個網路(即,使用多通訊協定標籤交換 (MPLS) 來連接資料中心)。或者,可以新增新的虛擬私人網路 (VPN) 來安全地為新使用者提供存取權限。在過去,這種做法已經足夠,因為業務應用程式託管在資料中心內部,且員工大多數時間都在辦公室工作。
但在現代工作場所中,收購方「A 公司」和被收購方「B 公司」的員工需要能夠從任何裝置、任何地點安全地連接到一系列幾乎無窮盡的雲端託管 SaaS 應用程式和網路組合。然而,如果其中任何一位使用者或裝置遭到入侵,攻擊者就可能越過所謂的「護城河」。
換句話說,當在併購過程中不同的混合式工作環境融合在一起時,基於邊界的傳統做法就不夠用了。
然而,如今的 IT 和安全性領導者有機會重新撰寫併購 IT 整合手冊。基於 Zero Trust 安全性模型的現代方法可確保進出企業的所有流量都經過驗證且獲得授權。
例如,在整合期間,可以使用 Zero Trust 網路存取(ZTNA) 來保護資源,這項技術使得實作 Zero Trust 安全性成為可能。ZTNA 的好處包括:
透過要求使用多個驗證因素,降低認證盜竊和網路釣魚等威脅的風險。此外,微分段(Zero Trust 的一個組成部分)還可以將入侵限制在一個小範圍內,從而將攻擊發生時的損害降至最低。
可同時與多個身分識別提供者整合,這可加快外部使用者(即「B 公司」員工和承包商)的驗證速度,並允許從多種企業或個人帳戶進行驗證。
採用通用、精細的原則,根據使用者的身分和情境授予存取權限,在無需新增風險更高的 VPN 連線的情況下保護內部資產。
利用 Zero Trust 可在消除合併網路複雜性的情況下實現內部存取,確保過渡期員工更快完成入職流程,並讓所有使用者安全完成「第一天」存取。所有這些都有助於組織更快實現合併的好處——而在併購中,時間就是金錢。
對速度的需求
當兩家公司合併時,他們面臨著立即實現投資報酬率的巨大壓力。Bain & Co. 的分析(基於對十年來併購活動的追蹤)發現,70% 的流程和系統整合在開始階段就失敗了,而非最後階段:「速度非常重要。事實上,根據我們的估計,超過一半的業務協同效應通常取決於系統整合。更快的系統整合能夠更快地實現這些營收與成本協同效應,更早地引入新技術功能,以及更早地向客戶展示統一的形象。」
然而,嘗試使用傳統網路合併方式整合企業系統會帶來若干挑戰:
整合期延長:一些實作步驟需要長達數月,例如解決潛在的網路不相容和可擴展性問題、IP 位址重疊以及其他 IT 複雜性問題。
管理成本增加:管理分離的系統、維護過時(或多餘)的應用程式會帶來額外的工作負擔,並且會增加技術債務(舊式硬體幾乎總是需要更多的資源來維持營運)。
生產力降低:花費更多時間新增、設定和維護新的 VPN 之類的活動會降低工作效率。對於雲端工作者而言,使用基於雲端的 VPN 會在它們與網路之間的每個請求中增加延遲。
作為所有應用程式的彙總層,ZTNA 會為所有使用者提供對授權資源的安全存取權限,同時簡化實作本身。例如,ZTNA:
便於提供存取權限:更輕鬆地為新一批使用者和裝置提供存取權限,這些使用者和裝置需要存取兩家公司的資源以及儲存在網路內外(例如不同的雲端環境)的資料。在許多情況下,根本不需要終端使用者軟體。
維持員工生產力與連線性:這是一個至關重要的因素,因為合併通常會暫時影響工作績效和員工留存率。Zero Trust 提供較少干擾的安全檢查、簡化的驗證工作流程以及更快的員工入職/離職流程。
提升技術效率:使用基於雲端的 Zero Trust 平台取代多餘的安全服務。它還減少了佈建和保護新基礎架構(或修復舊式系統中的漏洞)所需的工作量,並避免了與 IP 位址衝突相關的難題。
剝離業務同樣如此
Deloitte 於 2023 年 1 月進行的一項民意調查顯示,近一半的併購專業人士可能會在未來 12 個月內進行資產剝離(出售或分拆產品線、部門或子公司)。然而,與其他併購策略一樣,資產剝離也增加了攻擊者取得敏感性資料和商業機密存取權限的可能性。在 IT 資產過渡期間,資產剝離還會增加出現設定錯誤和漏洞的可能性。
在剝離過程中,被剝離公司擁有絕佳機會來進行現代化改造。在 IT 過渡期間,採用 ZTNA 技術對於被剝離公司而言可以說是恰到好處,既能最大限度地減少技術債務,又能降低過渡本身的複雜性。由於 ZTNA 會對每個單獨的請求進行驗證,因此可以消除攻擊者的橫向移動。此外,得益於精細的 Zero Trust 存取原則,被剝離企業的應用程式和使用者也能夠高效地退出。這加速了兩家衍生公司之間的邏輯分離,並有助於按時履行分離協議的條款。
簡化並保護併購
透過 ZTNA 市場分析,IDC 分析師將 Cloudflare 評為「領導者」。IDC 指出 Cloudflare 擁有「積極的產品策略以支援企業安全需求」,以及其能夠為「處於 Zero Trust 採用旅程不同階段的各類企業提供支援」。
Cloudflare 是使用 Zero Trust 簡化 IT 整合的最簡單途徑,其能夠在「第一天」就為關鍵應用程式和高風險使用者群體(例如被收購公司的員工和承包商)提供高效保護,並隨著企業的成長,輕鬆地將網際網路原生 ZTNA 擴展到企業的其他部分。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
深入探討這個主題。
閱讀《2023 年 IDC MarketScape ZTNA 報告》,瞭解 ZTNA 市場的詳細分析以及 Cloudflare 與 17 家受評估廠商相比的表現。
重點
閱讀本文後,您將能夠瞭解:
與併購相關的常見網路風險
傳統 IT 整合的複雜性
套用 Zero Trust 安全性的好處