透過 Zero Trust 提升組織信任

安全性是消費者信任的核心

對於各種規模和產業的組織而言,缺乏信任可能會帶來巨大的成本。為了建立並維持信任,組織必須認識到:安全不能只是事後補救的措施,而應該作為其運營的核心基礎。

組織在數位轉換中獲益良多,機會也隨之而來。然而,數位轉換也使組織更容易受到網路威脅和攻擊。資料竊取、勒索軟體攻擊、供應鏈外洩以及其他形式的威脅不僅造成了經濟損失,也摧毀了客戶的信任。這些事件會影響與客戶、員工、合作夥伴、供應商以及其他利害關係人的業務關係。組織必須意識到,安全漏洞不僅會造成經濟損失,還會損害聲譽和信任,進而影響客戶和商業機會。

最近的報告強調了網路威脅和攻擊對組織機構的負面影響。根據 IBM 和 Ponemon Institute 聯合發布的《2023 年資料外洩成本研究報告》,全球每次資料外洩的平均成本達到了創紀錄的 445 萬美元,這凸顯了組織迫切需要優先考慮安全問題,並採取主動措施來降低網路風險。



建立安全優先的文化

在安全優先的文化中,安全是每個人的責任。

如果組織想要有效應對不斷變化的威脅情勢並提升信任度,就必須在內部培養這種文化。此外,許多組織不願公開承認自己遭受了網路攻擊,擔心這可能導致信譽、收入和客戶信任度的損失。

第一步是對員工進行網路安全原則的教育。員工應接受訓練,學會辨識網路釣魚電子郵件、識別社交工程技術,並瞭解強密碼和資料保護的重要性。透過灌輸網路安全意識和知識,組織可以賦能員工,使他們成為抵禦網路威脅的第一道防線。組織應在各部門設立並聘用專職的網路安全主管,推動變革,確保安全政策的落實,並維持整個組織的透明度。

儘管安全優先的文化一開始可能具有挑戰性,但從長遠來看,這對為您的組織帶來顯著的益處。



Zero Trust 在建立信任中的作用

Zero Trust 對基於邊界的傳統安全架構發起了挑戰。該詞彙最初由 Forrester Research 創造,本著「從不信任,始終驗證」的原則運作。Zero Trust 安全性是一種 IT 安全性架構,它對想要存取私人網路上資源的每個人和裝置的身分進行嚴格驗證,無論它們位於網路週邊之內還是之外。

Zero Trust 網路存取 (ZTNA) 是與 Zero Trust 架構相關聯的主要技術;但 Zero Trust 是一種整合了多種不同原理和技術的整體網路安全方法。這種方法增加了一層保護,以限制網路內橫向移動的可能性,從而最大限度地減少安全漏洞的影響。

根據 Gartner 關於勒索軟體攻擊的一份報告所揭示的深入解析,到 2025 年,將有 60% 的組織將 Zero Trust 作為其安全策略的起點。此外,IDC 最近的一項調查也顯示,在銀行、金融服務與保險 (BFSI) 產業中,已有 77.8% 的企業實施了支援「軟體定義邊界」的解決方案與政策;同時,有 52.2% 的企業正考慮採用並投資於「軟體定義分支機構」(SD-Branch) 相關元件;另有 54.4% 的企業計劃實施 Zero Trust 架構,並投資相關的安全解決方案。

傳統的安全策略已不足以保護組織免受當今複雜多變的網路威脅。在當今世界,攻擊既可能來自外部,也可能來自內部,因此,依賴「信任網路內部實體」的邊界式安全架構已不再可行。Zero Trust 方法是組織的理想選擇,因為它可以透過提高生產力、透明度和資料真實性,有效促進工作場所中「安全優先」文化的建立。

在網路週邊內的每一位員工,在獲得存取敏感性資訊的權限之前,都必須先完成身分驗證。這項措施讓每位員工都承擔起相應的責任與義務。

Zero Trust 安全性模型具有超越傳統安全性解決方案的眾多優勢,包括:

提高生產力:與傳統模式不同,Zero Trust 透過限制對關鍵資訊的存取,最大限度地減少了對數位資產和認證的潛在損害。這使得團隊能夠遠距辦公,從而提高生產力。

提高可靠性:傳統的安全架構通常難以處理現代網站和瀏覽器使用的複雜演算法。相比之下,Zero Trust 系統會徹底驗證使用者和裝置,從而實現更順暢的導覽和更好的使用者體驗。

透明度:Zero Trust 允許組織在每個階段驗證使用者,從而偵測異常行為並及時緩解潛在的資料外洩。

資料保護和真實性:Zero Trust 可防止攻擊者未經授權存取數位資產,並新增了額外的驗證層來打擊網路釣魚嘗試。

降低風險:Zero Trust 會進行嚴格的身分和存取驗證,從而顯著降低未經授權存取資產的風險。這也簡化了安全漏洞的追蹤和評估。

在資料外洩和網路攻擊普遍存在的時代,組織需要像 Zero Trust 這樣積極主動、全面的安全策略來保護其寶貴資產、保護客戶資料並維持利害關係人的信任。

建立一個以 Zero Trust 為基礎的可信賴組織,需要從文化層面進行轉型,向「安全優先」的思維模式轉變,即安全人人有責。透過實施這種安全方法,組織可以增強自身安全立場,與利害關係人建立信任,並更好地保護自身免受網路攻擊和威脅。Zero Trust 是一個持續的過程,組織必須保持警惕,不斷更新和評估其安全控制措施,以應對新興威脅。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。

本文最初是為 CIO Influence 而撰寫