透過零信任安全策略保持合規、保護敏感資料

因應混合辦公興起，監管標準不斷調整且更加嚴格。隨著資訊爆炸式增長，組織對於資訊安全問題和相關需求大幅上升。根據IBM的2022年資料外洩成本報告，83%的組織在其生命週期中經歷過不止一次資料外洩¹。在這些案例中，20% 的資料外洩是惡意的內部行為者所為。如果該統計數據不足以說明不斷變化的威脅情勢，那麼根據我們的「建構整體內部風險管理計劃」報告，近 40% 的組織表示，內部事件造成的單次資料外洩的平均成本超過 500,000 美元，平均每年發生 20 次事件。²

隨著越來越多的組織轉向混合辦公模式，網路安全領導者需要方法來加強和保護不斷延伸的邊界。對於數據安全，他們現在面臨著分散的解決方案環境以及日益複雜的威脅。

零信任架構是實現安全計劃現代化、確保組織敏感資訊和標識安全的關鍵要素。此外，它還可以幫助組織遵守監管標準。

在此文章中，我們將討論實施零信任框架會如何幫助組織滿足合規性和資訊安全要求，預防、識別和保護敏感的業務資料，並減少違規所造成的業務損害。

隨著法規和合規性要求與技術轉型的發展，組織必須快速實現其安全性態勢的現代化，以保護敏感資料和流程。零信任架構是一種全面的安全策略，可保護資料並使組織為將來的威脅做好準備。

防止並減少內部或外部惡意違規行為所造成的業務損害影響

應用「假設有缺口」的零信任原則，有助於主動將內部和惡意者的安全攻擊影響降至最低，透過強制對所有可用數據點實施特定的安全措施以及最小的安全性訪問權限以保護數位環境：

• 資訊分類和端到端加密。
• 使用序列檢測和使用者上下文，檢測關鍵內部風險。
• 用於防止資料遺失的策略配置。
• 自動威脅檢測和回應。

實施冗餘安全機制、收集系統遙測數據用以檢測異常、並在允許情況下將這些洞察自動化，將使企業能有效預防、回應和修復資訊安全事件。

假設資料外洩發生，組織首先要確定是否已建立正確的資訊安全策略和控制措施，並試圖評估其遭受的風險。這同時涉及整個生命週期中敏感數據周圍的內、外部活動。零信任觀點可以幫助組織預防性地實施保護措施，及時檢測、修復現今不斷演變的網路風險漏洞。

管理內部風險提供了對潛在資料盗竊或內部洩密活動的洞察。透過配置具有保護措施的滾動式策略，可防止應用程式、服務和設備之間未經授權的數據使用事件。即使在混合工作環境中，也可以有效實現。實施零信任架構有助於組織全面防止敏感訊息的漏失。

正確識別入侵業務風險以及連帶的企業形象損害也能減輕重大事件（如資訊安全結構、財務狀況和市場聲譽的嚴重風險）的影響。零信任架構提供了所需的可見性、控制力和冗餘機制，並透過主動檢測來保護敏感數據，以便快速阻止和防禦相關風險。

實施零信任架構在維護數據安全和提高生產力間取得平衡，不偏重任何一方。透過減少攻擊的擴散範圍、使用適當訪客控制來加強資安強度，將有助於最小化聲譽損害、修復入侵的財務成本、網絡保險費用、資安團隊的壓力。

識別並保護敏感業務資料和身份

零信任架構中，識別關鍵的資訊和身份是重要的一環。強大安全態勢的建立始於對組織安全架構的了解，而後整合各層面上控制和信號、應用和執行統一策略。零信任架構遍及數位資產；作為集成式的安全策略，其宗旨在於減少端到端安全維護的複雜和耗時性。

首先，組織必須獲取其內部存在的資產（例如身份、端點、應用程式、網路、基礎設施和數據等）的可見性，然後進一步評估目前風險，確定優先考慮的資產以及用戶正在使用者為何。

保護敏感資料包含以下關鍵步驟：

• 透過內建且可立即使用的機器學習模型，獲取敏感數據在多雲、地端和混合環境中使用、存取、分享的資訊與相關風險的可見性。
• 透過洞察分析，了解使用者如何與敏感數據互動，並利用序列檢測來了解使用者意圖、管理內部風險。
• 阻擋敏感數據在應用程式、服務和設備間未經授權的使用，防止資料損失。
• 利用動態控制調整數據損失保護策略，以應對最關鍵的數據風險。

這些步驟使組織能採用全面的端對端策略來管理安全性，並應用保護措施如加密、訪問限制和視覺標記以保護數據的安全性；即使數據離開組織所控制的設備、應用程式、基礎設施和網絡也是如此。

在瞭解、分類和識別資訊敏感內容後，組織可以：

• 透過通知和執行策略決策，阻止含敏感資訊之電子郵件、附件或文檔的分享行為。
• 在設備端點上使用敏感度標籤，對文件進行加密。
• 透過策略和機器學習，自動對內容進行敏感度標籤分類。
• 檢測在數位資產內外傳輸之敏感數據並了解使用者背景，以便更好地排查、減輕風險。

根據使用者背景、設備、位置、通話風險等相關資訊細部調整自適應訪問控制，例如要求多重身份驗證或設備安全策略，將資安防護邊界移至數據所在位置，並鼓勵對數位身份和一般身份訪問進行嚴格把控。這使安全架構的每一層皆能進行控管，分割訪問權限。

政策和即時資訊可用於確立何時應允許、阻止、限制訪問，或者進一步要求額外驗證（如多重身份驗證），使組織在不將數據置於風險的情況下改善無邊界協作。

透過採用零信任架構，組織可以瞭解敏感數據周圍的用戶活動，並防止未經授權的使用或數據丟失。有助防止資料洩露且滿足法規要求之數據安全類型包括：

• 資訊遺失防護，以防止敏感資料的未經授權使用。
• 加密，使未經授權的使用者不可讀取文件。
• 訊息保護，幫助對文件和文檔中的敏感數據進行分類。

主動符合法規要求

Microsoft 的零信任安全架構可以幫助您的組織，在預設情況下符合許多法規和合規性標準，包含合規性標準相關數據、合規性和法律要求。這涉及面臨盜取、丟失或洩露等高風險的保護數據，包括個人身份資訊、財務數據、健康資訊和智慧財產權。因此不可忽視保護敏感數據的重要性。

雖然這些法規標準因組織而異，但它們可幫助組織同時滿足安全性和合規性要求。

一些重要的法規包括：

• 一般資料保護規則 （GDPR）
• 健康保險可攜性和責任法案 （HIPAA）
• 加州消費者隱私保護法 （CCPA）

採用零信任架構還可以幫助您超越基本標準和要求，更進一步增強主動預防性安全保護，並實現：

• 更深入、更一致的安全性整合將簡化統一策略的實施。
• 增強所有安全性團隊的授權，進而防範更複雜以及更嚴重的安全攻擊。
• 透過簡化配置、管理各種策略並改進舊的安全實踐，更有效地管理組織的安全狀況。
• 增強安全性以防止IT技能短缺並確保員工數量，最終打破安全支柱之間的隔閡，使不同規模和行業的組織能夠更輕鬆地採用零信任架構。
• 使用跨平臺和跨雲端的安全保護，以實現不同工作流程整合，以及與 Microsoft Azure 平臺整合的可見性。

零信任模型有助於瞭解並遵守治理要求的策略。它支援持續評估，從盤點數據風險到實施控制措施和及時瞭解法規語與認證。

如何開啟您的零信任旅程

可以從確定您的組織在零信任旅程中的定位開始：

• 入門（第一階段）：使用強身份驗證方法，例如多重身份驗證和對雲應用的單一登錄權限。
• 進階（重大進展）：使用即時內部風險分析並主動查找和修復安全問題以減少威脅。
• 最佳（最成熟階段）：使用跨所有安全支柱的自動威脅檢測和回應，以加快威脅檢測和預防。

採用零信任安全架構

採用端到端零信任架構是組織可以採取的關鍵步驟，以實現安全狀況現代化並超越所需的法規和合規性標準。若要瞭解有關透過 Microsoft 實現零信任的詳細資訊，請執行以下操作：

• 開始使用我們的零信任評估工具。
• 為您的企業採用零信任安全策略的5個理由。
• 隨時隨地安全工作。
• 保護您最關鍵的資產。
• 滿足法規和合規性要求。
• 盡量減少內部或外部不良行為者的影響。
• 快速實現安全狀況現代化。

若要瞭解有關微軟安全解決方案的詳細資訊，請訪問我們的網站。添加資安部落格至書籤，以隨時獲取我們在安全事務方面最新的專家報導。此外，請在LinkedIn（Microsoft Security）和Twitter（@MSFTSecurity）上關注我們，以獲取有關網路安全的最新消息和更新。

¹Cost of a Data Breach Report 2022, IBM. 2022.

²Building a Holistic Insider Risk Management Program, Microsoft. 2022.