以身份优先的数据安全将成为业务的必需品

West 2024会议图

  国防机构关于如何收集和使用数据的协议正在不断发展，因为他们意识到自己可以捕获多少数据，在传输过程中保护数据有多么困难，而且边缘可能根本不是分析数据的地方。

  “信息就是战斗力。这将是未来的决策优势。”Navy首席信息官JaneRathbun在WEST2024会上发言。“对我来说，未来的状态是作战人员获得可以采取行动的决策信息，而不必在战术边缘融合这些信息。

  “我们很快就会收到大量信息。我们需要专注于理解我们的数据、理解我们的信息、标记它、管理它并使其透明。”

   安全数据是CISA零信任成熟度模型的五个支柱之一。除其他要求外，各机构至少还应手动对数据进行分类和清点。最佳合规性包括极强的加密、自动数据标记和连续库存。

CISA零信任支柱

一个企业的数据是非常重要和有价值的，其实数据本身也具备动态属性。恶意攻击者的目标是多种形式的数据，如客户记录、用户凭证、专有信息、员工PII、知识产权、个人电子邮件等。这些都是一个企业的基础，ZT体系结构被设计为一个以数据为中心的安全模型，它利用每个连接的支柱，以确保企业数据的机密性、完整性和可用性，无论它存在于网络内部还是网络外部。

  毫无疑问，在采用零信任方法时，需要注意身份与数据安全性之间的联系。提供识别身份的、由策略管理的高级数据访问控制是必然趋势。因此，数据所有者应该考虑将身份优先安全性作为其数据访问控制策略的一部分。

  “数据标签非常重要。如果我们在数据标签上没有一致性，当我们进入零信任网络时，确保对数据的访问是一致的将会非常困难，”DISA的身份、凭证和访问管理技术主管蒂莫西·赫斯说。

  “坦克是陆军使用的实体坦克吗?”坦克是在空中为飞机加油的东西，还是海军的水箱?数据和标签的标准将变得非常重要。”

  这里需回到DOD最近的ZT实施进展情况，FIVE大楼高级信息技术官员2024.4月初表示，DOD有望在2027财年末实施其零信任网络安全框架。DOD副首席信息官David McKeown强调，DOD在实施他所说的网络安全方式的变革方面取得了重大进展。

  David McKeown说道：“这不仅仅是一个程序，或者一个新的应用程序，零信任是DOD整个安全格局的演变。通过拥抱它，我们不仅可以保护我们的数据，还可以加强我们的防御并保护我们的生活方式。”。一旦实施，零信任框架将使DOD超越传统的网络安全方法，其功能旨在减少网络攻击，实现风险管理和数据共享，并快速遏制和补救对手的活动。 

  到2027年在全部门范围内采用零信任仍然是一个目标，最新的统计表明事情正在稳步发展。在这个方向上取得的任何进展都将有助于加强军事数据和系统的安全，确保DOD即使面对日益增长的网络破坏活动也能完成使命。

DOD零信任

  零信任策略最终的目的是通过不断的验证来保护企业的数据，因此数据所有者采取必要的步骤来调查他们的数据来设计和实施有效的控制是很重要的。包括与数据治理、风险管理等具有相互依赖性，与此同时，最近美陆军发布的《统一数据参考架构》强化了这一点，如下。

  在其数据安全章节，明确提出通过应用已批准的安全标准，数据产品将在所需的粒度级别上得到保护标记、处理限制和记录管理。数据产品将受到保护，不会被未经授权的人访问;通过应用适当的访问控制（例如，基于角色、基于属性、基于目的、基于关系），并且只允许授权用户访问和共享数据（利用身份、凭据、和访问管理(ICAM)服务）。例如，为了实施基于时间的访问控制，它可以限制对某些数据产品的访问或允许策略例外是必要的。

  一旦一个机构——无论是国防机构还是民用机构——控制了这方面的数据，它仍然需要弄清楚如何安全地共享这些数据。Navy陆战队负责信息（C4）的技术总监兼副指挥官丹尼尔·科尔宾（Daniel Corbin）说，技术可能会成为障碍。

  “从技术角度来看，你必须有一些共同的框架来分享这些数据，”他说。“我们通常是通过传统的方式来做到这一点;也就是说，我们买了一堆东西然后试着把它们整合起来。这种模式存在许多挑战。”

  处理敏感和机密信息的机构还有另一个问题:如何在不同安全级别的网络之间共享数据。Navy陆战队系统司令部工程和网络技术主管基根·米尔斯说:“没有跨域解决方案可以实现这一点。”

  “对我来说，这是一个阻碍，阻碍我们开发和部署技术解决方案。这是我们需要解决的问题，我们需要尽快解决，”他补充道。

  Rathbun认为，人工智能和大型语言建模可以帮助解决数据聚合问题，如果不是技术问题的话。

  “但我们必须重新思考如何管理我们的信息，”她说。“如果我要构建可以在战术边缘使用的模型，这将需要来自所有这些来源的数据，我必须重新考虑如何存放、计算和获取数据。”

  她对数据的“亵渎”（用她自己的话说）观点是，在执行任务的速度下，数据也许不需要移动到边缘就能发挥作用。她说:“也许我们可以训练模型，让我们的模型发挥战术优势，利用新数据，然后把所有东西都搬回母舰。”

  “我也不会给我的作战人员——处于战术优势的海军陆战队员和水兵——任何好处，因为我要求他们进行数据融合以做出决定。我们必须考虑到我们可以操纵数据，组合数据，并隐藏数据的来源，如果某些数据是敏感来源的话。”

  传统网络安全大多数是一项基于防御的工作，IT团队沉醉于各种安全事件和安全警报之间。随着，数据在企业内外的用户之间流动，复杂性的增加使得传统管理很难奏效，最大的挑战是如何应对威胁者潜入你的网络获取你的数据，最简单直接的方式是隔离或限制访问，根据发出访问请求的条件决定是否授权、拒绝或撤销对资源的访问。

  一方面数据管理者标记和对数据分类，身份管理者提供基于身份的动态的、细粒度的、由策略管理的高级数据访问控制时候，这时候就产生身份与数据世界的连接，并且最大限度的减低数据安全的风险，当然在这之前，或许应该解决身份和数据的可见性问题。

  最后，得到一个结论，即

“以身份优先的数据安全将成为业务的必需品”。

  这里再延伸一个看法，如下：

    Okta高级副总裁兼APJ总经理BenGoodman在接受iTnews采访时表示：“投资身份安全不仅可以增强网络安全态势，还可以提高运营效率和生产力。”

  企业正在努力平衡安全与生产力之间的摩擦，到过度的限制可能会疏远员工和客户，适当的摩擦程度以与网络安全最佳实践保持一致同时赋予利益相关者权力的挑战。身份已经超越其传统角色，成为各种业务职能不可或缺的一部分，从员工连接到客户参与等，所以它理应成为业务系统的一部分，而非像基础设施的传统角色对待，因为基础往往与业务脱节。

  随着企业的发展和多元化，身份安全成为其战略决策的基础，然而，许多企业认识到身份安全的重要性，但往往缺乏全面应对相关挑战的专业知识，向“整体业务身份”方法的转变，其中身份渗透到企业运营的各个方面，推动全面身份安全策略的需求，这将是从技术问题转变为业务决策的重要战略思想，但这是一把双刃剑，用得好事半功倍，用不好事倍功半。