目錄

什麼是安全架構?

目錄

安全架構是系統、政策和技術的策略設計,以保護 IT 和企業資產免受網路威脅。精心設計的安全性設定檔可將網路安全與組織獨特的商業目標和風險管理設定檔結合。

Automation and AI Through the Eyes of an Attacker

安全性團隊與駭客經常陷入武裝競賽 - 爭相超越對方。但組織若要領先一步,就必須將風險管理方式從被動式轉變為主動式。這意味著從一開始就建立安全性,而不是在發生漏洞時才修復。

強大的安全架構可確保組織擁有適當預防、偵測及應對攻擊的 IT 基礎架構。它也有助於決定何時以及實作哪些技術,讓安全決策者有能力隨著威脅形勢的演變而增加新的功能。

 

安全架構的主要目標

網路安全架構的主要目標是降低安全漏洞的風險,並保護組織免受威脅行為者的攻擊。將安全性嵌入業務作業是這個目標的核心元素。

由於多雲端、混合工作、數位轉型、 物聯網 (IoT) ,以及其他重要的商業趨勢,今日的 CISO 及其團隊正努力應付分散且無國界的安全性環境。自然地,攻擊面也隨著這些重大的轉變而成倍增加,敵人也找到新的方法來利用弱點:

  • 組織不斷受到攻擊威脅,包括拒絕服務、資料竊取、勒索軟體和勒索。
  • 透過使用自動化、 機器學習 和人工智慧 (AI),攻擊者變得更加複雜。
  • 攻擊者有機會獲得更大的資金來源,有時是透過政府贊助者或有組織犯罪。
  • 分散式的工作人員增加了因內幕人士惡意和/或員工疏忽或無知而造成內部入侵的風險。

安全架構師會仔細檢視現有的程序、技術和模型,以瞭解哪些地方存在缺口。然後,他們會建立一個架構,以減輕網路威脅可能造成的損害。

由於現今的威脅環境日趨複雜,因此擁有設計完善的安全架構對每個組織來說都很重要。它不僅是對抗現代網路攻擊的保障,也是數位轉型、創新、客戶信賴和業務成長的重要助力。

 

安全架構的優點

1.減少安全漏洞

擁有強大網路安全架構的組織,不會只是在發生外洩時才做出反應,而是會大幅降低威脅的數量和嚴重性,甚至完全防護。

同時,嵌入組織 DNA 的安全性 (例如 Zero Trust) 可確保安全性是每個開發週期的重要部分。這可消除缺口,並讓 DevOps 在無風險的環境下進行建置與創新。

2.加快回應時間

熟練的駭客可以輕易識別並利用基礎結構中的斷線。這就是為什麼現今許多外洩事件都是由於安全程序故障所造成。

強大的安全性架構可彌補這些缺口,並在發生外洩事件時提供協定。安全性團隊有能力立即反應並消除威脅 - 通常是透過網路安全自動化 - 以免威脅變成更大的問題。

3.提高營運效率

企業平均使用 31.5 種網路安全工具 ,並視需要添加更多的產品。但 IT 基礎結構的複雜性不斷增加,往往會造成風險勢態的缺口 - 而且還要花費時間、金錢和人才來管理架構。

一個有效率的安全架構 - 例如那些建基於 網路安全合併的 架構 - 是以較少的產品和供應商所設計的。工具整合後,關鍵更新、威脅回應和使用者體驗都會受到嚴密管理。這可創造出高度可擴充的網路基礎架構,將營運效率發揮到極致。

4.符合產業法規

世界各地的 組織都遵守其所在區域和產業所制定的法規。例如,美國的醫療保健提供者必須遵守 HIPAA 法規,而歐盟的企業則必須符合 GDPR 的需求。

建立強大的安全架構,並將安全融入組織的每個部分,不僅有助於預防網路攻擊,還能確保符合相關主管機關與法規的合規性。

 

網路安全架構的框架與標準

安全架構師通常會使用標準架構來建立基礎架構。安全架構框架是一套一致的指引和原則,用於實作企業安全架構的不同層級。組織通常會結合上述每個標準架構的元素,以建立網路安全架構的設計。

許多安全架構師使用的三個標準架構是

1.TOGAF

Open Group Architecture Framework 有助於確定企業中的安全基礎架構需要解決哪些問題。其主要重點在於組織的目標與範圍,以及安全架構的初步階段。TOGAF 並未針對處理安全問題的方式提供具體指導。

2.SABSA

Sherwood Applied Business Security Architecture 是一個政策驅動的架構。它有助於定義安全架構只能回答的關鍵問題:是什麼、為什麼、何時和誰。

SABSA 的目標是確保在設計安全服務之後,隨即將其作為企業 IT 管理不可或缺的一部份來提供與支援。然而,雖然 SABSA 常常被描述為「安全架構方法」,但卻沒有針對技術實作進行具體說明。

3.OSA

開放式安全架構 (OSA) 是與技術和功能安全控制相關的架構。OSA 提供全面的安全性元件、原則、問題和概念,這些都是設計有效安全性架構所涉及的架構決策的基礎。

一般而言,只有在安全架構已經設計完成的情況下,才會使用 OSA。

美國國家標準與技術研究院 (NIST) 也提供指引。 NIST 改善網路安全基礎架構 提供了一個共同的架構,讓組織:

  • 描述其目前的基礎架構
  • 描述其網路安全的目標狀態
  • 在不斷地和可重複的流程中,找出改善的機會並排定優先順序
  • 評估邁向目標狀態的進度
  • 在內部和外部利害關係人之間就網路安全風險進行溝通

NIST 提供了一個 Framework 核心,描述了一系列網路安全活動、期望成果和適用的參考資料,這些都是關鍵基礎建設部門的共通點。核心活動有識別、保護、偵測、回應及復原。

 

如何建立有效的安全架構?

瞭解安全架構在組織整體商業策略中所扮演的角色非常重要。強大的安全架構可降低網路風險,同時也能發揮業務促進功能。

NIST Framework 是一個有用的入門工具。前三個步驟非常關鍵:描繪出您的現有狀態、描述您的目標狀態(並使其與組織的風險狀況相符),並將改善機會排出優先順序。

如前所述,網路安全架構包含系統、政策和技術的策略設計。設計模型應能實現整個網路生態系統的協調、可視性、網路安全合併、政策執行、自動化和合規性管理。

在混合工作和數位轉型的世界裡, 零信賴 是另一項「必備要素」。您還需要一個統一的主控台,以整合網路安全架構所有關鍵元件的管理和協調,其中包括:

  • 網路安全性
  • 雲端安全(內部部署、邊緣位置及跨多個公共雲端)。
  • 端點安全(包括物聯網)
  • 身分與存取管理 (IAM)
  • 資料保護
  • 安全監控與事件回應
  • 安全治理、合規性與風險管理

 

安全架構的最佳實務

1.制定策略

摸清當前環境、確立目標、決定方法並制定框架。徵求主要利害關係人的意見,包括管理階層、業務線、DevOps、IT 等。讓 CISO 和網路團隊帶頭進行這項工作。

2.建立主要目標和里程碑

評估達成主要目標的計劃。這可能包括網路安全合併;增加使用自動化、AI 和機器學習;零信任;合規性;端點防護;以及即時預防已知和未知的零時差威脅。

3.訓練組織

在整個 組織中溝通這項計畫,建立教育訓練計畫,並使用架構作為在企業內部建立網路安全文化的工具。不斷地繼續合作與資訊分享。

4.執行測試與稽核

定期進行安全評估與稽核,並結合定期的事件回應規劃與測試、

5.掌握最新威脅

跟上不斷演進的網路威脅和技術,並在您的威脅情報平台偵測到新的威脅時,即時對新的威脅類型作出特別的反應。

 

網路安全架構常見問題

網路安全架構是組織整個安全勢態的指導藍圖。產品和服務 - 例如 DNS 安全、入侵偵測和 SD-WAN - 都是該架構的一部分。
今日的威脅形勢發展迅速,外洩的成本也成倍增加。網路攻擊會對任何組織造成無法彌補的損害。這就是為什麼絕對需要強大的網路安全架構來保護組織的所有元件。
網路安全性平台等網路安全性合併可成為安全性架構的重要部分 (相較於點產品)。安全工具共用相同的情報與資料,讓組織對其風險管理有完整的能見度。這意味著更強大的風險勢態和更快的回應時間。
相關內容
何謂網路安全合併?
不斷演變的威脅環境意味著組織需要嚴密的網路防禦。網路安全性平台方法可確保組織免受最新威脅的侵襲。
什麼是網路安全轉型?
網路安全是數位轉型過程中的重要一環。您應該採取哪些步驟來保障組織的安全?有什麼好處?
網路轉型:3 個需要優先處理的關鍵領域
準備好改變組織的風險狀況了嗎?將這三個領域列為您的第一優先。
透過合併進行網路轉型
從多雲環境到以 AI 為基礎的攻擊,威脅形勢瞬息萬變。合併您的安全性是 2024 年及以後預防威脅的關鍵。

取得最新資訊、活動邀請,以及威脅警示