簡析零信任:網路安全新中心點
每一年,數千家公司企業遭遇資料洩露,數十億條資料記錄被網路攻擊者滲漏,導致企業破產倒閉,地緣政治情況惡化,大家開始失去對國家選舉程式完整性的信心。
事後分析表明,這些導致資料洩露的攻擊手法其實技術含量並不高,基本都是利用了弱口令、被盜憑證或被黑憑證。我們賦予憑證的身份與信任,被利用來危害我們自身。信任成為了我們網路安全實踐中的阿基琉斯之踵。
為解決這些問題,零信任模型在去年獲得了業界的廣泛支援。美國國際資料集團(IDG)的《2018安全重點調查》表明,關注安全的IT決策者中,71%注意到了零信任模型,其中8%已經開始在自家企業中運用該模型,10%正在試用。
2010年,佛瑞斯特研究所與美國國家標準與技術局(NIST)合作,首次提出了零信任模型概念。基於研究發現,佛瑞斯特分析師 John Kindervag 指出,傳統安全措施中固有的信任假設使公司企業易於遭受外部和內部攻擊。零信任安全概念的核心是公司企業不應該信任其內部和外部實體,應驗證每一個連向其系統的訪問請求。
零信任模型的原始概念是以資料為中心的網路,利用微分隔來實現更細粒度的規則,並最終限制攻擊者的橫向移動。自誕生以來,零信任模型的概念及其各種益處有了大幅發展。零信任被公司企業用於驅動戰略性安全規劃,使業務決策者和IT主管得以實現切實的預防、檢測與響應措施。
零信任擴充套件生態系統
佛瑞斯特研究所分析師 Chase Cunningham 博士貢獻了零信任模型的最大進化發展。他釋出了《零信任擴充套件生態系統》報告,將原始模型擴出其網路中心,納入瞭如今不斷擴張的攻擊介面和以下元素及相關過程:
1. 網路:分隔、隔離與控制網路。
2. 資料:保護並管理資料,分類並制定資料分類架構,加密儲存資料和傳輸中的資料。
3. 工作流:在整個應用棧上應用零信任控制,通過虛擬機器管理程式和自包含的處理元件來覆蓋應用層。
4. 裝置:隔離、保護和控制網路上的每一個裝置。
5. 人員 (即身份):限制並嚴格實施使用者訪問許可權,保護這些使用者。
對上述元素實施安全控制便能夠提供通往零信任的路線圖。但最重要的是要明白,網路攻擊者觸碰敏感資料的最佳途徑就是黑掉使用者身份。如果被盜身份屬於手握寬泛訪問權的特權使用者,情況就更加糟糕了。事實上,佛瑞斯特研究所的資料表明,80%的安全事件涉及特權憑證。
零信任之路始於身份
為限制公司企業的網路風險暴露面,遏制當今資料洩露的頭號元凶——特權濫用,可以考慮以下幾個動作:
1. 識別及保護
識別所有特權賬戶及資源,並妥善保護及管理這些特權憑證。
2. 以最小許可權原則整合身份
僅僅保護尚不足夠,還需要減小攻擊介面。方法包括整合身份和儘可能地清除本地賬戶,然後實現提權控制和實時特權訪問工作流。最容易達成這一點的辦法就是為所有特權使用者實現基本的多因子身份驗證(MFA)。
3. 高度強化環境
如微軟強增安全管理環境 (ESAE) 指南中建議的,通過物理隔離管理員賬戶來強化環境安全。另外,還要通過基於主機的監視和先進行為分析,以及為最敏感的環境新增三級保障度的MFA,來鎖定任何危險的規避方法。
從基於邊界的傳統企業安全策略轉向零信任方法,能夠提供更為健壯的預防、檢測和事件響應能力,可以保護不斷擴張的攻擊介面——雲、大資料、DevOps、容器和微服務。遵循這一路線,公司企業便能夠抵禦高階威脅,限制資料洩露的影響,支援新的業務和運營模式,並且能保證合規(比如FISMA、HIPAA、PCI等等)。
《2018安全重點調查》地址: