充分利用零信任:從正確實施開始

  • 人閱讀
  • 2023-06-08 16:09:05

  • 來源:IT運維網(wǎng)

  • 相關(guān)關(guān)鍵詞

應(yīng)對網(wǎng)絡(luò)安全復(fù)雜性的零信任策略

隨著數(shù)字化進程的不斷加速,企業(yè)的網(wǎng)絡(luò)安全面臨著越來越復(fù)雜的挑戰(zhàn)?,F(xiàn)代企業(yè)通常使用多種網(wǎng)絡(luò)拓?fù)?、?yīng)用程序和服務(wù)、設(shè)備和終端等,這些多樣性增加了網(wǎng)絡(luò)安全環(huán)境的復(fù)雜性。同時,攻擊者不斷開發(fā)新的攻擊技術(shù)和工具,利用復(fù)雜的網(wǎng)絡(luò)安全環(huán)境來隱藏其攻擊行為。我們從最近爆發(fā)的一些網(wǎng)絡(luò)安全事件中不難看出,企業(yè)需要采取多種措施來保護其網(wǎng)絡(luò)安全,以應(yīng)對不斷變化的網(wǎng)絡(luò)安全環(huán)境。

例如,Clop勒索軟件利用GoAnywhere的一個零日漏洞滲入了130家企業(yè)。攻擊者通過該漏洞規(guī)避GoAnywhere的認(rèn)證和安全協(xié)議,進而完全控制目標(biāo)企業(yè)。Clop聲稱已從這些實體中獲取了敏感數(shù)據(jù),并要求支付贖金,否則就將公開這些數(shù)據(jù)。在過去幾個月中,Clop勒索軟件已對包括醫(yī)療、金融、制造和能源在內(nèi)的多個領(lǐng)域虎視眈眈。

勒索軟件攻擊對制造業(yè)的影響更難應(yīng)對,也更具破壞性。

AlphaV勒索軟件滲入銅山礦業(yè)公司(CMMC),導(dǎo)致該公司ICS/OT網(wǎng)絡(luò)被隔離并轉(zhuǎn)為手動操作;都樂食品公司在其IT系統(tǒng)受到勒索軟件攻擊后,被迫暫停了北美工廠的生產(chǎn)。

Akamai“全球網(wǎng)絡(luò)安全分析”表明,2022年,全球最受影響的垂直行業(yè),即企業(yè)內(nèi)部設(shè)備最常受到網(wǎng)絡(luò)攻擊的垂直行業(yè)就是制造行業(yè)。制造行業(yè)所受的攻擊數(shù)量占到總體受到影響企業(yè)的三分之一左右,并且遠遠領(lǐng)先于排名第二的商業(yè)服務(wù)行業(yè)。由于亞太地區(qū)已經(jīng)占到了全球制造行業(yè)產(chǎn)出的50%以上,這也反映出亞太地區(qū)已經(jīng)成為深受網(wǎng)絡(luò)安全困擾的地區(qū)。如果再進一步觀察,中國占到了全球制造產(chǎn)出的30%,這就使得中國也變相成為了黑客攻擊的最大目標(biāo)之一。

要解決這樣的問題,Akamai推薦使用“無代理”方法,即便是非常老舊的系統(tǒng),在無代理的背景之下,依然可以用非?,F(xiàn)代的保護方式去保護它們。保護這些系統(tǒng)最優(yōu)的方式之一,就是選用并且賦能零信任Zero Trust模型。在Zero Trust當(dāng)中,任何一類用戶或者應(yīng)用不會自動受到信任,只有得到授權(quán)的用戶和應(yīng)用才能夠?qū)崿F(xiàn)良好的溝通。這樣可以保證即便是授權(quán)的一些用戶和應(yīng)用,也要持續(xù)地監(jiān)測,防止任何可疑的行為。

Gartner認(rèn)為 ,零信任網(wǎng)絡(luò)訪問 (ZTNA) 是增長最快的網(wǎng)絡(luò)安全形式,到 2023 年將增長 31%,到 2025 年將完全取代 VPN。據(jù)Gartner 預(yù)測,到 2025 年,至少 70% 的新遠程訪問部署將主要由 ZTNA 而非 VPN 服務(wù)提供,高于 2021 年底的不到 10%。

同時,今天的首席信息安全官(CISO)發(fā)現(xiàn)自己的主要任務(wù)是降低保護多云基礎(chǔ)設(shè)施的復(fù)雜性和成本,并通過整合技術(shù)堆棧節(jié)省成本和提高可見性,這使得零信任成為了優(yōu)先事項。75%的安全領(lǐng)導(dǎo)者表示其網(wǎng)絡(luò)安全系統(tǒng)和技術(shù)堆棧過于復(fù)雜且運行成本高。所以CISO越來越依賴零信任規(guī)劃來簡化和加強其企業(yè)的網(wǎng)絡(luò)安全態(tài)勢以及確保每個身份和終端的安全。

實施零信任過程中的挑戰(zhàn)

盡管如此,很多企業(yè)對于零信任的實施情況實際上卻不太樂觀。

首先,許多企業(yè)誤認(rèn)為零信任是一個產(chǎn)品,認(rèn)為只要擁有某個產(chǎn)品或另一個產(chǎn)品就能實現(xiàn)零信任。實際上,零信任是一種策略,滲透在組織的各個方面,僅僅通過改革某項技術(shù)很難實現(xiàn)全局零信任。同時,現(xiàn)代網(wǎng)絡(luò)安全極其復(fù)雜,公司不斷添加新產(chǎn)品以應(yīng)對新威脅。這造成了大多數(shù)安全產(chǎn)品在孤島中運行的環(huán)境,組織內(nèi)的不同團隊或部門負(fù)責(zé)各自的安全,并且他們可能無法共享信息或與其他團隊協(xié)作。這可能會造成安全盲點和漏洞,并導(dǎo)致政策和程序不一致,從而為實施零信任安全造成障礙。為了使框架有效,它需要一個整體的安全視圖,組織的所有部分共同創(chuàng)建一個統(tǒng)一的安全架構(gòu)。

其次,大多數(shù)企業(yè)在實踐零信任時遇到的最大挑戰(zhàn)之一是不理解如何正確實施零信任,對于一些底層原則沒有充分理解,如最小權(quán)限訪問和持續(xù)監(jiān)測可疑行為?,F(xiàn)代社會,隨著工作模式的改變,零信任的原則在落地上也面臨著挑戰(zhàn)。零信任安全遵循“從不信任,始終驗證”的原則,這意味著每個用戶和設(shè)備在訪問資源或數(shù)據(jù)之前都必須經(jīng)過身份驗證。該原則依賴于公司控制用戶嘗試訪問的端點、網(wǎng)絡(luò)連接或資源的關(guān)鍵假設(shè)。然而,現(xiàn)實情況是越來越多的員工在遠程工作并使用 SaaS 服務(wù),公司的數(shù)據(jù)和關(guān)鍵應(yīng)用程序越來越多地超出了企業(yè)的范圍。結(jié)果是,在很多情況下,傳統(tǒng)的控制點不再有效。

最后,零信任在部署方面的挑戰(zhàn)并非源于技術(shù)本身,而是源于整個組織架構(gòu)。換句話說,企業(yè)可能因為架構(gòu)太過臃腫而造成一系列問題,在自身的網(wǎng)絡(luò)或云端運行著過多的服務(wù)和技術(shù)。因此,要實現(xiàn)零信任,企業(yè)必須實現(xiàn)跨部門或者跨團隊的溝通,這就造成了很多挑戰(zhàn)。

企業(yè)部署零信任的最佳做法

為此,我們建議企業(yè)可以采取以下三點措施來實現(xiàn)更有效的部署策略:

首先,在整個零信任項目團隊中,最好由企業(yè)高管擔(dān)任負(fù)責(zé)人,而不是IT團隊或安全團隊的負(fù)責(zé)人,這樣才能實現(xiàn)全局的零信任部署。因為零信任部署需要在整個企業(yè)范圍內(nèi)實施,需要跨部門協(xié)調(diào)和執(zhí)行。企業(yè)高管通常有更廣泛的視野和更深入的了解企業(yè)戰(zhàn)略,可以更好地協(xié)調(diào)不同部門之間的工作,確保零信任部署能夠在整個企業(yè)中得到有效實施。此外,企業(yè)高管通常具有更高的權(quán)力和決策權(quán),可以更好地推動零信任部署的實施和執(zhí)行。

第二,企業(yè)在部署零信任之前,最好能夠借鑒行業(yè)指南,從用戶、數(shù)據(jù)、設(shè)備、云端等各個方面來衡量整體零信任成熟度。

第三,微分段可以將網(wǎng)絡(luò)劃分為隔離段的安全策略,其作為零信任的重要組成部分可以減少網(wǎng)絡(luò)的攻擊面并提高數(shù)據(jù)和資源的安全性。微分段使組織能夠快速識別和隔離其網(wǎng)絡(luò)上的可疑活動。

最后, 企業(yè)在部署零信任時最好能夠與專業(yè)的技術(shù)解決方案提供商合作,借助其技術(shù)和手段,在組織內(nèi)部實現(xiàn)跨部門、跨團隊的協(xié)作。在同一平臺上共同解決大方向?qū)用娴膯栴},以實現(xiàn)成功的零信任。

在越來越復(fù)雜的網(wǎng)絡(luò)安全環(huán)境下,建議企業(yè)可以結(jié)合多種策略在2023年成功實施其零信任安全計劃。這些策略包括實施身份訪問管理 (IAM) 系統(tǒng)、特權(quán)訪問管理 (PAM) 解決方案、微分段、多因素身份驗證等。采用這些策略的“組合拳”,企業(yè)可以確保其數(shù)據(jù)和系統(tǒng)的安全,并快速檢測和響應(yīng)威脅。

( 作者: Akamai大中華區(qū)高級售前技術(shù)經(jīng)理 馬俊 )

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )