充分利用零信任:從正確實(shí)施開始

  • 人閱讀
  • 2023-06-08 16:09:05

  • 來源:IT運(yùn)維網(wǎng)

  • 相關(guān)關(guān)鍵詞

應(yīng)對(duì)網(wǎng)絡(luò)安全復(fù)雜性的零信任策略

隨著數(shù)字化進(jìn)程的不斷加速,企業(yè)的網(wǎng)絡(luò)安全面臨著越來越復(fù)雜的挑戰(zhàn)?,F(xiàn)代企業(yè)通常使用多種網(wǎng)絡(luò)拓?fù)?、?yīng)用程序和服務(wù)、設(shè)備和終端等,這些多樣性增加了網(wǎng)絡(luò)安全環(huán)境的復(fù)雜性。同時(shí),攻擊者不斷開發(fā)新的攻擊技術(shù)和工具,利用復(fù)雜的網(wǎng)絡(luò)安全環(huán)境來隱藏其攻擊行為。我們從最近爆發(fā)的一些網(wǎng)絡(luò)安全事件中不難看出,企業(yè)需要采取多種措施來保護(hù)其網(wǎng)絡(luò)安全,以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全環(huán)境。

例如,Clop勒索軟件利用GoAnywhere的一個(gè)零日漏洞滲入了130家企業(yè)。攻擊者通過該漏洞規(guī)避GoAnywhere的認(rèn)證和安全協(xié)議,進(jìn)而完全控制目標(biāo)企業(yè)。Clop聲稱已從這些實(shí)體中獲取了敏感數(shù)據(jù),并要求支付贖金,否則就將公開這些數(shù)據(jù)。在過去幾個(gè)月中,Clop勒索軟件已對(duì)包括醫(yī)療、金融、制造和能源在內(nèi)的多個(gè)領(lǐng)域虎視眈眈。

勒索軟件攻擊對(duì)制造業(yè)的影響更難應(yīng)對(duì),也更具破壞性。

AlphaV勒索軟件滲入銅山礦業(yè)公司(CMMC),導(dǎo)致該公司ICS/OT網(wǎng)絡(luò)被隔離并轉(zhuǎn)為手動(dòng)操作;都樂食品公司在其IT系統(tǒng)受到勒索軟件攻擊后,被迫暫停了北美工廠的生產(chǎn)。

Akamai“全球網(wǎng)絡(luò)安全分析”表明,2022年,全球最受影響的垂直行業(yè),即企業(yè)內(nèi)部設(shè)備最常受到網(wǎng)絡(luò)攻擊的垂直行業(yè)就是制造行業(yè)。制造行業(yè)所受的攻擊數(shù)量占到總體受到影響企業(yè)的三分之一左右,并且遠(yuǎn)遠(yuǎn)領(lǐng)先于排名第二的商業(yè)服務(wù)行業(yè)。由于亞太地區(qū)已經(jīng)占到了全球制造行業(yè)產(chǎn)出的50%以上,這也反映出亞太地區(qū)已經(jīng)成為深受網(wǎng)絡(luò)安全困擾的地區(qū)。如果再進(jìn)一步觀察,中國占到了全球制造產(chǎn)出的30%,這就使得中國也變相成為了黑客攻擊的最大目標(biāo)之一。

要解決這樣的問題,Akamai推薦使用“無代理”方法,即便是非常老舊的系統(tǒng),在無代理的背景之下,依然可以用非常現(xiàn)代的保護(hù)方式去保護(hù)它們。保護(hù)這些系統(tǒng)最優(yōu)的方式之一,就是選用并且賦能零信任Zero Trust模型。在Zero Trust當(dāng)中,任何一類用戶或者應(yīng)用不會(huì)自動(dòng)受到信任,只有得到授權(quán)的用戶和應(yīng)用才能夠?qū)崿F(xiàn)良好的溝通。這樣可以保證即便是授權(quán)的一些用戶和應(yīng)用,也要持續(xù)地監(jiān)測,防止任何可疑的行為。

Gartner認(rèn)為 ,零信任網(wǎng)絡(luò)訪問 (ZTNA) 是增長最快的網(wǎng)絡(luò)安全形式,到 2023 年將增長 31%,到 2025 年將完全取代 VPN。據(jù)Gartner 預(yù)測,到 2025 年,至少 70% 的新遠(yuǎn)程訪問部署將主要由 ZTNA 而非 VPN 服務(wù)提供,高于 2021 年底的不到 10%。

同時(shí),今天的首席信息安全官(CISO)發(fā)現(xiàn)自己的主要任務(wù)是降低保護(hù)多云基礎(chǔ)設(shè)施的復(fù)雜性和成本,并通過整合技術(shù)堆棧節(jié)省成本和提高可見性,這使得零信任成為了優(yōu)先事項(xiàng)。75%的安全領(lǐng)導(dǎo)者表示其網(wǎng)絡(luò)安全系統(tǒng)和技術(shù)堆棧過于復(fù)雜且運(yùn)行成本高。所以CISO越來越依賴零信任規(guī)劃來簡化和加強(qiáng)其企業(yè)的網(wǎng)絡(luò)安全態(tài)勢以及確保每個(gè)身份和終端的安全。

實(shí)施零信任過程中的挑戰(zhàn)

盡管如此,很多企業(yè)對(duì)于零信任的實(shí)施情況實(shí)際上卻不太樂觀。

首先,許多企業(yè)誤認(rèn)為零信任是一個(gè)產(chǎn)品,認(rèn)為只要擁有某個(gè)產(chǎn)品或另一個(gè)產(chǎn)品就能實(shí)現(xiàn)零信任。實(shí)際上,零信任是一種策略,滲透在組織的各個(gè)方面,僅僅通過改革某項(xiàng)技術(shù)很難實(shí)現(xiàn)全局零信任。同時(shí),現(xiàn)代網(wǎng)絡(luò)安全極其復(fù)雜,公司不斷添加新產(chǎn)品以應(yīng)對(duì)新威脅。這造成了大多數(shù)安全產(chǎn)品在孤島中運(yùn)行的環(huán)境,組織內(nèi)的不同團(tuán)隊(duì)或部門負(fù)責(zé)各自的安全,并且他們可能無法共享信息或與其他團(tuán)隊(duì)協(xié)作。這可能會(huì)造成安全盲點(diǎn)和漏洞,并導(dǎo)致政策和程序不一致,從而為實(shí)施零信任安全造成障礙。為了使框架有效,它需要一個(gè)整體的安全視圖,組織的所有部分共同創(chuàng)建一個(gè)統(tǒng)一的安全架構(gòu)。

其次,大多數(shù)企業(yè)在實(shí)踐零信任時(shí)遇到的最大挑戰(zhàn)之一是不理解如何正確實(shí)施零信任,對(duì)于一些底層原則沒有充分理解,如最小權(quán)限訪問和持續(xù)監(jiān)測可疑行為?,F(xiàn)代社會(huì),隨著工作模式的改變,零信任的原則在落地上也面臨著挑戰(zhàn)。零信任安全遵循“從不信任,始終驗(yàn)證”的原則,這意味著每個(gè)用戶和設(shè)備在訪問資源或數(shù)據(jù)之前都必須經(jīng)過身份驗(yàn)證。該原則依賴于公司控制用戶嘗試訪問的端點(diǎn)、網(wǎng)絡(luò)連接或資源的關(guān)鍵假設(shè)。然而,現(xiàn)實(shí)情況是越來越多的員工在遠(yuǎn)程工作并使用 SaaS 服務(wù),公司的數(shù)據(jù)和關(guān)鍵應(yīng)用程序越來越多地超出了企業(yè)的范圍。結(jié)果是,在很多情況下,傳統(tǒng)的控制點(diǎn)不再有效。

最后,零信任在部署方面的挑戰(zhàn)并非源于技術(shù)本身,而是源于整個(gè)組織架構(gòu)。換句話說,企業(yè)可能因?yàn)榧軜?gòu)太過臃腫而造成一系列問題,在自身的網(wǎng)絡(luò)或云端運(yùn)行著過多的服務(wù)和技術(shù)。因此,要實(shí)現(xiàn)零信任,企業(yè)必須實(shí)現(xiàn)跨部門或者跨團(tuán)隊(duì)的溝通,這就造成了很多挑戰(zhàn)。

企業(yè)部署零信任的最佳做法

為此,我們建議企業(yè)可以采取以下三點(diǎn)措施來實(shí)現(xiàn)更有效的部署策略:

首先,在整個(gè)零信任項(xiàng)目團(tuán)隊(duì)中,最好由企業(yè)高管擔(dān)任負(fù)責(zé)人,而不是IT團(tuán)隊(duì)或安全團(tuán)隊(duì)的負(fù)責(zé)人,這樣才能實(shí)現(xiàn)全局的零信任部署。因?yàn)榱阈湃尾渴鹦枰谡麄€(gè)企業(yè)范圍內(nèi)實(shí)施,需要跨部門協(xié)調(diào)和執(zhí)行。企業(yè)高管通常有更廣泛的視野和更深入的了解企業(yè)戰(zhàn)略,可以更好地協(xié)調(diào)不同部門之間的工作,確保零信任部署能夠在整個(gè)企業(yè)中得到有效實(shí)施。此外,企業(yè)高管通常具有更高的權(quán)力和決策權(quán),可以更好地推動(dòng)零信任部署的實(shí)施和執(zhí)行。

第二,企業(yè)在部署零信任之前,最好能夠借鑒行業(yè)指南,從用戶、數(shù)據(jù)、設(shè)備、云端等各個(gè)方面來衡量整體零信任成熟度。

第三,微分段可以將網(wǎng)絡(luò)劃分為隔離段的安全策略,其作為零信任的重要組成部分可以減少網(wǎng)絡(luò)的攻擊面并提高數(shù)據(jù)和資源的安全性。微分段使組織能夠快速識(shí)別和隔離其網(wǎng)絡(luò)上的可疑活動(dòng)。

最后, 企業(yè)在部署零信任時(shí)最好能夠與專業(yè)的技術(shù)解決方案提供商合作,借助其技術(shù)和手段,在組織內(nèi)部實(shí)現(xiàn)跨部門、跨團(tuán)隊(duì)的協(xié)作。在同一平臺(tái)上共同解決大方向?qū)用娴膯栴},以實(shí)現(xiàn)成功的零信任。

在越來越復(fù)雜的網(wǎng)絡(luò)安全環(huán)境下,建議企業(yè)可以結(jié)合多種策略在2023年成功實(shí)施其零信任安全計(jì)劃。這些策略包括實(shí)施身份訪問管理 (IAM) 系統(tǒng)、特權(quán)訪問管理 (PAM) 解決方案、微分段、多因素身份驗(yàn)證等。采用這些策略的“組合拳”,企業(yè)可以確保其數(shù)據(jù)和系統(tǒng)的安全,并快速檢測和響應(yīng)威脅。

( 作者: Akamai大中華區(qū)高級(jí)售前技術(shù)經(jīng)理 馬俊 )

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )