强大的IAM架构对ZT至关重要

行业动态

“零信任是一种思维方式的转变,它不是解决所有问题,我们永远不会到达那里,大多数安全技术都与零信任相称或支持零信任。如果这为接近安全提供了北极星或一般思维方式,那就是它的价值所在。你永远不会到达完整的零信任终点线,或许只是一种信仰。”

本文是国外某供应商给出的《零信任安全完整指南》的译文。 文中的的金句如下:

    如果完美实施并进行微调,零信任安全框架(架构)可以保护每个网络组件。此外,如果入侵成功,它有助于将损失降至最低。

    数据加密、基于数据类型的安全协议、标签和分类数据对于保护通过网络流动的数据至关重要。

    MFA构成了零信任安全框架的支柱。

    身份和访问管理—开发强大的 IAM 架构至关重要,因为用户可能需要同时登录多个设备,尤其是跨各种云平台。IAM 架构支持该功能,这要归功于单点登录身份验证和单点凭证。

    通过这种理解和UEBA(用户和实体行为分析)工具,可以加强零信任安全,从而改善安全态势。

    频繁的授权和认证要求会消耗宝贵的工作时间并对员工士气产生负面影响。

    网络安全团队需要接受 ZTA 保护和保护数据访问而不是网络边界。

    最初,最好开始小规模实施 ZTA。对关键工作流和敏感数据应用更严格的策略、多因素身份验证、定时会话和最低权限访问是一个很好的起点。

    以前,网络安全专家更关心减少攻击面,因为他们认为这会直接转化为入侵的可能性。然而,随着时代的变化和攻击者采用新的技术进行入侵,我们必须强调“保护数据”而不是担心攻击面。

零信任安全——始终验证和认证

零信任安全架构的运行前提是任何连接都需要强制识别、验证和认证。以前,网络可能免受外部威胁。同时,系统内的人可以完全访问网络的每个角落。当时的安全系统被称为“城堡和护城河”系统(或“信任但验证”)。如果有人越过护城河(设法入侵网络),他们将可以完全访问每个网络组件。所有入侵者需要获得的是进入系统的合法凭据。同样,在这种情况下,内部人员的威胁总是很高,使大量数据任由攻击者摆布,这是安全架构的彻底失败。    

    零信任安全架构与连接是在网络场所内部还是外部无关。因此,企业应采取整体方法在每个企业级别采用 ZTA。ZTA(零信任架构)通常包含一组规则、程序和技术来保护系统。

    未来,网络空间只会变得更加脆弱和危险。但是,尽管存在缺点,网络安全研究人员认为零信任安全是前进的道路。

如果完美实施并进行微调,零信任安全框架(架构)可以保护每个网络组件。此外,如果入侵成功,它有助于将损失降至最低。

  • 应用程序——确保正确授予应用程序内权限,在访问应用程序之前验证用户凭据,监控用户活动,并依赖于实时分析。
  • 网络——通常被称为主动脉,网络掌握着任何企业运作的要害。因此,网络不断受到威胁,无论是来自寻求赎金的不良行为者,还是来自对手雇用的人。威胁有不同的形式,从企业外部和内部出现。在如此险恶的条件下,ZTA 仍然设法保护网络。它通过加密所有通过网络的信息、持续识别和验证连接到网络的每个用户和设备以及征收其他安全协议来完成这项工作。
  • 数据——数据加密、基于数据类型的安全协议、标签和分类数据对于保护通过网络流动的数据至关重要。用户和实体行为分析推动企业的安全态势。
  • 身份——过去,如果攻击者设法获得用户的合法凭证,他们几乎可以访问相应企业的整个网络。有了 ZTA,就再也不可能了。除密码外,ZTA 在识别和验证用户身份(凭据)时还会考虑其他几个参数(如 IP 日志、一次性密码、地理位置等)
  • 端点——大型 IT 网络通常托管 4000-5000 个端点。它们可以包括打印机、虚拟机、服务器、计算机、物联网设备等。保护每台设备意味着在授予网络访问权限之前检查设备的健康状况和安全合规性。
  • 基础设施——企业极大地依赖于其 IT 基础设施。确保 IT 基础架构的安全对于以最少的障碍运行成功的业务至关重要。实施最低特权访问和实时检测异常和漏洞对于保护基础设施资产至关重要。 

是什么推动了零信任安全?– 零信任安全框架的主要原则

零信任安全框架在很大程度上依赖于“假设违规,明确验证”以及持续的信任验证和身份验证机制。在任何时候,所有连接都需要定期验证,无论它们之前的交互如何。推动零信任安全框架的关键原则如下:

  • 验证、认证和允许——无论组件、连接来源或访问网络或基础设施的员工如何——无论以前的日志如何,凭证的验证和认证都是强制性的。重新验证可防止来自网络内部或外部的任何未经授权的访问。访问请求的认证是每次对所有资源的强制性要求。
  • 最低权限访问——限制对关键基础设施和网络的访问是改善安全态势的健康做法。采用最小权限访问原则限制了对网络敏感区域的暴露,从而降低了潜在违规的可能性。它的工作原理与“需要到基础”类似,士兵从指挥官那里得到指示。
  • 微分段——此过程涉及通过创建需要唯一凭据才能访问的安全“口袋”,从内部更深入地保护网络。系统管理员可以根据时间的需要决定哪个用户可以访问安全口袋。微分段可以显着减少内部威胁,因为员工只能根据他们的工作情况访问他们的资源。
  • 阻止横向移动——无论您的网络多么安全,不良行为者都会找到新颖的技术、内部协助和其他侵入系统的方法。在这种情况下,限制损害是一项至关重要的工作。横向移动是指攻击者在成功入侵后在网络上的活动。微分段有助于从根本上阻止横向移动。由于每个安全口袋都需要验证和身份验证,因此攻击者仅限于小型网络部分。因此,我们可以隔离该特定部分并防止全面攻击。如果没有微分段,即使在确定了攻击者的入口点之后也很难阻止攻击,因为那时攻击者已经转移到网络的其他部分。阻止横向移动也称为“限制爆炸半径”。
  • 多因素身份验证——MFA构成了零信任安全框架的支柱。它要求使用多个凭证进行身份验证。尽管密码通常是默认凭据,但 2FA 安全概念需要将唯一代码发送到用户的手机。因此,2FA 消除了大多数不安全和被盗登录。此外,企业通常会验证登录的 IP 地址、用户行为和地理位置以授予访问权限。
  • 设备访问——每台设备在连接到网络之前都应该经过验证和认证。在允许设备加入网络之前,确保没有单个设备受到损害。如果不这样做可能会危及整个系统。设备的成功验证和认证大大减少了攻击面。

是什么让 ZTA 如此独特?– 零信任安全的优势

在数字化、使用云服务和远程工作方面,世界已经飞速发展到未来 5-7 年。随着数据在各种网络中流动,对安全的呼声一直是其缩影。为了确保员工和客户在不过多考虑安全问题的情况下同步运作,我们必须采取严格的安全措施来保护数据、身份、网络和基础设施。这种需求导致在全球范围内快速采用零信任安全。此外,遵守行业标准和政府要求在经营企业中起着重要作用。

  • 保护网络和基础设施——ZTA 从内部和外部覆盖网络和基础设施。由于微分段、最小权限访问和其他工具等原则,内部人员很难对系统造成重大损害。同时,即使有外部攻击者入侵网络,也能在很大程度上减小爆炸半径。
  • 建立更安全可靠的云连接——全球企业正在快速数字化。企业严重依赖云,从产品供应到运行流程。因此,云与企业服务器之间的每个连接都必须安全可靠。ZTA 正确地补充了原因并确保了数据移动的安全路径。
  • 改进的监控和警报——ZTA 的基本原则意味着每个连接和数据字节都是恶意的,无论来源如何——在网络内部或外部。因此,要访问网络上一个新的安全口袋,必须建立一个新的连接——经过验证和认证,甚至需要加密数据通过安全协议。如果在规定时间内连接验证失败,则访问请求终止,系统发出警报。此外,改进的监控系统和分析有助于快速识别异常情况。
  • 改善现有的安全状况——大多数企业都处于网络安全攻击的边缘。然而,尽管当前存在许多可能导致世界末日的漏洞,但企业仍未对网络安全采取积极主动的态度。虽然最初采用起来很困难,但可以在 3-4 个月内衡量 ZTA 的有效性。零信任安全框架强化了现有的安全态势,并确保大多数漏洞都得到了很好的覆盖。
  • 跨所有资源的精细可见性——从用户在网络上的移动到各个部分的数据流,可以监控网络上的每个设备、每个活动和每个连接。得益于先进的监控、警报和分析系统,ZTA 带来了整个网络的精细可见性,帮助安全团队采取适当的措施来加强安全性。此外,基于 ZTA 的系统甚至能够确保第三方连接的安全性,如果它们不符合企业 CISO 设定的预设程序、协议和标准,则可以终止它们。 
  • 降低数据泄露的风险——数据泄露一直是数字世界中最热门的话题。数据泄露总是代价高昂,影响着价值数万亿美元的企业和那些展翅高飞的企业。但是,ZTA 下的微分段、MFA、最小特权访问和其他安全措施可显着降低数据泄露的风险。
  • 增强的数据保护——设置软件驱动的安全策略和程序改进了数据保护。由于每个连接都有时间限制并需要验证,恶意员工和恶意威胁参与者将没有时间提取他们正在搜索的数据。软件驱动的安全策略在增强数据保护和保护数据方面大有帮助。例如,员工只能在 ZTA 部署的网络上访问有关其工作的数据。
  • 满足合规性和监管要求——尽管企业意识到需要遵守监管要求和规则,但许多企业不清楚如何实现这一点。采用像 ZTA 这样全面而全面的安全工具可以让企业轻松满足 CCPA(加州消费者隐私法)、GDPR(通用数据保护条例)等合规性要求。
  • 移动资源的灵活性——现代企业根据时间需要在网络上移动资源。如果没有 ZTA 和微分段,将资源移动到新位置需要稍后创建安全策略。这将是一个耗时的过程,而且在创建新的安全策略时也更有可能出错,从而为安全漏洞铺平道路。由于ZTA 允许集中管理数据、应用程序和其他安全策略,我们可以使用各种自动化工具来移动资源。
  • 无缝的最终用户体验——谁愿意为同一次登录记住多个密码?不是我。ZTA 是否支持 SSO(单点登录)功能?是的。ZTA 驱动的 SSO 可以帮助用户使用单一密码登录来访问和查看他们需要的资源。如果特定用户想要访问和操作控件,可以在后台执行简单的 MFA 程序,确保无缝的最终用户体验。

实施零信任安全

建立零信任安全是一项具有挑战性的工作,需要经验、专业知识和时间。通常,企业将 ZTA 视为交钥匙网络安全解决方案,将其视为即插即用产品。但是,实际上,ZTA 包含各种元素,每个元素都以其独特的方式并服务于特定的目的。如何实施 ZTA 有助于企业更详细地了解平台,为更好的安全实践铺平道路。

    有两种方法可以实现零信任安全:

1.推倒重来:

    只有极少数企业采用此选项。顾名思义,用现代基础设施替换现有基础设施可以很容易地实施 ZTA。继续使用这种方法需要透彻了解以下内容:

  1. 每个过程和设备
  2. 对工作流和数据路径的精细理解
  3. 基础架构
  4. 对技术有透彻的了解和配置
  5. 映射技术之间的交互
2.围绕并替换

    大多数企业可能会在不同的时间轴上安装各种安全装置。大多数安全产品在跨多个领域的相同专业知识水平上要么不完整要么不称职。选择 ZTA 需要对安全态势以及其中的每个元素进行全面分析。

    鉴于现代安全协议缺乏兼容性,可能需要更换基础设施。同样,由于实施了特权访问管理/最小特权访问策略,管理员可以撤销权限。最后,工作人员需要习惯多因素身份验证,因为 ZTA 对每个新连接请求都遵循“假设违规,明确验证”的核心原则。

    同样,ZTA 专注于保护数据并成功阻止入侵,而不是专注于攻击面和外部边界。

通过7个步骤实现零信任安全

任何企业的网络都涉及保护其设备、数据流路径、用户身份验证、网络连接和使用中的应用程序。此外,ZTA 严重依赖网络连接,这可能会在 DDoS 攻击或用户吸引力激增期间受到影响。这两种情况可能会使网络紧张,进程在完全崩溃之前会变慢。

  1. 建立专职团队——企业应组建专职团队,由来自用户和身份认证、数据安全、网络和基础设施安全、风险管理、安全运营中心和应用程序安全等领域的安全专家组成。专门的团队确保正确部署:
    • ZTA
    • 监控
    • 和维护。
  2. 用户和设备验证——了解并确认谁在访问数字资源是建立安全性的最重要步骤。所有员工、第三方承包商和访问网络的每个人都应该经过验证和认证。此外,必须验证网络上的所有设备。为了验证用户和设备,可以采取以下措施:
    • 生物识别设备——帮助验证和识别用户
    • 多因素身份验证 (MFA) – 确保身份是真实的,确保访问网络的是用户。虽然不是 100% 安全,但它确保 99.5% 的时间只有预期用户访问网络。MFA 措施包括密码、SSO、OTP、地理位置、IP 日志等。
    • 设备认证——必须对用户设备和工作场所外访问网络的设备进行认证。更新操作系统和安全补丁至关重要。
    • 身份和访问管理——开发强大的 IAM 架构至关重要,因为用户可能需要同时登录多个设备,尤其是跨各种云平台。IAM 架构支持该功能,这要归功于单点登录身份验证和单点凭证。
  3. 识别设备——识别网络上的设备类型是必要的。物联网设备的兴起使得设备的编目和识别变得更加困难。在资产编目过程中,可以将它们分为以下类型:
    • 工作站(笔记本电脑和台式机)
    • 移动设备(智能手机、平板电脑、手机)
    • 网络设备(交换机、路由器、调制解调器)
    • 物联网设备(打印机、智能安全摄像头、生物识别系统、智能锁)
  4. 用户分类——用户分类及其职责有助于建立安全策略并定义他们的访问级别。例如,合同工可能只需要访问网络的特定部分,而最高级别的员工可能需要访问管理部分。因此,用户的分类和识别是必不可少的。
    • 全职员工(根据工作时间和层级进一步隔离)
    • 合同工
    • 顾问
    • 系统管理员和开发人员
    • 最高管理层
    • 第三方实体
  5. 保护数据和应用程序——现代 IT 技术巨头将他们的数据保存在云平台上,以便于即时访问。此外,应用程序运行在云基础设施上,数据在不同的云平台和现场服务器之间无缝流动。因此,确保数据在其整个路径和应用程序中的安全至关重要。以下技术和实践可以帮助这个过程:
    • 数据丢失防护——DLP 通过将数据对象分类为各种内容类型并自动应用保护策略,帮助防止未经授权的访问。
    • 数据分类——将数据分类有助于建立安全策略,而不管数据存在于何处——云、数据中心、端点等。
    • 跨系统集成(通过 API)——通过 API集成网络安全基础设施是实施零信任安全的关键。
  6. 处理网络——零信任安全围绕保护一切和网络本身展开。尽管云平台很受欢迎,但许多工作负载仍在本地基础设施上运行。这种情况需要改进工作负载、管理会话和保护网络。通过采用以下技术,我们可以实现上述目标:
    • 微分段——将网络划分为多个需要特定授权的安全区域。
    • 部署 SD-WAN 和 SASE——要实例化零信任策略,我们需要网络端点。软件定义的 WAN 和 SASE 可以达到目的。
    • 基于云的防火墙和网络虚拟化——基于云的防火墙通常是软件定义的,比本地物理防火墙提供更多的灵活性。同样,网络虚拟化有助于更快、更轻松、更安全地部署安全策略和控制。
    • 自动化、加密和路由——选择嵌入式自动化附带的工具有助于自动化网络控制,甚至可以在会话中撤销授权。所有的网络会话都应该被加密,路由应该被验证和控制。
  7. 定义计划和维护——关于计划的可靠想法可以帮助决定企业的路径。例如,企业可能需要升级基础架构以部署微分段或微服务。部署零信任安全后,对其进行维护至关重要。鉴于网络和资源需求的动态特性,频繁修改特定安全策略、撤销权限和其他活动对于确保工作流程没有安全漏洞和障碍至关重要。

    只有随着时间的推移,企业才能了解他们对特定数据集和网络可能需要的严格协议的范围。通过这种理解和 UEBA(用户和实体行为分析)工具,可以加强零信任安全,从而改善安全态势。 

零信任安全挑战

网络安全领域没有什么是童话。采用 ZTA 或零信任安全框架也不例外。企业要采用像零信任架构这样的安全产品,公司的每个人,无论他们是否属于 IT 部门,都应该参与其中。它需要大量的工时来提高意识并培训人们实施最佳 ZTA 实践。不幸的是,很少有企业将此视为一项投资,而其他企业则将其视为资产负债表上的损失。让我们了解企业在采用 ZTA 时面临的常见挑战。 

  • ZTA 是一个速度破坏者——不可否认,零信任架构可以减缓工作场所的流动性。员工必须每天多次输入他们的登录凭据并完成 MFA 才能访问他们的系统——这是一个员工经常抱怨的乏味过程。此外,频繁的授权和认证要求会消耗宝贵的工作时间并对员工士气产生负面影响。
  • 实施 ZTA 的复杂性——采用和实施 ZTA 通常会给企业带来压力。复杂性因素随着劳动力规模、设备和网络的增加而增加。此外,考虑到运行系统可能会经历巨大的变化以支持 ZTA,对于安全团队来说,这项工作可能会非常耗费精力。为各个层创建安全策略需要专业知识,以确保在实施后系统中没有安全漏洞。例如,如果用户更改项目,则很有可能会锁定用户访问所需数据,并且相同的更改不会实时反映在安全协议中。
  • 一切事物的边界——传统的网络安全解决方案将整个网络视为一个整体并保护其边界。假设网络内的一切都是安全的。然而,随着新型网络攻击、内部攻击和数据价值的增加,对更全面的安全安装的呼声越来越高,导致迅速采用微分段策略。但是微分段需要网络中的多个安全口袋,从而具有多个安全边界,最终导致系统的复杂性。
  • 需求改变心态——网络安全团队需要接受 ZTA 保护和保护数据访问而不是网络边界。在定义安全策略时,这种思维方式转变至关重要。此外,安全团队应该能够将每个连接、设备和访问视为对系统的潜在威胁,从而实施严格的策略来定期验证和验证任何进程。
  • 需要更多的工时——企业继续定期发展,这意味着每天都有更多的连接、人员和设备。用户访问控制需要不断更改,并且根据要求不时定义策略,需要专门的工作人员。例如,公司可能需要在有时限的情况下做出响应,以限制或授予员工或第三方访问权限。ZTA 需要持续的监控和维护活动。
  • 对最终用户的负面影响——当涉及到数据时,安全就是一切。但是最终用户对多因素身份验证系统的满意程度如何?确保网络安全并同时确保最终用户拥有顺畅体验的工作落在了网络安全专家的肩上。通常,如果用户觉得身份验证过程对他们有一点限制,他们就会放弃特定的平台。
  • 遗留系统的问题——遗留系统、基础设施和其他资源对实施 ZTA 构成了重大挑战。大多数遗留系统目前的运行前提是它们将在孤立的网络上运行。随着企业的快速发展,敏感网络之间的互连变得不可避免。这些遗留系统无法支持现代安全协议,必须从网络中完全替换掉。
  • 并非 100% 万无一失– 没有安全系统是确定的,ZTA 也不例外。在某些情况下,配置安全策略失败会导致漏洞。同时,用户凭据的泄露在网络安全领域并不新鲜。连接用户和应用程序的服务——信任代理可能是一个失败点。物理窃取设备并从中窃取数据一直具有挑战性。
  • 可能会造成漏洞和漏洞——活跃的遗留系统、安全协议的错误配置、信任代理的故障以及需要高度定制、维护和监控的 ZTA 最终可能会在安全态势中留下漏洞。这些差距或空白可能成为威胁整个网络的重大漏洞。
  • 成本密集型——ZTA 对企业来说是一项乏味且冗长的工作。实施 ZTA 需要专家团队和全体员工的协助,从而导致额外成本。此外,更换遗留基础设施(软件和硬件)、提高意识和培训员工,以及由于多因素身份验证而浪费时间,在财政年度结束时可能成本很高。

克服零信任安全挑战

与所有其他网络安全产品一样,零信任架构也存在缺陷和缺陷。但是,无论如何,ZTA 是能够有效应对当前网络安全威胁形势的最佳选择。它非常全面,可以发挥网络安全的许多方面的作用,并为监控团队提供分析数据,帮助他们详细了解网络上的每个进程。因此,了解如何克服零信任安全挑战以充分利用产品至关重要。

  • 了解零信任安全不是一个交钥匙解决方案——如果它如此简单,每个企业都可以切换到 ZTA 并感到安全。但事实并非如此。零信任安全不是将所有内容作为一个包提供的交钥匙解决方案。在整个企业中实施 ZTA 涉及到严格的实践、协议和基础设施升级。这是一个考虑所有利益相关者的分阶段过程。
  • 从小规模开始——保护庞大的网络可能非常艰巨。最初,最好开始小规模实施 ZTA。对关键工作流和敏感数据应用更严格的策略、多因素身份验证、定时会话和最低权限访问是一个很好的起点。同样,不应在初始阶段放弃遗留系统,因为它可能会在安全态势中留下相当大的漏洞。
  • 试运行——让员工、管理员和其他资源人员与 ZTA 交互(小规模)的试运行对于了解他们在新的安全策略到位时如何与系统、安全问题和事件交互至关重要. 这样做将有助于产生反馈,从而得出重要的教训。此外,反馈将帮助安全团队评估和制定策略,以实现 ZTA 并减少网络中断。
  • 慢慢扩展——ZTA是一个令人兴奋的安全解决方案,每个 CISO 都希望获得最高管理层的批准。但在小规模实施ZTA并进行试运行后,需要慢慢增加其网络覆盖。应该有一个专门的团队来了解工作流程和其他流程,以最大限度地减少服务中断。为确保所有系统都受到保护,企业应锁定关键系统。
  • 以人为本——人为错误是大多数网络安全攻击成功的最常见原因。让 C-Suite、管理员、开发人员、网络和通信团队的每个人都了解零信任安全的同一页面至关重要。就 ZTA、其实施和最佳实践向员工进行解释、提高认识和培训,确保每个人都知道该做什么和不该做什么。人们应该注意到,实施零信任安全更像是一项团队运动,而不是一个人。 
  • 保护硬件——任何企业都不能在不安全的硬件上运行。因此,保护硬件是零信任安全的关键要素。始终选择受信任的供应商是一种方式,实施安全措施,如签名操作系统、受信任的平台模块、安全启动、地理围栏和地理跟踪等。这些措施有助于从内部和外部保护硬件。
  • 例行管理——在任何时候,所有硬件都应该支持最新的安全补丁和软件更新。例如,如果客户遭受数据泄露,企业应该能够在短时间内锁定所有系统,并配备所有工具和技术以最大限度地减少泄露。自动化工具可以派上用场,以跟踪设备的固件升级。其他用于监控、数据收集和分析的工具确保管理员始终处于领先地位,以确保有效的 ZTA 实施。
  • 请求定制解决方案——每个企业都是不同的,其需求也是如此。作为企业,您有权要求供应商提供定制化的解决方案。

零信任安全最佳实践

拥有协议表总是有助于网络安全。规则、指南、程序和清单有助于防止不请自来的事件。最佳实践有助于构建有效的流程并简化整个系统的工作流程。它们还可以作为预测可能出现的问题以及解决问题所需采取的步骤的“首选”程序。网络安全专家建议,阻止威胁和漏洞可以节省资源(时间和工时)并显着提高企业在市场上的声誉。

  • 加密和 TDF——所有数据都应该使用行业标准的安全算法进行加密。使用TDF(可信数据文件)格式是加密敏感数据的一种方法。TDF 格式保护数据,无论其位置如何——云和私人服务器。此外,TDF 格式部署了军用级加密,并在允许访问数据之前检查接收端的必要授权。
  • 专注于“保护数据”然后是“攻击面” ——ZTA 带来了关于数据思维方式变化的范式转变。以前,网络安全专家更关心减少攻击面,因为他们认为这会直接转化为入侵的可能性。然而,随着时代的变化和攻击者采用新的技术进行入侵,我们必须强调“保护数据”而不是担心攻击面。
  • 撤销访问权限——前员工的凭证即使在他们离开企业后仍然有效。许多企业确实承认存在安全漏洞,前雇员滥用其凭据闯入系统。因此,企业应立即严格撤销其前员工的所有访问权限。这种做法可以防止任何未经授权的登录和滥用网络访问权。
  • 微分段——关键原则之一,微分段是 ZTA 最佳实践的必要条件。帮助未经授权的访问并限制成功入侵(内部和外部)的爆炸半径,微分段对于零信任安全模型的成功至关重要。这种做法的重点是将网络分割成小口袋,并将它们作为独立的实体进行保护。要访问这些安全口袋,验证和授权是必须的,而且会话通常有时间限制。此外,根据敏感度、访问权限和其他参数将不同类型的数据存储在不同位置有助于最大限度地降低数据泄露的风险。
  • 网络上的地图连接——传统上,安全产品在涉及网络架构图时一直关注网络上的流量。谨慎地说,这样的努力不足以满足现代安全需求。网络架构图应全面映射通过网络的连接以及流量,帮助管理员识别整个网络中新安全策略的安装点。因此,在确定关联的数据集、数据传输路径和应用程序时,更容易设置必要的安全协议和访问策略。
  • 全天候监控——持续的流量监控是网络上高效 ZTA 的关键实践。它可以帮助安全团队在短时间内识别网络上的任何恶意行为或异常情况。尽管分析自动化在检测异常行为方面处于领先地位,但检查日志并进行更改以获得安全团队更好的可见性可以促进 ZTA 的实施。网络监控、深度检查、排名警报(基于威胁类型和风险因素)、自动化和其他工具在监控中派上用场。
  • 最终用户推动业务——最终用户对任何企业的发展负有责任。虽然零信任安全可以保护数据和连接,但它不应影响最终用户在使用服务和产品时所期望的顺畅体验。
  • 设备验证——根据经验法则,每个设备在网络上激活之前都应该经过验证、认证和映射。企业应确保所有设备符合其安全标准并支持安全策略,以确保安全态势不受影响。身份不明的设备通常会通过各种方式潜入网络。因此,应该定期扫描网络以查找此类设备。系统管理员应隔离网络上的任何未知设备,并立即对任何异常活动展开彻底调查。

OT 和物联网网络的零信任安全

工业 4.0 即将来临,用不了多久,世界将见证另一场工业革命。但网络安全专家要求大家保持警惕,提出了三个需要我们注意的关键问题。    

  1. 制造场所和数据中心的物理安全
  2. 硬件和系统冗余
  3. 网络安全方面。

    虽然企业可以采取提高警惕和改进质量检查等措施来解决前两个问题,但许多企业发现解决网络安全问题具有挑战性——与威胁行为者的斗争每时每刻都在迅速发展。

零信任和物联网网络

无论企业的类型和规模如何,物联网设备都已进入复杂和敏感的网络。由于缺乏同质的制造流程和糟糕的测试,大多数物联网设备都存在漏洞。在网络上拥有此类设备会对安全状况产生不利影响。物联网设备通常带有以下威胁:

  1. 零日攻击
  2. 勒索软件
  3. 窃听

    由于测试不力和使用开源代码,许多物联网设备都存在等待暴露的零日漏洞。大多数物联网设备都是现成的,几乎没有任何可靠的售后支持。即使企业提供支持,安全补丁更新和操作系统更新也始终存在延迟,这让坏人很容易上当。成功的零日攻击可以为更强大的攻击打开大门。黑客接管了网络上所有可能的设备,导致各级网络安全完全失败。同样,勒索软件攻击一直在增加,而且未来可能还会增加。

    作为JD活动的一部分,有国家支持的网络战和窃听活动的案例。随着物联网设备的安全性受到攻击者的摆布,灾难迫在眉睫是难以想象的。因此,在以色列科学家证明(在 2020 年)间谍可以通过测量光输出的变化进行窃听之后,这不足为奇。

    零信任安全来拯救。由于其整体和全面的安全工具,零日攻击很难执行。即使攻击者发现了零日漏洞,网络外的人也几乎不可能入侵并修改(指令集)设备。企业应严格避免开源代码,严格测试代码,并让第三方专家对代码进行审查,以提高物联网设备的安全性。

    同样,微分段实践最终挫败了勒索软件集团的计划。即使有入侵,攻击者也几乎不可能超越安全口袋,因为每个口袋都需要验证和认证。此外,每天备份敏感数据有助于企业在勒索软件攻击期间。企业无需屈服于不良行为者支付赎金的要求。由于微分段和加密 (TDF) 以及数据的多个副本,敏感数据是安全的。

    网络扫描和分析工具持续监控网络的异常行为。持续的监控工作有助于识别任何意外和未经授权的活动——这是防止窃听的关键因素。同样,监控带宽和其他资源的使用情况可以让安全团队了解是否有未识别的外部设备进入网络。不幸的是,有一些制造商篡改物联网设备的案例。被篡改的设备通常在硬件中携带某种形式的电子监控设备,在固件中携带数据窃取代码。因此,企业只有在经过充分的测试和调查后,才能购买和安装物联网设备。因此,人们应该只购买知名品牌的品牌和国际合规设备。

零安全和 OT 网络

尽管各行业仍在与安全威胁作斗争,但物联网设备推动了 OT 和 IT 网络的融合。全球各地的企业都在采用云处理和物联网功能来最大限度地提高效率、优化资源使用并改进数据支持的决策。许多孤立的 OT 网络在连接到 IT 网络以实现云和物联网连接后变得更加可见。实际上,这些“脱离电网”的 OT 网络存在许多漏洞,可能威胁到它们的存在。在物联网设备的支持下,OT 和 IT 融合的道路具有双重性质——建设性和破坏性。大多数 OT 网络都存在以下漏洞:

  1. 专为可靠性而非安全性而设计
  2. 缺乏知名度
  3. 远程连接

    OT 系统的设计和工程指向长寿和冗余。OT 设备和系统往往可以工作数十年,因为它们是“离网的”。然而,时代的变化和对更高效率的要求意味着 OT 网络必须以打开潘多拉魔盒的方式“复活”。随着 OT 网络从“脱离电网”走向“生机勃勃”,会出现许多漏洞。大多数当前的 OT 系统不支持现代安全协议。

    通过实施特权访问管理等零信任安全原则,可以限制访问网络敏感区域的用户数量。因此,由于凭据泄露导致入侵的可能性很小,访问敏感区域的用户也较少。同时,实施其他策略,如不共享密码、2FA(双因素身份验证)和取消对地板上 USB 驱动器的访问,有助于维护网络的安全态势。此外,借助利用 AI 和 ML 等尖端技术的 ZTA 工具,RBVM(基于风险的漏洞管理)和威胁检测取得了巨大飞跃,这要归功于对威胁上下文的关联和更好的理解。

    零信任安全带来几乎 100% 的端点、用户、使用中的应用程序、网络连接和数据流路径的可见性。精细可见性基于“揭示和保护”原则发挥作用,帮助安全团队识别、补救和处理威胁。  

由于全球不确定性,许多工业和制造单位与 IT 企业一起打开了远程访问的大门。OT 网络严重依赖各种第三方实体和员工的远程访问。远程访问为这些高度敏感和脆弱的工业网络生态系统打开了大门。企业可以选择限制会话长度,部署多因素身份验证(密码、一次性密码、地理位置和 IP 日志),以及为每个用户定义明确的导航,跟随零信任安全的脚步。如前所述,MFA 不应拖延用户体验,而应在不造成任何障碍的情况下提高安全性。     

——数据来源:安全红蓝紫 微信公众号

相关文章