“零信任是一种思维方式的转变,它不是解决所有问题,我们永远不会到达那里,大多数安全技术都与零信任相称或支持零信任。如果这为接近安全提供了北极星或一般思维方式,那就是它的价值所在。你永远不会到达完整的零信任终点线,或许只是一种信仰。”
在信仰面前,我们需保持战略定力!
2023.2-3月Zero Trust相关资讯合集,欢迎回顾
美空军CIO-优先事项中的第一个是零信任
美空军部首席信息官Lauren Knausenberger在2月接受Executive Mosaic的独家视频采访时说。“越来越多的 [战术、技术和程序] 对势均力敌的对手不起作用。”在与Executive Mosaic的对话中,Knausenberger分享了她最关注的技术领域,鉴于全球挑战者和实力接近的竞争对手最近取得的进步,这些领域将为美国带来“决定性优势”。
这些优先事项中的第一个是零信任。根据空军首席信息官的说法,“[零信任] 的整个结构以前所未有的方式实现了多层次安全和共享的未来。在那里我们不需要跨领域的解决方案,我们已经标记了数据,我们知道每个人有权访问哪些数据。”“我们必须在短期内完成的最重要的事情之一是我们必须在一个作战环境中与我们的联合伙伴和我们的盟友无缝地作战——这是 JADC2 的整个基础概念,”Knausenberger 说,并强调了对我们如何与联军合作的未来零信任。其次,软件、人工智能和数据也是Knausenberger认为对美国在迫在眉睫的全球权力竞争中的地位至关重要的领域。
ACC(Air Combat Command) 与DISA合作,继续朝着零信任解决方案迈进
ACC进一步发展了与DISA的关系,以结合努力和知识来寻找零信任架构解决方案。 作为Air Force的主要网络责任司令部,ACC正在带头开展两个探路者计划,这两个计划将与最近由该机构资助的Thunderdome零信任原型计划一起工作。这种合作伙伴关系旨在学习最佳实践并确保解决方案之间的互操作性,并可能最终推动DISA和Air Force的初始ZT架构采购和生产。 ACC已经在佛罗里达州卡纳维拉尔角开发并试用了零信任架构功能,即云原生接入点。从那里开始,零信任特遣部队进一步发展,并准备在夏威夷希卡姆空军基地和加利福尼亚州比尔空军基地执行两个CNAP基地范围的探路者。Air Force部门一直是美DOD零信任转型的关键参与者,”ACC 首席技术官 Steve Haselhorst 说。“国防部之间的互操作性至关重要。考虑到这一点,空军和DISA正在 Thunderdome保护伞下合作评估零信任解决方案。”
Thunderdome 反映了美DOD向下一代网络安全和网络架构的重大转变,”DISA 副主任Chris Barnhurst 说。“植根于身份和增强的安全控制,Thunderdome从根本上改变了我们经典的以网络为中心的深度防御安全模型,转变为以数据保护为中心的模型,并最终通过采用零信任为部门提供更安全的操作环境原则。”作为这一现代化的一部分,Thunderdome 将简化国防部的端点安全解决方案集,在我们继续投资云技术和实施新的安全功能时增强我们的安全态势。
美2024财年ZT预算
预算案对美国人民进行了关键的、有针对性的投资,这将在未来几十年促进更大的繁荣和经济增长,其中要求拨款64亿美元,以保护全球员工免受一系列健康和安全威胁,解决基础设施漏洞并保护敏感数据。某部门的网络安全计划需要近7.5亿美元,优先部署零信任架构增强功能并为我们灵活的员工队伍保护最终用户设备。
DISA 宣布成功完成 Thunderdome 零信任原型
DISA宣布成功完成其 Thunderdome 原型。在过去的12个月里,DISA开发并实施了零信任网络访问架构,这将加强美DOD的网络,并阻止对手破坏美国国家安全利益和国际秩序的意图所构成的日益增长的威胁。
DISA 的Thunderdome原型成功证明,包括安全访问服务边缘 (SASE)、软件定义广域网/客户边缘安全堆栈 (CESS) 和应用程序安全堆栈在内的商业技术可以提高现有企业环境中的安全性和网络性能。
Thunderdome是一组相互集成但不依赖于彼此的技术。 “Thunderdome 将帮助我们实现这一优势,使国防部的网络更加安全,从而使威胁行为者获得对国防部系统的访问权限更具挑战性。我们的 Thunderdome 原型证明了我们的成功。” 根据 DISA 网络安全和分析理事会主任 Brian Hermann 博士的说法,DISA 达到了原型的成功标准,包括SASE和CESS的集成,可以根据用户和设备属性以及用户的地理位置和使用时间。Thunderdome可以确保正确的人在适当的时间从受信任的位置访问托管设备上的正确数据。
Thunderdome 通过真实用户证明该解决方案有效。DISA在三个地点招募了大约 1,500 名测试用户,以使用 Thunderdome 的远程和本地功能来履行他们的日常职责。结果表明,Thunderdome提高了网络性能,DISA独立验证了其服务提高了安全性。 此外,DISA最近开始在其机密网络上部署一些用于Thunderdome非机密原型的零信任技术。通过这样做,Thunderdome的工具可以对DISA的机密企业网络上的数据应用基于条件的访问控制,从而使该网络更加安全。DISA将寻求国防部采购和维持副部长办公室批准一项生产其他交易协议,以在整个部门提供Thunderdome进行大规模部署。
五角大楼加倍支持零信任
五角大楼一位高级技术官员周三强调,美国DOD将零信任作为保护军事网络的途径。该部门在 11 月承诺在未来五年内建立零信任技术架构。该战略要求持续的多因素身份验证、网络微分段以及更多的自动化和更好的分析。
促进政府广泛采用零信任原则也是乔·拜登总统本月早些时候公布的国家网络安全战略的基石。 “我们已承诺到 2027 年在整个国防部实施零信任,鉴于我们面临的地缘政治威胁,这是一个雄心勃勃但又至关重要的里程碑,”国防部首席信息官约翰.谢尔曼在参议院武装部队委员会网络安全小组委员会作证时说。
军方网络提供商DISA一年来一直通过名为Thunderdome 的项目实施零信任。DISA主任、空军中将 Robert J. Skinner告诉立法者Thunderdome是一个“非常成功的原型”。他说,五角大楼现在正在努力将它引入更多的企业网络,部分原因是要求所有非国防部开发的软件都有一份软件材料清单。
2023 年公共部门技术趋势:减少强调零信任,增加CX
客户体验比以往任何时候都重要,公共部门技术团队历来优先保护其平台和用户免受网络威胁,并确保数据合规性高于用户体验。由于客户对联邦政府的满意度仍处于历史低位,用户希望使用现代应用程序提供易于访问的服务。随着技术和人员在 2023 年继续融合,机构将开始使用现代身份解决方案,以在安全和合规的解决方案与流畅的用户体验之间取得适当的平衡。
IAM 简化并被视为关键基础设施:在过去的十年中,政府对身份的看法发生了迅速的变化。以前,身份被视为允许人们进入特定服务或资源的一种方式。2022年,联邦机构发现自己需要管理数十个拼凑在一起的IAM平台。由于存在各种威胁点、防御漏洞以及与身份攻击相关的风险,各机构将开始将身份视为关键基础设施。机构必须将身份视为一种安全措施,同时也是一种提供访问的方式。将各种平台简化为一个有凝聚力且安全的服务交付模型可以简化流程并为未来的成功做好准备。一种方法是使用依赖于WebAuthN 和OpenID等标准的IAM应用程序,为政府提供允许其IAM平台蓬勃发展所需的灵活性和安全性。
减少强调零信任:虽然零信任是一个被广泛接受的、高度优先的安全组件,但它仍然是政府倡议和立法中使用的流行语。未来,零信任架构将恢复到它一直以来的样子:一个至关重要的安全策略。虽然它仍将是公共组织青睐的所有网络安全方法的关键组成部分,但机构将开始将其视为标准并减少强调,而是将重点转移到更前沿的战略和解决方案上。
实施更强有力的措施来对抗MFA攻击:根据Okta对Auth0平台流量的研究,2022年上半年的MFA绕过攻击基线高于以往任何一年。随着MFA攻击的增长持续到2023年,必须选择一种方法来应对旨在绕过标准MFA的攻击。政府非常清楚这种日益严重的威胁。NIST SP 800-63b是首批提供高级MFA保护指导的政府举措之一,强调了“防假冒”MFA的理念。领先于攻击者的一种方法是确保他们拥有 FIDO2/WebAuthN 等功能和解决方案,这些功能和解决方案允许用户使用公钥加密代替密码登录应用程序,从而防止网络钓鱼企图。
从简单零信任开始以获得最佳结果
“不要从技术开始;从保护表面开始,”Kindervag在我们的采访中建议道。CISO和CIO告诉VentureBeat,他们的零信任计划和战略既经济又有效。正如Kindervag建议的那样,从保护表面开始并确定最重要的保护内容可以简化、精简并降低零信任计划的成本。采取简单的零信任方法并专注于保护表面是可靠的建议。以下是企业在听取John Kindervag的建议后从2023年的零信任计划和战略中取得成果的领域:
优先管理大规模的特权访问凭据:CrowdStrike 联合创始人兼首席执行官乔治库尔茨在CrowdStrike 的Fal.Con 活动上说:“80% 的攻击或我们看到的妥协都使用某种形式的身份/凭据盗窃。” 这就是特权访问管理 (PAM) 是零信任安全的另一个重要组成部分的原因。
试点并迁移到更安全的访问控制,包括Password-less身份验证 监控和扫描所有网络流量。
在浏览器级别实施零信任以简化和扩展整个企业:通过使用Web应用程序隔离技术获得了良好的结果,该技术通过使用远程浏览器隔离 (RBI)将网络和应用程序与用户设备上的恶意软件隔离开来。
在微隔离中快速取胜,不要拖延实施:微隔离是一种将网络划分为隔离段的安全策略。这可以减少网络的攻击面并提高数据和资源的安全性。微分段使组织能够快速识别和隔离其网络上的可疑活动。正如NIST 的零信任框架所述,它是零信任的重要组成部分。
自我修复端点提供可靠的网络弹性结果,值得考虑作为零信任计划的一部分:企业需要通过采用自我修复端点平台来提高其端点的网络弹性。领先的基于云的端点保护平台可以监控设备的健康状况、配置和兼容性,同时防止违规。
Forrester 提供有关正确实现零信任和实现安全目标的指南
Forrester副总裁兼首席分析师Jeff Pollard 建议安全领导者“想象这样一种场景,您可以与CFO坐下来讨论有风险的收入、流失率和保留率,而不是谈论业务案例。” Jeff继续说道,结束他的主题演讲时说,“但是我最希望你们从整个会议中学到的东西不仅是网络安全是一项核心竞争力,而且换句话说,网络安全是成本的一部分做生意。”
量化网络风险以进一步推动零信任的采用。企业业务负责人和 CISO 使用网络风险量化来确定竞争性网络安全项目的风险、成本和回报的优先级。由于零信任通常随着基础设施现代化而被提升到高级管理层,因此网络风险量化通常用于优化框架的预算和支出计划。企业也在使用这些技术来更准确地评估并购机会。
CISO 经常使用网络风险量化作为一种数据驱动的方法来提高企业领导者对零信任计划和资金的信心。事实证明,它可以有效地管理投资于零信任核心要素的权衡,例如,包括多因素认证 (MFA)、身份访问管理 (IAM) 和微隔离。此外,许多组织使用网络风险量化来计算成本并确定其多云和混合云安全支出的优先级。
现在将身份作为风险最高的安全边界进行优先排序。Forrester 的分析师和论坛的行业小组成员一致认为,身份是不良行为者在组织中瞄准的最流行的攻击媒介。
——数据来源:安全红蓝紫 微信公众号
