隨著企業(yè)IT基礎(chǔ)設(shè)施的變化,不良行為者也通過(guò)改變攻擊方法和數(shù)量而不斷發(fā)展���。在具有多個(gè)故障點(diǎn)的數(shù)字化�、分布式IT環(huán)境中�,以邊界為中心的安全觀不再成立,這使得不良行為者更容易偵察和利用漏洞��。
據(jù)調(diào)查顯示���,74%的安全漏洞可追溯到人為錯(cuò)誤����,即員工故意做他們不應(yīng)該做的事情�����,或者成為不良行為者的犧牲品��,從他們那里獲得訪(fǎng)問(wèn)權(quán)限或信息����。多年來(lái)�,單次泄露的成本不斷上升���,到2023年達(dá)到430萬(wàn)美元�。
為什么零信任是當(dāng)前的需要
威脅暴露格局已演變?yōu)閺?fù)雜的網(wǎng)格����,因此需要的不僅僅是以周邊為中心的安全方法。
零信任是一種可以實(shí)現(xiàn)更簡(jiǎn)單的網(wǎng)絡(luò)基礎(chǔ)設(shè)施����、更好的用戶(hù)體驗(yàn)和改進(jìn)的網(wǎng)絡(luò)安全狀況的方法。它根據(jù)上下文強(qiáng)制執(zhí)行訪(fǎng)問(wèn)策略����,包括用戶(hù)的角色和位置��、他們的設(shè)備以及他們請(qǐng)求的數(shù)據(jù)�����。它阻止整個(gè)環(huán)境中的不當(dāng)訪(fǎng)問(wèn)和橫向移動(dòng)����。
正如任何其他基礎(chǔ)性轉(zhuǎn)變一樣��,零信任安全方法也面臨著挑戰(zhàn)���。
為零信任奠定基礎(chǔ)
企業(yè)發(fā)現(xiàn)很難轉(zhuǎn)向零信任安全模型,因?yàn)閺谋举|(zhì)上講��,它要求人們從傳統(tǒng)安全方法的三個(gè)關(guān)鍵支柱上進(jìn)行思維轉(zhuǎn)變:
信任邊界:傳統(tǒng)安全實(shí)踐采用可信任訪(fǎng)問(wèn)的角色���。它與以邊界為中心的視圖配合使用�����,建立基于網(wǎng)絡(luò)的連接并授予對(duì)該網(wǎng)絡(luò)上的系統(tǒng)的訪(fǎng)問(wèn)權(quán)限�。零信任顛覆了這一點(diǎn)���,假設(shè)信任范圍不夠���,而是要求每個(gè)利益相關(guān)者建立身份并根據(jù)工作負(fù)載進(jìn)行訪(fǎng)問(wèn)。
網(wǎng)絡(luò)提供安全性:傳統(tǒng)企業(yè)安全性圍繞防火墻�����、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)或?qū)S梦锢砭W(wǎng)絡(luò)連接。事實(shí)證明����,這些措施不夠充分、成本高昂且難以管理���。零信任安全模型消除了對(duì)許多此類(lèi)網(wǎng)絡(luò)技術(shù)的需求��,從而節(jié)省了成本并提供了更大的靈活性��。
身份識(shí)別與訪(fǎng)問(wèn)管理:零信任架構(gòu)通過(guò)準(zhǔn)確的用戶(hù)權(quán)限提供與工作負(fù)載的安全連接�,同時(shí)確保應(yīng)用擁有最新的身份和訪(fǎng)問(wèn)管理(IAM)政策�����。
零信任五點(diǎn)企業(yè)戰(zhàn)略
零信任始于“永不信任����,始終驗(yàn)證”但超出了身份和安全訪(fǎng)問(wèn)的范圍。威脅可能來(lái)自外部和內(nèi)部��,因此需要進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估��,以查明重要數(shù)據(jù)�����、IT資產(chǎn)�����、潛在威脅和潛在攻擊媒介(包括來(lái)自?xún)?nèi)部人員的攻擊媒介)���。
以下是企業(yè)在實(shí)施零信任安全方法時(shí)需要考慮的五個(gè)關(guān)鍵點(diǎn):
映射數(shù)據(jù)流:了解哪些用戶(hù)或應(yīng)用需要特定訪(fǎng)問(wèn)權(quán)限至關(guān)重要��。關(guān)鍵是部署具有多重身份驗(yàn)證和最小權(quán)限訪(fǎng)問(wèn)原則的IAM�,并輔之以定期審核和調(diào)整���。
基于上下文的策略:零信任方法假設(shè)策略根據(jù)上下文驗(yàn)證訪(fǎng)問(wèn)請(qǐng)求����。這包括用戶(hù)身份����、請(qǐng)求來(lái)自的設(shè)備、請(qǐng)求的位置���、要訪(fǎng)問(wèn)的數(shù)據(jù)類(lèi)型以及正在訪(fǎng)問(wèn)的應(yīng)用����。這確保了只有那些有既定“理由”的人才能參與其中?��?梢栽L(fǎng)問(wèn)特定資產(chǎn)并防止“不受信任”的網(wǎng)絡(luò)訪(fǎng)問(wèn)其無(wú)權(quán)訪(fǎng)問(wèn)的工作負(fù)載和數(shù)據(jù)����。
減少攻擊面:由于用戶(hù)直接連接到他們需要的應(yīng)用程序和其他資源�����,因此他們沒(méi)有連接到網(wǎng)絡(luò)�。這消除了橫向移動(dòng)并防止受損設(shè)備感染其他資源。通過(guò)這種架構(gòu)�����,應(yīng)用對(duì)互聯(lián)網(wǎng)來(lái)說(shuō)是不可見(jiàn)的���,因此它們無(wú)法被單獨(dú)發(fā)現(xiàn)和攻擊���。
提高員工安全意識(shí):為了獲得最佳結(jié)果,所有員工必須充分理解并遵守正確的安全實(shí)踐�。必須實(shí)施嚴(yán)格的培訓(xùn)計(jì)劃,以確保每個(gè)人都具備在信任之前進(jìn)行驗(yàn)證的知識(shí)和技能�����。培訓(xùn)需要是一個(gè)持續(xù)的過(guò)程���,并且應(yīng)該定期進(jìn)行測(cè)試來(lái)衡量改進(jìn)情況并了解誰(shuí)可能需要更有針對(duì)性的培訓(xùn)���。
通過(guò)模擬演練進(jìn)行測(cè)試:在所有環(huán)境中,必須制定計(jì)劃�,跨工具為已發(fā)現(xiàn)的漏洞更新實(shí)施補(bǔ)丁,并制定一個(gè)流程來(lái)了解對(duì)其他工具的影響安全工具和事件響應(yīng)����。然而,僅僅制定計(jì)劃并不總是足夠的����。應(yīng)定期進(jìn)行紅隊(duì)和紫隊(duì)訓(xùn)練。最重要的是���,需要定期進(jìn)行事件響應(yīng)桌面演習(xí)����,以便各方了解自己在遭受攻擊時(shí)的角色,以及在最壞的情況下如何執(zhí)行網(wǎng)絡(luò)恢復(fù)����。
這些行動(dòng)將幫助企業(yè)確保對(duì)即將發(fā)生的攻擊進(jìn)行一致的驗(yàn)證、準(zhǔn)備和準(zhǔn)備����,無(wú)論防御措施如何。當(dāng)前需要的是一種安全策略����,其中策略的應(yīng)用基于最低特權(quán)訪(fǎng)問(wèn)和嚴(yán)格的用戶(hù)身份驗(yàn)證的上下文,而不是假定的信任��。換句話(huà)說(shuō):永遠(yuǎn)不要信任�,永遠(yuǎn)要驗(yàn)證。
