零信任是一種網(wǎng)絡(luò)安全范例——實際上是一種哲學(xué)——在這種范例中,每一個用戶、每一臺設(shè)備、每一條消息都被認(rèn)為是不可信的,除非有其他證明,這是對舊的基于邊界的方法的替代,在這種方法中,外部的東西是不可信的,而企業(yè)網(wǎng)絡(luò)內(nèi)部的東西自動被認(rèn)為是值得信任的,換句話說,企業(yè)有一個堅硬的外殼和一個柔軟而粘稠的中心。
在這個邊界無處不在的時代,員工在家和在辦公室的可能性一樣大,計算資源分散在多個數(shù)據(jù)中心、云和其他第三方,舊的方法不再起作用,零信任是這個問題的現(xiàn)代答案,所有人都上船了。根據(jù)Okta 2022年發(fā)布的一項針對700家公司的調(diào)查,55%的企業(yè)已經(jīng)實施了零信任計劃,高于2021年的24%,97%的企業(yè)計劃在未來12至18個月內(nèi)實施零信任計劃。
零信任不是靈丹妙藥,根據(jù)Gartner的預(yù)測,到2026年,超過一半的網(wǎng)絡(luò)攻擊將針對零信任沒有覆蓋和無法防范的領(lǐng)域。“零信任有兩個大問題,一個是范圍,比如遺留技術(shù),或影子IT,第二個大問題是,有一些攻擊繞過了零信任控制。
企業(yè)在部署零信任方面進(jìn)展緩慢
根據(jù)3月份發(fā)布的一項針對美國400名IT和網(wǎng)絡(luò)安全專業(yè)人士的網(wǎng)絡(luò)安全內(nèi)部調(diào)查,只有19%的企業(yè)已經(jīng)實施了零信任。與此同時,30%的人表示項目正在進(jìn)行中,38%的人表示仍處于規(guī)劃階段。這些估計可能過于樂觀了。根據(jù)Gartner的數(shù)據(jù),只有不到1%的企業(yè)擁有成熟且可衡量的零信任計劃,到2026年將只有10%的企業(yè)會有這樣的計劃。
即使零信任已經(jīng)推出,也并不意味著所有的安全問題都得到了解決。零信任有幾個盲點(diǎn),包括不是為零信任而設(shè)計的遺留系統(tǒng)、做不應(yīng)該做的事情的特權(quán)用戶、不受監(jiān)控的物聯(lián)網(wǎng)設(shè)備、第三方系統(tǒng),當(dāng)然,還有持續(xù)存在的變化管理問題。
僅靠零信任不能保護(hù)企業(yè)的5個領(lǐng)域
1.遺留系統(tǒng)
并不是所有的系統(tǒng)和應(yīng)用程序都可以輕松地更新為零信任原則。例如,許多遺留系統(tǒng)就是不具備所需的條件。保險經(jīng)紀(jì)公司PIB Group成立僅七年,但自那以來已收購了92家其他公司,其中大多數(shù)是其他保險公司。員工人數(shù)從12人增加到3500人。CISO杰森·奧津告訴記者:“我們正在收購很多平臺,這些平臺都是由他們的堂兄編寫的,他們的堂兄去了另一份工作,沒有適當(dāng)?shù)刂С炙麄儭?rdquo;
Ozin說,即使是公司目前的人力資源系統(tǒng)也不支持零信任。它甚至不會支持雙因素[身份驗證]。它將支持用戶名和密碼。它將支持IP白名單。但當(dāng)每個人都在家里或其他遠(yuǎn)程地點(diǎn)工作時,IP白名單并不是很有用。
該公司即將改用新的人力資源系統(tǒng),但其他系統(tǒng)無法快速更換。在它們出現(xiàn)之前,Ozin已經(jīng)有了一個變通辦法。“我們所能做的就是用零信任的包裝來包裝它。你會被認(rèn)證的。你是從我們認(rèn)識的地方來的嗎?你用的是雙因素嗎?“。一旦處理了身份驗證,包裝器才會將流量傳遞到遺留系統(tǒng)。遺留系統(tǒng)--例如當(dāng)前的人力資源系統(tǒng)--將檢查IP地址,以確保它來自零信任平臺。Ozin說,一些遺留系統(tǒng)太糟糕了,他們甚至沒有用戶名和密碼。“但除非通過看門人,否則沒有人能進(jìn)入。”
大流行是轉(zhuǎn)向零信任的主要動機(jī),該公司的快速增長也是如此,盡管當(dāng)PIB開始推出零信任時,大流行已經(jīng)結(jié)束。“我的計劃是擺脫我們擁有的每一個遺留系統(tǒng),”Ozin說。但在現(xiàn)實中,這永遠(yuǎn)不會發(fā)生。六年后,如果我還在經(jīng)營它,我不會感到驚訝。
但升級所有東西都需要資源和資金。“我們已經(jīng)決定從某些高風(fēng)險的項目開始,”他說。
2.物聯(lián)網(wǎng)設(shè)備
Ozin說,企業(yè)中有大量的物聯(lián)網(wǎng)設(shè)備,“我有我甚至不知道的物聯(lián)網(wǎng)。”這是一個問題,特別是當(dāng)當(dāng)?shù)剞k公室決定在沒有事先與任何人交談的情況下安裝門禁系統(tǒng)時。“他們正在安裝,那個人說,‘我能拿到網(wǎng)絡(luò)的WiFi接入密鑰嗎?’有人可能會把它給他們。“奧津說。
在對所有WiFi網(wǎng)關(guān)沒有零信任的情況下,該公司正在使用一種變通辦法--對無法訪問任何公司數(shù)據(jù)的未經(jīng)批準(zhǔn)的設(shè)備使用單獨(dú)的網(wǎng)絡(luò)。PIB也有適當(dāng)?shù)墓ぞ撸屗麄冞M(jìn)行審計,以確保只有經(jīng)過批準(zhǔn)的設(shè)備才能連接到主網(wǎng)絡(luò)。
Gartner的瓦茨也認(rèn)為,物聯(lián)網(wǎng)和OT可能會給公司帶來安全挑戰(zhàn)。“對于那些設(shè)備和系統(tǒng)來說,實施零信任的姿態(tài)更加困難。他們對身份的保證較少。如果沒有用戶,那么就沒有用戶賬戶,他說。“沒有好的方法來驗證網(wǎng)絡(luò)上是否應(yīng)該有東西。這成了一個很難解決的問題。
瓦茨說,一些公司會將物聯(lián)網(wǎng)和OT排除在零信任范圍之外,因為它們無法解決這個問題。然而,他說,一些供應(yīng)商將幫助公司確保這些系統(tǒng)的安全。事實上,Gartner已經(jīng)發(fā)布了一份保護(hù)網(wǎng)絡(luò)物理系統(tǒng)安全的市場指南,其中包括Armis、Claroty和Dragos。但一旦你實施了這些技術(shù),你就必須對供應(yīng)商給予更多信任。如果他們有自己的漏洞和挑戰(zhàn),攻擊者就會找到弱點(diǎn),“瓦茨告訴記者。
3.特權(quán)訪問
內(nèi)部人威脅風(fēng)險是所有公司都面臨的問題。在特權(quán)內(nèi)部人員可能擁有訪問敏感資源的有效權(quán)限的情況下,零信任將無濟(jì)于事,因為該員工是受信任的。
Ozin說,其他技術(shù)可以降低風(fēng)險。“某人可能擁有所有的特權(quán),但他們會在凌晨3點(diǎn)突然出現(xiàn)在互聯(lián)網(wǎng)上嗎?”你可以把行為分析放在零信任旁邊,以捕捉到這一點(diǎn)。我們使用它作為EDR[端點(diǎn)檢測和響應(yīng)]的一部分,并作為我們Okta登錄的一部分。我們還有一個防止數(shù)據(jù)丟失的計劃--他們是不是在通常不打印任何東西的情況下進(jìn)行60頁的打印?
Gartner的瓦茨表示,在實施零信任控制后,內(nèi)部威脅是一個主要的殘余風(fēng)險。此外,受信任的內(nèi)部人士可能會被社會工程欺騙,泄露數(shù)據(jù)或允許攻擊者進(jìn)入系統(tǒng)。他表示:“在一個完美的零信任世界里,仍然存在的兩個風(fēng)險是內(nèi)部威脅和賬戶接管攻擊。”
然后是商業(yè)電子郵件泄露,有權(quán)獲得公司資金的人被愚弄,將資金發(fā)送給壞人。瓦茨說:“商業(yè)電子郵件的泄密可能是一種深深的虛假,它會打電話給企業(yè)的一名成員,讓他們把錢匯到另一個賬戶。”“而這一切實際上都沒有觸及到你的任何零信任控制。”為了解決這一問題,公司應(yīng)該限制用戶訪問,以便在他們受到攻擊時將損害降至最低。他表示:“有了特權(quán)賬戶,這很難做到。”用戶和實體行為分析可幫助檢測內(nèi)部威脅和帳戶接管攻擊。關(guān)鍵是智能地部署這項技術(shù),這樣誤報就不會阻止某人完全履行他們的職責(zé)。
例如,異常活動可能觸發(fā)自適應(yīng)控制,如將訪問權(quán)限更改為只讀,或阻止訪問最敏感的應(yīng)用程序。公司需要確保他們不會給太多的用戶太多的訪問權(quán)限。這不僅僅是一個技術(shù)問題。你必須有人和流程來支持它。
根據(jù)網(wǎng)絡(luò)安全內(nèi)部人士的調(diào)查,47%的人表示,當(dāng)涉及到部署零信任時,過度特權(quán)的員工訪問是最大的挑戰(zhàn)。此外,10%的公司表示,所有用戶的訪問權(quán)限都超過了他們的需要,79%的公司表示部分或少數(shù)用戶這樣做,只有9%的公司表示沒有用戶訪問權(quán)限太多。代表BeyondTrust進(jìn)行的一項Dimensional Research研究發(fā)現(xiàn),63%的公司報告在過去18個月中遇到過與特權(quán)用戶或憑據(jù)直接相關(guān)的身份問題。
4.第三方服務(wù)
CloudFactory是一家AI數(shù)據(jù)公司,擁有600名員工和8000名按需“云工人”。該公司安全運(yùn)營負(fù)責(zé)人肖恩·格林告訴記者,該公司完全采用了零信任。“我們必須這么做,因為我們支持的用戶數(shù)量太多了。”
格林說,遠(yuǎn)程員工使用谷歌身份驗證登錄,公司可以通過該身份驗證應(yīng)用其安全策略,但存在差距。一些關(guān)鍵的第三方服務(wù)提供商不支持單點(diǎn)登錄或安全斷言標(biāo)記語言集成。因此,員工可以使用自己的用戶名和密碼從未經(jīng)批準(zhǔn)的設(shè)備登錄,他說。“那么就沒有什么能阻止他們走出我們的視線。”格林說,技術(shù)供應(yīng)商意識到這是一個問題,但他們落后了,他們需要加快步伐。
CloudFactory并不是唯一一家在這方面有問題的公司,但供應(yīng)商的安全問題不僅僅是供應(yīng)商使用的身份驗證機(jī)制。例如,許多公司通過API將其系統(tǒng)暴露給第三方。在確定零信任部署的范圍時,很容易忽略API。
瓦茨說,你可以采用零信任原則,并將其應(yīng)用于API。這可以帶來更好的安全態(tài)勢--但只能在一定程度上。“您只能控制您公開并提供給第三方的接口。如果第三方?jīng)]有很好的控制,這是你通常無法控制的事情。當(dāng)?shù)谌絼?chuàng)建的應(yīng)用程序允許他們的用戶訪問他們的數(shù)據(jù)時,客戶端的身份驗證可能會成為一個問題。“如果它不是非常強(qiáng)大,有人可能會竊取會話令牌,”瓦茨說。
公司可以審計其第三方提供商,但審計通常是一次性檢查或臨時執(zhí)行。另一種選擇是部署分析,這種分析可以檢測正在做的事情何時未獲批準(zhǔn)。它提供了檢測異常事件的能力。瓦茨說,被利用的API中的一個缺陷可能會表現(xiàn)為一個這樣的異常事件。
5.新技術(shù)和新應(yīng)用
根據(jù)Beyond Identity今年對美國500多名網(wǎng)絡(luò)安全專業(yè)人士的調(diào)查,48%的受訪者表示,處理新申請是實現(xiàn)零信任的第三大挑戰(zhàn)。添加新的應(yīng)用程序并不是公司可能想要對其系統(tǒng)進(jìn)行的唯一更改。全球咨詢公司AArete的技術(shù)解決方案部門董事總經(jīng)理約翰·凱里表示,一些公司一直在努力改善流程和溝通流程。這與數(shù)據(jù)信任的概念不符,后者為數(shù)據(jù)的自由流動設(shè)置了障礙。
凱里說,這意味著如果零信任沒有得到正確的實施或架構(gòu),可能會對生產(chǎn)率造成打擊。這種情況可能發(fā)生的一個領(lǐng)域是AI項目。公司有越來越多的選擇來創(chuàng)建特定于其業(yè)務(wù)的定制的、微調(diào)的AI模型,包括最近的AIGC。
AI擁有的信息越多,它就越有用。有了AI,你希望它可以訪問一切。這就是AI的目的,但如果它被攻破,你就有問題了。如果它開始泄露你不想要的東西,那就是一個問題。“科技咨詢公司Star的技術(shù)總監(jiān)馬丁·菲克斯告訴記者。
Fix說,現(xiàn)在有了一種新的攻擊媒介,稱為“即時黑客”,惡意用戶試圖通過巧妙地措辭他們提出的問題來欺騙AI告訴他們更多不應(yīng)該告訴他們的信息。他說,一種解決方案是避免對一般用途的AI機(jī)構(gòu)進(jìn)行敏感信息方面的培訓(xùn)。取而代之的是,這些數(shù)據(jù)可以保持獨(dú)立,并建立一個訪問控制系統(tǒng),檢查提出問題的用戶是否被允許訪問這些數(shù)據(jù)。“結(jié)果可能不如不受控制的AI。這需要更多的資源和更多的管理。
這里的根本問題是,零信任改變了公司的運(yùn)作方式。“安全廠商說這很容易。只要在你的人進(jìn)來的地方增加一些邊緣安全就行了。不,這并不容易,零信任的復(fù)雜性才剛剛開始顯現(xiàn)。“畢馬威的美國零信任負(fù)責(zé)人迪帕克·馬圖爾告訴記者。這是零信任從未提及的一大缺陷,他說。當(dāng)公司實施零信任技術(shù)時,必須發(fā)生一些流程變化。相反,很多時候,人們理所當(dāng)然地認(rèn)為人們會修復(fù)流程。
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號