依靠零信任来确保敏捷时的安全性

坏演员迅速增加 网络钓鱼活动,设置恶意网站并发送恶意附件,以充分利用大流行和用户对信息的需求,他们的恐惧和其他情绪。目标通常是危害登录凭据。

零信任之旅

与Internet上的用户相比,许多组织将更多的信任授予Intranet用户。在家工作的员工–在不知不觉中浏览潜在恶意网站并单击 篡改的COVID-19地图下载了恶意软件 –正在使用公司的便携式计算机和VPN连接到公司网络,并从那里获得了访问不同资源的更大范围的自由度。

一旦用户的凭据遭到破坏,与用户从Intranet访问位置相关联的这种隐式信任就可以被利用,从而在组织内部横向传播恶意软件。因此,很明显,再也无法通过互联网与内部网的方式解决安全问题,因为 网络周边 被认为是安全的。

导航雷区并确保组织安全的一个好方法是假设一切都是可疑的,并且 采取零信任的方法。零信任旨在消除与用户访问位置(例如Intranet与Internet上的用户)相关的隐式信任,并将安全重点转移到应用程序,设备和用户。

在进行零信任之旅时,请牢记以下几个关键点:

零信任是一段旅程,而不是产品

要了解零信任,真正重要的是它不是产品或工具。零信任是一种框架,是一种用于管理IT和网络操作的方法,有助于推动保护并防止安全漏洞。零信任旨在采用一致的安全性方法,而与用户是从Intranet还是Internet访问数据和应用程序无关。

为此,零信任实际上试图通过消除对基于访问位置的单独框架,单独工具和单独安全策略的需求来简化安全性(例如,具有专用的VPN基础结构用于远程访问)。

它还可以确保用户不受工作地点的影响而获得一致的体验。通过强调应用程序,用户和设备并消除与内部网络相关的隐式信任,零信任本质上旨在减少与管理与外部和内部边界相关的不同安全基础结构相关的开销。零信任旨在通过要求用于所有资产的身份验证和访问控制的全面策略框架来实现这一目标。

可见性是零信任的基石

实施零信任的关键是深入了解所有资产(应用程序,设备,用户)及其交互。这对于定义和实施全面的身份验证和访问控制策略至关重要。安全团队今天面临的一个巨大挑战是访问控制策略往往过于宽松或宽松,或者与网络段而不是资产捆绑在一起,从而使不良行为者更容易在组织内横向移动。

通过强调资产并建立资产图,可以简化策略的创建和执行。而且,由于这些策略与资产而不是网络段绑定在一起,因此无论用户从何处访问数据和应用程序,都可以使用同一组策略。

资产发现可以通过多种方式实现。一种出色的资产映射和发现方法是利用可以从网络流量中提取的元数据。网络流量使发现和枚举其他机制可能遗漏的资产成为可能。旧版应用程序以及使用以下程序构建的现代应用程序 微服务,连接的设备和用户,都可以通过网络流量可见性及其映射的交互来发现,从而促进资产图基线的建立。建立这样的基准对于建立用于身份验证和访问控制的正确策略模型至关重要。

加密所有内容

尽管身份验证和访问控制在零信任的世界中至关重要,但隐私也是如此。身份验证可确保对话的端点知道对方是谁。访问控制确保用户只能访问允许的资产。但是,不良行为者仍然有可能“窥探”有效的通信,并通过这种通信获取敏感信息(包括密码和机密数据)。

在许多组织中,隐式信任的一个方面是,对于许多应用程序,公司Intranet上的通信往往采用明文形式。这是个错误。我们不应该仅仅因为位于公司内部网络上就认为公司内部网络上的通信是安全的。在互联网上进行任何交易时,我们使用 TLS (以下简称“ https”)对数据进行加密。

Intranet上的通信应该没有什么不同。我们应该假设不良行为者已经在我们公司的网络中占有一席之地。因此,用户,设备和应用程序之间的任何通信都应加密以确保隐私。这是确保可以为Internet和Intranet上的用户使用一致的安全框架的又一步。

当然,对公司网络上的所有流量进行加密将使解决应用程序问题和网络问题变得更加困难,并使安全团队更难以识别威胁或恶意活动。此外,在特定行业中,由于无法保留特定所需活动的活动日志,这可能会给合规性带来挑战。因此,在转向内部网中所有流量都经过加密的模型时,利用基于网络的解决方案进行目标网络流量解密可能是有益的。

实施持续监控策略

公司网络不是静态的。他们不断发展,不断增加新用户,新设备,新应用和不推荐使用旧应用。在这些容量可以动态扩展和缩减的时代,新的应用程序迅速推向市场,并且越来越多的IT和OT设备上线,网络从未如此动态。

云迁移正在进一步改变网络的本质以及“内部”与“外部”概念。建立身份验证,访问控制和加密的框架是解决方案的一半。另一半正在实施持续监视策略,以检测更改并确保更改符合策略,或者确保策略不断发展以适应更改。监视网络流量提供了一种非侵入性但可靠的方法来检测更改并识别异常。

基于网络的监视可以与端点监视结合使用,以获得更完整的视图。在许多情况下,基于网络的监视可用于查明已无意或恶意关闭了端点监视或无法实施端点监视的应用程序和设备。

不良行为者一旦在系统上占据一席之地,他们通常会尝试关闭或解决端点监视代理程序。在许多情况下,监视网络流量可提供一致且可靠的遥测数据流,以进行威胁检测和合规。

随着组织被迫转向在家工作的范式,快速扩展应用程序和基础架构的需求将继续给组织内的不同团队带来压力。大流行与否,其中一些变化将是永久性的。换句话说,在许多情况下,可能没有“回到过去的样子”。拥抱零信任框架将有助于确保随着组织适应新常态,安全性将保持同步并成为保护敏捷性和创新蓬勃发展的保护伞。

分享这个