零信任的十大成功法则
当我们谈论零信任网络访问(ZTNA)时,耳边总是会回响起“永不信任、始终验证”,或者“身份是新的安全边界”之类的金科玉律。这使人产生一种错觉,认为零信任仅仅是一种打破安全边界的,基于身份和上下文的访问安全方法,但事实上零信任首先要打破的,是对技术堆栈的信任依赖(不仅仅是VPN)。
本文,我们将探讨常被忽视或扭曲的零信任核心概念,以及市场迷雾背后的零信任“成功法则”。
零信任的核心概念:消除对技术堆栈的信任
零信任的核心概念是如何从技术堆栈中消除信任,这也是任何成功的零信任战略的基础。
企业网络安全的“病根”是对技术堆栈的信任依赖,由于技术堆栈的漏洞和缺陷不可避免,网络攻击者总是能(很容易地)入侵企业网络。传统的对安全边界信任依赖的安全方法更是被无数次证明不但是昂贵的,而且是失效的。对“可信网络”的技术依赖,会为更擅长利用它们的网络攻击者提供太多可利用的漏洞。
最糟糕的是,外围网络的设计依赖域间信任关系,这意味着单点突破将暴露整个网络。对基于边界的网络安全缝缝补补并不起作用,因为网络攻击者仍然可以利用不安全的端点、滥用特权访问凭证以及安全补丁滞后数月的系统来访问网络。2022年第一季度,数据泄露事件同比增加了14%,而网络攻击导致了92%的数据泄露事件,其中网络钓鱼和勒索软件仍然是数据泄露的两大主因。
促使CISO加快采用零信任的主要驱动力有两个:
1.降低全球快速增长的远程办公、混合劳动力增加的攻击面和风险;
2.升级技术堆栈,提高安全弹性并减少对(技术堆栈)信任的依赖。
此外,保护远程混合劳动力(端点安全)、启动新的数字优先业务增长计划以及支持虚拟合作伙伴和供应商的需求增长都推动了企业对零信任的需求。根据Gartner的市场监测,2022年ZTNA的采用率同比暴增了60%。零信任市场已经从主要作为VPN的替代品,发展成为(远程和小型分支机构)用户标准化架构的关键组件,以及更高阶的应用程序零信任网络。
CISO必须知道的十个零信任成功法则
一、在启动IAM或PAM之前清理访问权限
消除那些危及身份和特权访问凭证的“信任漏洞”通常是企业实施零信任前应首先关注的优先事项。多年前的承包商、销售、服务和支持合作伙伴仍然可以访问企业门户、内部站点和应用程序是很常见的问题,清除这些过期帐户和合作伙伴的访问权限是不能省略的工作。完成这项工作可确保只有那些需要访问内部系统的承包商、销售、服务和支持合作伙伴才能获得权限。确保从第一天起,所有有效账户都需要激活MFA(多因素认证)。
二、零信任需要成为系统开发生命周期(SDLC)和API的核心
基于边界的安全方法依然主导着devops环境,给攻击者留下了不断尝试利用的漏洞。API攻击,正如Capital One、JustDial、T-Mobile等公司所遭遇的,表明基于边界的安全方法对于Web应用安全是无效的。当API和SDLC依赖基于边界的安全,通常无法阻止攻击。今天,开发运营团队开发API以支持新的数字增长计划的速度越来越快,API正在成为增长最快的威胁向量之一。CIO和CISO需要制定一个计划来使用零信任保护SDLC和API。
一个好的切入点是定义API管理和Web应用程序防火墙以保护API、特权访问凭证和身份基础设施数据。CISO还需要关注团队如何识别隐藏在API中的威胁并记录API使用水平和趋势。最后,需要重点关注API安全测试和分布式执行模型,以保护整个基础架构中的API。安全API的商业价值毋庸置疑,全世界的优秀企业都在使用API来快速开发和集成。
三、为基于零信任的端点安全创建用例
面对虚拟劳动力、将工作负载转移到云和开发新应用程序的业务需求,CISO及其团队往往会感到疲于奔命,力不从心。采用基于零信任的端点安全方法可以有效保护IT基础设施、基于运营的系统以及客户和渠道的身份数据,大大节省IT和安全团队的时间。Ericom的零信任市场动态调查发现,80%的组织计划在不到12个月的时间内实施零信任安全,83%的组织认为零信任对其业务发展具有战略必要性。
为基于零信任的端点安全方法创建用例的CISO最有可能获得新的安全预算。例如,基于云的端点保护平台(EPP)和自愈端点的采用继续增长。自愈端点大大提高了端点管理的规模、安全性和速度,能够减轻IT团队的负担。自愈端点有自我诊断功能,可以识别入侵企图,与自适应智能结合时可立即采取行动阻止攻击。例如,自愈端点会自行关闭,重新检查所有操作系统和应用程序版本,包括补丁更新,并将自身重置为优化的安全配置。所有这些活动都是在没有人为干预的情况下发生的。今天,大量网络安全公司(Akamai、Blackberry、Cisco、Ivanti、Malwarebytes、McAfee、Microsoft 365、Absolute Software、Qualys、SentinelOne、Tanium、Trend Micro、Webroot等)都宣称他们的端点可以自动修复(自愈)。
四、任何一个未受保护的机器身份都会危及网络
机器身份,包括bot、物联网设备和机器人,是当今企业中增长最快的威胁面,机器身份的增长速度是人类身份的两倍。因此,企业往往无法准确掌握其网络中存在多少机器身份。25%的安全领导者表示他们管理的身份数量在去年增加了10倍甚至更多。超负荷的IT团队仍在使用电子表格跟踪数字证书,并且大多数人没有准确的SSH密钥清单。没有单一的管理平台可以跟踪机器身份、治理、用户策略和端点健康。
机器身份的快速增长正在吸引研发投资。结合机器身份和治理的领导者包括Delinea、Microsoft Security、Ivanti、SailPoint、Venafi、ZScaler等。
五、考虑在多云环境中强化云服务商提供的IAM模块
以AWS的IAM为例,该模块集中了身份角色、策略和配置规则,但仍然不足以保护更复杂的多云配置。作为其AWS实例的一部分,AWS免费为身份和访问管理提供出色的基线支持。但CISO仍然需要评估AWS IAM配置如何在所有云实例中实现零信任安全。通过在混合云和多云战略方面采取“从不信任、始终验证、强制执行最低权限”策略,企业可以减轻损害长期运营的代价高昂的违规行为。
六、用远程浏览器隔离(RBI)确保上网安全
RBI的最大优点之一是不会破坏现有的技术堆栈,而是保护它。因此,需要减少Web攻击面复杂性和规模的CISO可以考虑使用RBI,因为RBI的目的就是将每个用户的互联网活动与企业网络和系统隔离开来。RBI假设没有任何Web内容是安全的,采用零信任的方式进行浏览。RBI为企业提供的安全价值持续吸引着大量并购和私募股权投资。例如MacAfee收购Light Point Security,Cloudflare收购S23 Systems,Forcepoint收购Cyberinc等都在今年的规划阶段。RBI的领导者厂商包括Broadcom、Forcepoint、Ericom、Iboss、Lookout、NetSkope、Palo Alto Networks、Zscaler等。其中,Ericom保留本机浏览器的性能和用户体验,同时加强安全性并扩展Web和云应用程序支持来实现零信任RBI的方法尤其值得注意。
七、采用基于零信任的策略对所有移动设备上的用户进行身份验证
每个企业都依赖其员工使用各种计算设备来完成工作并增加收入。但不幸的是,员工的计算设备往往存在很多漏洞,其中移动设备是增长最快的威胁面之一。在移动设备上实现零信任策略的第一步是获取对所有端点设备的可见性。接下来,需要一个统一端点管理(UEM)平台提供基于位置的设备管理功能,包括云优先操作系统交付、点对点补丁管理和远程支持。CISO需要考虑UEM平台如何改善用户体验,同时还要考虑如何用端点检测和响应(EDR)替代VPN。根据2021年第四季度的Forrester Wave统一端点管理报告,Ivanti、Microsoft和VMWare是UEM市场的领导者,其中Ivanti拥有集成度最高的UEM、企业服务管理(ESM)和最终用户体验管理(EUEM)功能。
2021年Forrester Wave for UEM(统一端点管理)
当今UEM市场领跑者的差异化优势在于,能提供对跨移动端点和传统端点的零信任支持,同时还增加了针对勒索软件和反漏洞利用的增值移动安全功能。
八、基础设施监控对于构建零信任知识库至关重要
实时监控可以帮助安全团队深入了解网络异常和入侵尝试是如何随着时间的推移而变化的。基础设施监控对于建立负责研究如何让零信任产生价值的知识库也尤其重要。在实时识别机器端点配置和性能异常方面,日志监控系统被证明是至关重要的。AIOps能有效地实时识别异常和性能事件相关性,有助于提高业务连续性。该领域的领导者包括Absolute、DataDog、Redscan、LogicMonitor等。此外,基于日志监控,CISO可以更深入地了解零信任网络访问策略执行的有效性,从而可以立即进行影响分析和进一步微调零信任政策,最大限度地减少网络钓鱼和恶意网页访问。
九、加强安全认证和培训来消除零信任安全多云配置的风险
Gartner预测,今年将有50%的企业无意中错误地将一些应用程序、网段、存储和API直接暴露给公众,远高于2018年的25%。到2023年,几乎所有(99%)的云安全故障的原因是未正确设置的手动控制。考虑到错误配置已经成为当今混合云违规的主要原因,CIO和CISO需要付费让团队中的相关成员获得认证。自动化配置检查是一个不错的开始,但CIO和CISO仍需要保持扫描和审计工具的最新状态,同时监督它们的准确性。自动检查器并不能有效地验证未受保护的端点,这意味着企业需要加强人员的继续学习、安全认证和培训。
十、IAM需要跨供应链和服务网络扩展
IAM是成功的零信任战略的基石。零信任战略要想取得成功,必须基于一种有效的IAM方法,该方法可以快速适应跨供应商和内部网络添加的新的人员身份和机器身份。然而,独立的IAM解决方案往往很昂贵,对于刚开始零信任之旅的CISO,最好找一个已经将IAM集成到其平台核心部分的解决方案。这方面领先的网络安全提供商包括Akamai、Fortinet、Ericom、Ivanti和Palo Alto Networks。例如,Ericom的ZTEdge平台结合了支持ML的身份和访问管理、ZTNA、微分段和安全Web网关(SWG)与远程浏览器隔离(RBI)。
