零信任的五个防护盲区
零信任的本质是以身份为中心进行动态访问控制,从而极大改善企业的网络安全态势。与传统的一次验证,到处访问(资源和设备)的安全控制不同,零信任针对每次访问都会进行验证和授权(永不信任,始终验证)。
根据Okta 2022年发布的对700家公司的调查显示,55%的组织已经实施了零信任计划(2021年为24%),97%的组织计划在未来12至18个月内实施零信任计划。但是其他报告给出的数据似乎并不乐观:根据Cybersecurity Insiders3月份发布的针对美国400名IT和网络安全专业人员的调查,只有19%的美国企业已经实施了零信任。根据Gartner的报告,只有不到1%的企业拥有成熟且可度量的零信任计划,并且到2026年也将只有10%的企业拥有成熟的零信任计划。
虽然零信任方法得到了企业的广泛认可,但需要警惕的是,零信任并不是万能药。根据Gartner的预测,到2026年,超过一半的网络攻击将针对零信任未覆盖且无法防范的领域。Gartner分析师John Watts认为:“零信任有两个大问题。一是覆盖范围,例如遗留技术或影子IT。第二大问题是存在绕过零信任控制的攻击。”
零信任无法防护的五个“盲区”
即便采用了零信任方法,也并不意味着所有企业安全问题都能得到解决。零信任存在几个盲点,例如遗留系统、特权用户、不受监控的物联网设备、第三方系统,以及流程变更等管理问题,具体如下:
1、遗留系统
并非所有系统和应用程序都可以轻松更新到零信任框架。例如,许多遗留系统根本不具备所需条件。保险经纪公司PIB Group成立仅七年,但此后收购了92家公司,其中大多数是也是保险公司,员工人数从12人暴增到3500人。PIB Group的CISO Jason Ozin抱怨说:“我们正在收购很多平台,但很多遗留系统的开发人员已经离职,且没有提供适当的支持。”
Ozin指出,甚至公司当前的人力资源系统也不支持零信任。“它甚至不支持双因素身份验证。即便它支持用户名和密码和IP白名单,但当每个人都在家或其他远程位置工作时,IP白名单并不是很有用。”
PIB Group开始实施零信任时,新冠疫情已经结束,但这场疫情是推动企业转向零信任的主要动力。“我的计划是摆脱我们拥有的每一个遗留系统,”Ozin说:“但是,实际上,这永远不会发生。六年后,如果我还在使用这些遗留系统,我不会感到惊讶。”
“升级系统(适应零信任)需要资源和预算,我们决定优先对某些高风险项目采取这种做法。”Ozin说道。
2、物联网设备
Ozin表示,企业中有大量物联网设备,很多都不在安全团队的视野范围内。例如当地办事处私自购买和安装的接入企业WiFi网络的门禁系统。
由于所有WiFi网关都处于零信任状态,Ozin表示正在使用一种解决方法——为未经批准的设备建立一个单独的网络,这些设备无法访问任何公司数据。PIB还拥有适当的工具,可对这些设备进行审核,以确保只有经过批准的设备才能连接到主网络。
Gartner的Watts认同物联网和OT会给公司带来安全挑战。“对这些设备和系统实施零信任更加困难。对机器身份的防护很薄弱。”他说:“如果没有用户,那么就没有用户帐户。没有好的方法来验证网络上是否存在某些资产。这成为一个很棘手的问题。”
Watts表示,一些公司会将物联网和OT排除在零信任范围之外,因为他们无法解决这个问题。不过,他表示,一些安全厂商将帮助企业保护这些系统的安全。事实上,Gartner发布了一份保护网络物理系统安全的市场指南(https://www.tenable.com/analyst-research/2023-gartner-market-guide-for-cps-protection-platforms),其中包括Armis、Claroty和Dragos等厂商的产品。
“但是一旦你实施了这些技术,你就必须更加信任供应商。如果这些供应商有自己的漏洞和弱点,攻击者就会找到弱点。”Watts指出。
3、特权访问
内部威胁风险是所有公司面临的问题。如果拥有特权的内部人员访问敏感资源,那么零信任方案也将形同虚设。
Gartner的Watts表示,内部威胁是实施零信任控制后的主要残余风险。此外,受信任的内部人员可能会被诱骗泄露数据或让攻击者通过社会工程进入系统。内部威胁和账户接管攻击是零信任世界中仍然存在的两种风险。
根据网络安全内部人士调查,47%的人表示,在部署零信任时,员工访问权限过高是最大的挑战。此外,10%的公司表示所有用户都拥有超出其需要的访问权限,79%的公司表示部分或少数用户拥有过多的访问权限,只有9%的公司表示没有用户拥有过多的访问权限。Dimensional Research的研究发现,63%的公司报告在过去18个月内存在与特权用户或账号直接相关的身份问题。
零信任的另一个盲点是商业电子邮件泄露(BEC),即掌控公司资金的人被欺骗后将资金电汇给不法分子。商业电子邮件泄露可能会利用深度伪造技术,但往往不会触及任何零信任控制。为了解决这个问题,企业应该实施最小权限管理以及特权访问管理,限制用户访问,将损失降至最低。用户和实体行为分析可以帮助检测内部威胁和帐户接管攻击。关键点是通过智能化技术降低误报率,以免产生业务摩擦降低生产效率。
4、第三方服务
CloudFactory是一家人工智能数据公司,拥有600名员工和8000名按需“云工作者”。该公司安全运营主管Shayne Green透露该公司已完全采用零信任。
Green指出,虽然远程工作人员可以使用谷歌身份验证登录,但仍然存在差距和盲点。一些关键的第三方服务提供商不支持单点登录或安全断言标记语言(SAML)集成。这导致(第三方的)工作人员可以使用自己的用户名和密码从未经批准的设备登录。
CloudFactory并不是唯一一家遇到此问题的公司,而且供应商安全威胁也不仅限于身份验证机制。例如,许多公司通过API将其系统暴露给第三方。企业在确定零信任部署的范围时,很容易忽视API。
Watts表示,企业可以采用零信任原则并将其应用于API。这可以改善安全态势——但作用有限。“您只能控制公开并提供给第三方的接口。如果第三方没有良好的控制,那么你通常也无法控制。当第三方开发了允许其用户访问其数据的应用程序时,客户端上的身份验证可能会成为问题,有人可能会窃取会话令牌。
5、新技术和新应用
根据今年Beyond Identity对美国500多名网络安全专业人士进行的调查,48%的受访者表示,处理新应用程序是实现零信任的第三大挑战。除了新应用,新流程也是零信任经常面临的挑战。
全球咨询公司Aarete技术解决方案部门总经理约翰·凯里(JohnCarey)表示,一些公司不断尝试改进流程并改善沟通流程。“这与数据信任的概念不一致,数据信任为数据自由移动设置了障碍。”
Carey认为,这意味着如果没有正确实施或构建零信任,生产力可能会受到影响。可能发生这种情况的领域之一是人工智能项目。越来越多的企业开始创建专门针对其业务的定制、微调的人工智能模型,包括最近的生成式人工智能。
技术咨询公司Star的技术总监Martin Fix指出:“人工智能拥有的信息越多,它就越有用。对于人工智能,你希望它能够访问一切。这就是人工智能的目的,但如果它被入侵,或者它开始披露你不想泄露的信息,那就是一个严重的安全问题。”
Fix指出,有一种新的攻击方法,称为“提示词攻击”,恶意用户试图通过巧妙设计的提示词(问题)来欺骗人工智能泄露敏感信息,这也不是零信任能够防御的攻击。
总之,零信任面临的根本问题是它改变了公司的运作方式。零信任厂商经常会拍胸脯说这很容易,只需在员工介入的地方加入一些边缘安全措施即可。但事实上,这也许并不容易。毕马威美国零信任负责人迪帕克·马图尔(Deepak Mathur)认为,零信任的复杂性才刚刚开始显现,这是零信任厂商从不谈论的一大缺陷。当企业实施零信任技术时,必须更改流程,人们总是想当然地认为这些更改后的流程会正常运转。
