网络攻击威胁日益严峻,SolarWinds、JBS USA和Colonial Pipeline等遭到攻击的事件层出不穷,企业组织不能再依靠传统的防御手段来保护关键基础设施和数据,Log4j漏洞的出现更是警醒着企业组织,攻击者可能已经潜伏在公司的内部网络之中,鉴于这些备受瞩目的事件,为了增强抵御网络威胁的应对能力,许多国家立法力度也进一步增强,例如美国的《关键基础设施网络事件报告法案》、欧盟的《网络安全和信息安全措施通用条例》。
这些新法的出台旨在改变网络安全模式,由原来的“信任但验证”旧口号转向零信任方法。一个典型的例子就是美国行政管理和预算局(Office of Management and Budget,简称“OMB”)今年早些时候发布了联邦战略,该战略详细地列举了一系列具体的安全要求,并力求美国政府机构要在2024年底之前实现具体的零信任目标,并且要与网络安全和基础设施管理局的零信任成熟度模型及以下五大要素密切配合:
•身份:员工使用受企业管理的身份来访问办公应用程序,采用多因子身份验证(MFA)进一步保护员工免受网络钓鱼和其他复杂的在线攻击。
•设备:清点所有授权供政府机构使用的设备,达到预防、检测和响应设备上发生威胁攻击事件的目的。
•网络:对环境中的所有DNS请求和HTTP流量进行加密,开始对边界环境施行微隔离计划。
•应用程序及工作负载:将所有应用程序视为联网的应用程序,定期对应用程序进行严格的实证测试,并密切关注外部报告的漏洞。
•数据:全面部署数据分类分级保护措施。充分利用云安全服务来监控用户对敏感数据的访问动态,并实施面向整个企业的日志记录和信息进行共享。
零信任架构与其他网络安全架构相同,要想达到以上的要求和标准需要政府机构的支持,然而,美国的许多关键基础设施都由私营部门所主导,这些私营部门在网络安全管理上总是擅自专权。
还有一个最大的问题是OMB发布的这些战略错估了零信任的“功效”,事实表明,在实施零信任架构的过程中,由于软件冲突、人为错误、常理不足和恶意行为等多重因素的共同影响,旨在防范各种威胁事件的工具和软件经常被错误安装和使用。而且实际上,大多数黑客攻击都会长期侦察,攻击者会禁用或绕过任何安全控制机制,因此,零信任战略的落地需要弹性,且因时而变,以抵御外部攻击因素为主要目的,而不能一味的纠结于规定红线和明文标准。
零信任的弹性落地情况要依据实际应用场景而定,任何情况下,企业组织采用零信任技术为确立网络弹性措施赋予怎样的优先级,取决于对黑客在攻击受害者时通常采用的策略、技术和程序(所谓的TTP)等多方面下的评估。
端点设备通常被黑客和网络犯罪分子用作发起攻击的入口点,或充当在网络内横向移动的立足点。波耐蒙研究所(Ponemon Institute)最近的一项调查也佐证了这一点,调查显示68%的企业组织在过去12个月内遭到过端点攻击。尽管众多企业组织都在尽力保护端点设备,但该数据说明端点安全依旧严峻,因此端点安全需要弹性的零信任方案,当然,端点弹性只是网络安全弹性方案的一个表现,端点弹性使企业组织能够清楚地知晓端点设备部署在哪里,并在这些端点上实施安全措施,如此,一旦端点设备被禁用、被篡改或被攻击,也能实现自我修复。
实施端点弹性等网络弹性策略在攻击事件发生前后会为企业组织带来以下的收益:
•强化安全态势:网络弹性不仅有助于响应和抵御攻击,还可以帮助组织制定战略,以改善IT治理、提高关键资产的安全性、加强数据保护工作以及尽量减少人为错误。
•改进合规态势:满足现下许多行业标准、政府法规和数据隐私法所宣传的网络弹性要求。
•增强IT生产力:值得一提的是,网络弹性改善了组织IT团队的日常运营,提高了企业组织应对威胁的能力,可协助恢复工作,并有助于确保日常运营顺利进行。
鉴于上述诸多优势,越来越多的企业在部署网络风险和安全管理框架时都在采用网络弹性这个概念。例如,美国国土安全部的网络弹性评估(CRR)就如何评估组织的运营弹性和网络安全实践提供了指导;此外,美国国家标准与技术研究所(NIST)特别出版物800-160 Volume 2,它为设计安全可靠的系统提供了一套框架,将不利的网络事件视为弹性和安全问题。
综上,网络弹性是践行零信任的重要方法,如果实施得当,弹性零信任将成为一种预防性措施,可以有效对付人为错误、恶意行为以及不稳定的老化软件等一系列问题。