應用零信任體系架構,組織企業不再假設定網路邊界內的使用者是受信任的, 而是採用"零信任"方法,在授予使用者存取之前,必須對所存取的資源進行驗證,最常被提到的就是ZTNA(Zero Trust Network Access)。但是,這樣的架構忽略了端點本身的安全性防護等級並不足夠。攻擊者利用端點作為跳板,成了零信任模型中最薄弱的環節。他們就可以擁有端點作業系統並代表用戶身分,一旦通過身份驗證並被授予存取權後,在企業環境中橫向移動,並進一步入侵。
網路存取只是第一關
然而,網路並不是唯一容易受到攻擊和危害的IT元件。許多其他 IT 元件都可能成為被利用攻擊媒介,只是等待零日漏洞來配合。在企業安全資產的其他部分是否可以實現零信任?
通常在使用者通過網路身份驗證後,利用應用程式存取企業資源。然而,僅靠網路使用者身份驗證,並不足以用來面對各種威脅。企業應用程式容易受到許多其他攻擊,例如SQL injection 、橫向移動、API弱點等等。簡而言之,僅僅使用網路存取零信任方案,並無法確保端點上的應用程式得到了適當的保護。
端點上的Application Zero Trust
至今遭受惡意程式及勒索軟體攻擊的公司仍然層出不窮,應對這類事態的零信任架構持續被重視。但 IDG 的研究發現,零信任框架的一個關鍵組件仍未得到充分利用:應用程式白名單 (AWL)。
構建零信任應用程式防禦架構,分成四個構面進行:
分析應用程式行為
在端點上建立以應用程式為中心的零信任,意味著必須分析每個應用程式的行為,以驗證它是否只被允許執行適當的功能,並且只與所需的檔案和資料來源進行互動。這種分析也可以用於構建行為參數模型,並隨後為其建立安全行為標準。在此情境中,應用程式具有自己的信任佔用空間,並允許僅限應用程式執行所需的存取權(零信任)。任何類型的攻擊或未經授權的活動(如Code Injection)都超出正常行為範圍,此時觸發警報或關閉。
應用程式白名單(Application Whitelisting, AWL)
AWL 是一種端點上應用程式安全策略,預設拒絕其他所有程序,只允許經過驗證和授權允許的應用程式在端點上執行。而傳統黑名單的方案,使用已知惡意檔案的列表,並阻止它們執行,或終結其行程。比起黑名單,AWL不需要跟上無窮無盡,且不斷變化的惡意代碼特徵,那幾乎是不可能完成的任務;取而代之的是維護已被核可的(有限)應用程式列表,供端點設備存取並利用。利用白名單即時應用程式執行控制,可有效阻止未知型的惡意程式(例如勒索軟體)未經授權存取網路和設備。
儘管 AWL 一直被 NIST、CISA、FBI 和其他安全組織提倡為“最佳實務做法”(Best Practice);但許多組織不願部署的部分原因是,認為過於耗費管理人力,密集的系統或軟體更新而須變更白名單。較新的解決方案,不再需要從頭開始構建自己的白名單。解決方案會提供不同信賴依據的自動更新機制,例如憑證、更新程式( Updater )、行程關係(Parent Process) 等; IT 團隊可以集中控管清單資料庫,將任何應用程式加到AWL,派送到用戶端。
沙箱
沙箱是一種檢測惡意程式系統,依實作方法不同,有的是具備全功能作業系統的虛擬機 (VM) 中,執行可疑對象,並通過分析的行為來檢測惡意活動。如果在 VM 中執行惡意行為,沙箱會將會判定為惡意程式。而該虛擬機與真實的作業基礎設施環境隔離,而不會讓惡意程式有機會擴散或造成實質損壞。
沙箱是在可疑對像執行時期的行為進行分析,這使得它能夠有機會發現,原本躲掉靜態特徵分析的惡意程式。與其他行為分析設計相比,沙箱更為安全,因為它不需要冒險在真實基礎設施中執行可疑對象。另一個沙箱的好處是惡意程式樣本採樣,與行為側錄(Profiling),對於鑑識取證有一定幫助。
結合網路存取控制
已核准授權的應用程式獲准可以執行,並不代表可以為所欲為,應用程式存取資源也會受到監控。依據最小可完成工作權限原則,監測應用程式發生權限變更,發出網路連線存取網路上其他資源,存取本機資料夾檔案等現象,系統發出示警與反應行動。在本機資料夾內指定授權的應用程式存取,其他未知的程序存取就會被阻擋,該程序也會被鎖定終止,保護資料夾中檔案不被破壞。
零信任的基礎在端點
IT和安全團隊應將 AWL 視為所有零信任安全策略的基礎。零信任基於這樣一種理念,不自動信任內外的任何事物,而是必須在授予存取權限之前驗證。視其工作於賦予最小特權 (PLP) 原則,該原則建議限制對通訊、系統權限和服務的存取。
AWL 在端點上可充分發揮的零信任的本質,只允許“已知”或“可信”應用程式運行,將控制權交到 IT 和安全團隊手中。基於這個原因,AWL可能是用來抵禦勒索軟體的最佳防禦措施之一。