使用零信任架構保護企業免於利用身分的入侵攻擊,是一種公認有效的網路安全防禦方法,許多企業現在流行以這種策略主軸構建安全防禦。
零信任機制強調身分管理和網路存取控制,超越了過時的“信任,但驗證”預設處理方法,而是強制要求“永不信任,始終驗證”的座右銘,這對要求法規合規性的稽核或風險管理部門,無疑是最完美的最好的自然答案。
然而,許多組織仍然面臨與關鍵身分相關的安全控制問題。事實上,身分定義安全聯盟 (IDSA) 最近的一項研究表明,基於身分被利用的資訊外洩事件普遍存在(94% 的調查受訪者經歷過與身分相關的攻擊),並且高度被認為是可預防的(99%)。
被竊洩露的身分讓駭客輕易的使用弱密碼、預設未改或被盜用帳號名稱和密碼登入。當前的經濟氛圍和 COVID-19 的大流行的影響,更進一步加劇了這種風險。導致更多的數位轉型,以及工作模式轉變,擴大了這種威脅的格局。
使用者帳戶、機器與裝置之外,還有呢?
然而,今天的身分使用與驗證不僅僅是人而已。其中包括工作負載、微型服務和應用程式。在今天的現實中,非使用者的身分或者說機器身分,在許多組織中實際上代表了大多數用戶。儘管如此,大多數組織仍然繼續將存取控制的重點,放在使用者身分驗證管理上。
雖然,組織中的特權使用者帳號可能是一個相對較小的群體,但機器身分管理的挑戰在於,它們通常與這些使用者特權帳戶相關聯;並且在現代 IT 基礎設施中,通常比傳統使用者的特權帳戶具有更大的活動足跡,在 DevOps 和雲端運算環境中尤其如此。
零信任的端點安全
零信任不是一種產品或平台,而是一個圍繞“永不信任,始終驗證和假設違規”的概念下,所構建的安全框架。沒有單一的安全解決方案、平台可以自動實現零信任的目標。過去一年半的全球事件顯著的,而且是永久性地改變了我們的工作方式。隨著企業迅速採取行動,加速部署遠端異地工作,以保持正常營運,此時安全就會退居次要或更低的順位。
ZTA 的基本假設是網路可以檢查用戶設備的健康狀況,然後信任他們可以存取企業資源。對於某些極端鎖定的設備可能是正確的。但它存在一個基本的設計偏誤,是錯誤假設的認知結果。想像現在員工可能將資訊置於企業的控制範圍之外,或者我們在家工作/混合環境中;這些端點設備不一定能夠掌握,很容易被攻擊者攻破而公司一無所知。因此控制檢查與活動監視,以及健康狀況掌握勢必要在端點上實施,才能有效控制。
聰明管理端點上的零信任裝置
由於端點上可以連接各式裝置,一旦處於異地工作,必須確保員工被限制使用受信任的裝置。通過建立連接裝置的信任管理,讓用戶免於因為無心之過或被滲透攻擊,而危害公司資產。當然,封鎖所有可用外接裝置可能是方案之一,但如此會嚴重危害業務運作。而且,現今的IT設備的連接裝置具備各種生產力所需的功能,不能因為資安防護設計不周而妨礙。例如遠地工作所必需的視訊會議系統,攝影音訊裝置可能就是Type-C 介面。而端點裝置可以將其連接外將儲存裝置、外接有線、無線網路裝置等,都會跳脫原來的網路存取管制,將資訊外洩出去。套用零信任裝置的概念,組織可以註冊認可的信任裝置納入白名單;其他裝置則阻擋存取。信任的裝置則加以限制存取控制,例如讀、寫、記錄與備份的控制;一方面保護了端點不會造成洩漏的破口,一方面也顧及了工作需求。
端點和網絡安全相結合
隨著安全技術的進步,需要保護的資訊量急劇增加。在當今高度移動的世界中,資訊隨著端點流動,使它們成為吸引攻擊的目標。因此,安全策略必須隨著用戶和資訊而移動,不應受制於特定場所位置。端點安全產品在控制保護和收集端點上活動的記錄,與網路安全產品的特色各有所長;整合端點和網路存取安全方法,可以更明確實現端點到端點存取保護安全。