在網(wǎng)絡(luò)安全領(lǐng)域,“零信任”概念(即設(shè)備在默認(rèn)情況下從不信任且始終經(jīng)過驗證)并不新鮮。 然而��,隨著不斷發(fā)展的數(shù)字環(huán)境為日益增加的網(wǎng)絡(luò)威脅創(chuàng)造了環(huán)境���,零信任對于澳大利亞的組織來說比以往任何時候都更加重要。
零信任方法要求對設(shè)備進行驗證��,即使它們之前已獲得網(wǎng)絡(luò)許可�。 現(xiàn)在��,我們在個人和專業(yè)環(huán)境中使用物聯(lián)網(wǎng) (IoT) 連接的設(shè)備比以往任何時候都多�����。 一般來說�����,物聯(lián)網(wǎng)設(shè)備旨在以非常有效的方式提供單一服務(wù) - 不幸的是��,這意味著安全并不總是優(yōu)先考慮的事項���。 缺乏內(nèi)置安全性使設(shè)備容易受到攻擊,從而形成進入整個組織網(wǎng)絡(luò)的潛在路徑�。
根據(jù)最近的一項研究,雖然超過 80% 的澳大利亞組織認(rèn)識到需要更加關(guān)注零信任�����,但大多數(shù)公司在實施零信任時仍然優(yōu)先考慮用戶 (54%)��,而不是設(shè)備 (24%) 或網(wǎng)絡(luò) (17%) 信任安全�����。 隨著供應(yīng)鏈攻擊的增加,企業(yè)和組織在繼續(xù)數(shù)字化轉(zhuǎn)型之旅時必須做得更好��。 他們需要在網(wǎng)絡(luò)基礎(chǔ)設(shè)施戰(zhàn)略中優(yōu)先考慮網(wǎng)絡(luò)安全作為連接設(shè)備�����,而物聯(lián)網(wǎng)在其整體技術(shù)堆棧中發(fā)揮著越來越重要的作用�����。
零信任——基礎(chǔ)
網(wǎng)絡(luò)分段是關(guān)鍵的零信任原則�。 通過分離網(wǎng)絡(luò)元件,可以減少受感染設(shè)備的攻擊面�,限制網(wǎng)絡(luò)上的橫向移動,并且可以避免其他連接的系統(tǒng)�����。
從歷史上看�,組織一直受到外圍防火墻以及建筑安全等物理訪問的保護���,因此信任邊界在物理上和隱式上都緊密一致���。 里面的東西受到保護����,不受外界的影響����。 然而,隨著物聯(lián)網(wǎng)技術(shù)����、集成供應(yīng)鏈、共享采購模式和隨時隨地工作的快速采用��,信任的邊界日益破裂��。 隨著網(wǎng)絡(luò)風(fēng)險越來越大�����,這種方法需要不斷發(fā)展����。
在零信任概念的情況下,信任是動態(tài)的�,不再是假設(shè)的——即使在網(wǎng)絡(luò)內(nèi)也是如此。 相反��,該結(jié)構(gòu)假設(shè)系統(tǒng)中已經(jīng)存在攻擊者。 第一步是網(wǎng)絡(luò)訪問控制 (NAC) — 識別對象并對連接的用戶進行身份驗證�。 第一級宏觀分段是根據(jù)這些因素設(shè)置的,并使用不同類別的對象和用戶之間的防火墻過濾流量�。 例如,您可以隔離監(jiān)控攝像頭和建筑管理傳感器�����。
從那里開始�,第二級過濾位于段內(nèi)并且基于識別。 第二步可以細(xì)化和實現(xiàn)微分段���,例如防止監(jiān)控攝像頭在同一網(wǎng)段內(nèi)相互通信�����,只允許流量流向網(wǎng)絡(luò)錄像機(NVR)���。
零信任的好處
通過微觀和宏觀細(xì)分的智能組合,零信任方法圍繞每個用戶和對象構(gòu)建了受限的移動安全邊界��。 然后�,組織可以管理 NAC����、定義不同的授權(quán)并通過強大的安全策略保護和遏制威脅����。 同樣重要的是����,組織必須假設(shè)系統(tǒng)已被破壞,監(jiān)控入侵并制定有效的響應(yīng)策略——這是《澳大利亞網(wǎng)絡(luò)安全原則》中提倡的方法����。
網(wǎng)絡(luò)攻擊現(xiàn)在不可避免,組織可能面臨巨大的聲譽和財務(wù)損失�����。 澳大利亞最近發(fā)生的備受矚目的數(shù)據(jù)泄露事件��,包括 Optus 和 Medibank 泄露事件�����,已經(jīng)暴露了數(shù)百萬條客戶記錄����,包括個人身份信息 (PII) 和敏感的個人健康數(shù)據(jù)�。 兩家公司目前都面臨集體訴訟���,公開報價的風(fēng)險成本分別為 1.4 億澳元和 4500 萬澳元���。 通過在允許網(wǎng)絡(luò)訪問之前對每個設(shè)備和用戶進行身份驗證和身份驗證,網(wǎng)絡(luò)分段極大地限制了攻擊的范圍和傳播���。
零信任的五個步驟
從頭開始構(gòu)建零信任網(wǎng)絡(luò)并不太復(fù)雜�。 然而���,由于大多數(shù)組織已經(jīng)擁有現(xiàn)有的基礎(chǔ)設(shè)施�����,因此面臨的挑戰(zhàn)是確保棕地和綠地網(wǎng)絡(luò)與安全元素之間采用和諧的方法和有效集成�����,以滿足組織的需求��,同時確保其免受攻擊��。
以下是采用零信任方法實現(xiàn)網(wǎng)絡(luò)安全的五步方法:
1. 監(jiān)控:識別所有設(shè)備�����、外圍設(shè)備和連接的設(shè)備(從平板電腦到 Wi-Fi 吸塵器)并對所有有權(quán)訪問網(wǎng)絡(luò)的員工進行身份驗證��。 系統(tǒng)會自動創(chuàng)建并填充對象清單����。
2. 驗證:檢查所有連接的設(shè)備并評估當(dāng)前授予的訪問權(quán)限與實際需要的訪問權(quán)限�����。 應(yīng)用最小權(quán)限原則:授予執(zhí)行任務(wù)所需的最小權(quán)限��。 如果現(xiàn)有網(wǎng)絡(luò)顯示不合規(guī)設(shè)備����,請實施恢復(fù)或補救計劃。
3. 規(guī)劃:基于對設(shè)備��、工作流程和生成流量的了解�,將這些數(shù)據(jù)轉(zhuǎn)化為智能結(jié)合宏觀分段(輸入/輸出控制)和微觀分段(細(xì)粒度安全規(guī)則)的安全策略。
4. 模擬:在“故障開放”模式下應(yīng)用并行識別�、認(rèn)證和安全策略:所有設(shè)備都將被授權(quán),網(wǎng)絡(luò)行為將被記錄和索引,以設(shè)置授權(quán)方案和適應(yīng)的網(wǎng)絡(luò)安全策略���。 這一關(guān)鍵步驟完善了安全策略�����,同時確保正?�;顒硬皇苡绊?��。
5. 強制:在最后一步中,“失敗打開”變?yōu)椤笆£P(guān)閉”:不容忍身份驗證失?���。?拒絕所有未引用的用戶或設(shè)備��,并停止所有非法流量��。 網(wǎng)絡(luò)監(jiān)控會持續(xù)進行��,以驗證所有設(shè)備是否已被識別�����。 用戶經(jīng)過身份驗證才能在網(wǎng)絡(luò)上獲得授權(quán),或者在進行安全檢查時可以被隔離���。
人類往往是組織網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)�,根據(jù) Forrester 的數(shù)據(jù)�����,亞太地區(qū)仍然是全球最常見的目標(biāo)區(qū)域�����。 因此�,持續(xù)驗證���、執(zhí)行�����,更重要的是�,在檢測到違規(guī)行為時迅速檢測和響應(yīng)比以往任何時候都更加重要����。
零信任既是一種身份驗證策略�����,也是整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施中一致的安全策略�,根據(jù)用戶和連接技術(shù)的需求實施�。 在日益復(fù)雜和互聯(lián)的世界中,零信任方法是保護您的網(wǎng)絡(luò)和業(yè)務(wù)用戶和資產(chǎn)的最可能的策略����。
圖文轉(zhuǎn)自千家網(wǎng)
