本文來(lái)自微信公眾號(hào)“GoUpSec”。
零信任的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問(wèn)控制,從而極大改善企業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)。與傳統(tǒng)的一次驗(yàn)證,到處訪問(wèn)(資源和設(shè)備)的安全控制不同,零信任針對(duì)每次訪問(wèn)都會(huì)進(jìn)行驗(yàn)證和授權(quán)(永不信任,始終驗(yàn)證)。
根據(jù)Okta 2022年發(fā)布的對(duì)700家公司的調(diào)查顯示,55%的組織已經(jīng)實(shí)施了零信任計(jì)劃(2021年為24%),97%的組織計(jì)劃在未來(lái)12至18個(gè)月內(nèi)實(shí)施零信任計(jì)劃。但是其他報(bào)告給出的數(shù)據(jù)似乎并不樂(lè)觀:根據(jù)Cybersecurity Insiders3月份發(fā)布的針對(duì)美國(guó)400名IT和網(wǎng)絡(luò)安全專(zhuān)業(yè)人員的調(diào)查,只有19%的美國(guó)企業(yè)已經(jīng)實(shí)施了零信任。根據(jù)Gartner的報(bào)告,只有不到1%的企業(yè)擁有成熟且可度量的零信任計(jì)劃,并且到2026年也將只有10%的企業(yè)擁有成熟的零信任計(jì)劃。
雖然零信任方法得到了企業(yè)的廣泛認(rèn)可,但需要警惕的是,零信任并不是萬(wàn)能藥。根據(jù)Gartner的預(yù)測(cè),到2026年,超過(guò)一半的網(wǎng)絡(luò)攻擊將針對(duì)零信任未覆蓋且無(wú)法防范的領(lǐng)域。Gartner分析師John Watts認(rèn)為:“零信任有兩個(gè)大問(wèn)題。一是覆蓋范圍,例如遺留技術(shù)或影子IT。第二大問(wèn)題是存在繞過(guò)零信任控制的攻擊。”
零信任無(wú)法防護(hù)的五個(gè)“盲區(qū)”
即便采用了零信任方法,也并不意味著所有企業(yè)安全問(wèn)題都能得到解決。零信任存在幾個(gè)盲點(diǎn),例如遺留系統(tǒng)、特權(quán)用戶(hù)、不受監(jiān)控的物聯(lián)網(wǎng)設(shè)備、第三方系統(tǒng),以及流程變更等管理問(wèn)題,具體如下:
1
遺留系統(tǒng)
并非所有系統(tǒng)和應(yīng)用程序都可以輕松更新到零信任框架。例如,許多遺留系統(tǒng)根本不具備所需條件。保險(xiǎn)經(jīng)紀(jì)公司PIB Group成立僅七年,但此后收購(gòu)了92家公司,其中大多數(shù)是也是保險(xiǎn)公司,員工人數(shù)從12人暴增到3500人。PIB Group的CISO Jason Ozin抱怨說(shuō):“我們正在收購(gòu)很多平臺(tái),但很多遺留系統(tǒng)的開(kāi)發(fā)人員已經(jīng)離職,且沒(méi)有提供適當(dāng)?shù)闹С帧?rdquo;
Ozin指出,甚至公司當(dāng)前的人力資源系統(tǒng)也不支持零信任。“它甚至不支持雙因素身份驗(yàn)證。即便它支持用戶(hù)名和密碼和IP白名單,但當(dāng)每個(gè)人都在家或其他遠(yuǎn)程位置工作時(shí),IP白名單并不是很有用。”
PIB Group開(kāi)始實(shí)施零信任時(shí),新冠疫情已經(jīng)結(jié)束,但這場(chǎng)疫情是推動(dòng)企業(yè)轉(zhuǎn)向零信任的主要?jiǎng)恿Α?ldquo;我的計(jì)劃是擺脫我們擁有的每一個(gè)遺留系統(tǒng),”Ozin說(shuō):“但是,實(shí)際上,這永遠(yuǎn)不會(huì)發(fā)生。六年后,如果我還在使用這些遺留系統(tǒng),我不會(huì)感到驚訝。”
“升級(jí)系統(tǒng)(適應(yīng)零信任)需要資源和預(yù)算,我們決定優(yōu)先對(duì)某些高風(fēng)險(xiǎn)項(xiàng)目采取這種做法。”Ozin說(shuō)道。
2
物聯(lián)網(wǎng)設(shè)備
Ozin表示,企業(yè)中有大量物聯(lián)網(wǎng)設(shè)備,很多都不在安全團(tuán)隊(duì)的視野范圍內(nèi)。例如當(dāng)?shù)剞k事處私自購(gòu)買(mǎi)和安裝的接入企業(yè)WiFi網(wǎng)絡(luò)的門(mén)禁系統(tǒng)。
由于所有WiFi網(wǎng)關(guān)都處于零信任狀態(tài),Ozin表示正在使用一種解決方法——為未經(jīng)批準(zhǔn)的設(shè)備建立一個(gè)單獨(dú)的網(wǎng)絡(luò),這些設(shè)備無(wú)法訪問(wèn)任何公司數(shù)據(jù)。PIB還擁有適當(dāng)?shù)墓ぞ?,可?duì)這些設(shè)備進(jìn)行審核,以確保只有經(jīng)過(guò)批準(zhǔn)的設(shè)備才能連接到主網(wǎng)絡(luò)。
Gartner的Watts認(rèn)同物聯(lián)網(wǎng)和OT會(huì)給公司帶來(lái)安全挑戰(zhàn)。“對(duì)這些設(shè)備和系統(tǒng)實(shí)施零信任更加困難。對(duì)機(jī)器身份的防護(hù)很薄弱。”他說(shuō):“如果沒(méi)有用戶(hù),那么就沒(méi)有用戶(hù)帳戶(hù)。沒(méi)有好的方法來(lái)驗(yàn)證網(wǎng)絡(luò)上是否存在某些資產(chǎn)。這成為一個(gè)很棘手的問(wèn)題。”
Watts表示,一些公司會(huì)將物聯(lián)網(wǎng)和OT排除在零信任范圍之外,因?yàn)樗麄儫o(wú)法解決這個(gè)問(wèn)題。不過(guò),他表示,一些安全廠商將幫助企業(yè)保護(hù)這些系統(tǒng)的安全。事實(shí)上,Gartner發(fā)布了一份保護(hù)網(wǎng)絡(luò)物理系統(tǒng)安全的市場(chǎng)指南(https://www.tenable.com/analyst-research/2023-gartner-market-guide-for-cps-protection-platforms),其中包括Armis、Claroty和Dragos等廠商的產(chǎn)品。
“但是一旦你實(shí)施了這些技術(shù),你就必須更加信任供應(yīng)商。如果這些供應(yīng)商有自己的漏洞和弱點(diǎn),攻擊者就會(huì)找到弱點(diǎn)。”Watts指出。
3
特權(quán)訪問(wèn)
內(nèi)部威脅風(fēng)險(xiǎn)是所有公司面臨的問(wèn)題。如果擁有特權(quán)的內(nèi)部人員訪問(wèn)敏感資源,那么零信任方案也將形同虛設(shè)。
Gartner的Watts表示,內(nèi)部威脅是實(shí)施零信任控制后的主要?dú)堄囡L(fēng)險(xiǎn)。此外,受信任的內(nèi)部人員可能會(huì)被誘騙泄露數(shù)據(jù)或讓攻擊者通過(guò)社會(huì)工程進(jìn)入系統(tǒng)。內(nèi)部威脅和賬戶(hù)接管攻擊是零信任世界中仍然存在的兩種風(fēng)險(xiǎn)。
根據(jù)網(wǎng)絡(luò)安全內(nèi)部人士調(diào)查,47%的人表示,在部署零信任時(shí),員工訪問(wèn)權(quán)限過(guò)高是最大的挑戰(zhàn)。此外,10%的公司表示所有用戶(hù)都擁有超出其需要的訪問(wèn)權(quán)限,79%的公司表示部分或少數(shù)用戶(hù)擁有過(guò)多的訪問(wèn)權(quán)限,只有9%的公司表示沒(méi)有用戶(hù)擁有過(guò)多的訪問(wèn)權(quán)限。Dimensional Research的研究發(fā)現(xiàn),63%的公司報(bào)告在過(guò)去18個(gè)月內(nèi)存在與特權(quán)用戶(hù)或賬號(hào)直接相關(guān)的身份問(wèn)題。
零信任的另一個(gè)盲點(diǎn)是商業(yè)電子郵件泄露(BEC),即掌控公司資金的人被欺騙后將資金電匯給不法分子。商業(yè)電子郵件泄露可能會(huì)利用深度偽造技術(shù),但往往不會(huì)觸及任何零信任控制。為了解決這個(gè)問(wèn)題,企業(yè)應(yīng)該實(shí)施最小權(quán)限管理以及特權(quán)訪問(wèn)管理,限制用戶(hù)訪問(wèn),將損失降至最低。用戶(hù)和實(shí)體行為分析可以幫助檢測(cè)內(nèi)部威脅和帳戶(hù)接管攻擊。關(guān)鍵點(diǎn)是通過(guò)智能化技術(shù)降低誤報(bào)率,以免產(chǎn)生業(yè)務(wù)摩擦降低生產(chǎn)效率。
4
第三方服務(wù)
CloudFactory是一家人工智能數(shù)據(jù)公司,擁有600名員工和8000名按需“云工作者”。該公司安全運(yùn)營(yíng)主管Shayne Green透露該公司已完全采用零信任。
Green指出,雖然遠(yuǎn)程工作人員可以使用谷歌身份驗(yàn)證登錄,但仍然存在差距和盲點(diǎn)。一些關(guān)鍵的第三方服務(wù)提供商不支持單點(diǎn)登錄或安全斷言標(biāo)記語(yǔ)言(SAML)集成。這導(dǎo)致(第三方的)工作人員可以使用自己的用戶(hù)名和密碼從未經(jīng)批準(zhǔn)的設(shè)備登錄。
CloudFactory并不是唯一一家遇到此問(wèn)題的公司,而且供應(yīng)商安全威脅也不僅限于身份驗(yàn)證機(jī)制。例如,許多公司通過(guò)API將其系統(tǒng)暴露給第三方。企業(yè)在確定零信任部署的范圍時(shí),很容易忽視API。
Watts表示,企業(yè)可以采用零信任原則并將其應(yīng)用于API。這可以改善安全態(tài)勢(shì)——但作用有限。“您只能控制公開(kāi)并提供給第三方的接口。如果第三方?jīng)]有良好的控制,那么你通常也無(wú)法控制。當(dāng)?shù)谌介_(kāi)發(fā)了允許其用戶(hù)訪問(wèn)其數(shù)據(jù)的應(yīng)用程序時(shí),客戶(hù)端上的身份驗(yàn)證可能會(huì)成為問(wèn)題,有人可能會(huì)竊取會(huì)話(huà)令牌。
5
新技術(shù)和新應(yīng)用
根據(jù)今年Beyond Identity對(duì)美國(guó)500多名網(wǎng)絡(luò)安全專(zhuān)業(yè)人士進(jìn)行的調(diào)查,48%的受訪者表示,處理新應(yīng)用程序是實(shí)現(xiàn)零信任的第三大挑戰(zhàn)。除了新應(yīng)用,新流程也是零信任經(jīng)常面臨的挑戰(zhàn)。
全球咨詢(xún)公司Aarete技術(shù)解決方案部門(mén)總經(jīng)理約翰·凱里(JohnCarey)表示,一些公司不斷嘗試改進(jìn)流程并改善溝通流程。“這與數(shù)據(jù)信任的概念不一致,數(shù)據(jù)信任為數(shù)據(jù)自由移動(dòng)設(shè)置了障礙。”
Carey認(rèn)為,這意味著如果沒(méi)有正確實(shí)施或構(gòu)建零信任,生產(chǎn)力可能會(huì)受到影響??赡馨l(fā)生這種情況的領(lǐng)域之一是人工智能項(xiàng)目。越來(lái)越多的企業(yè)開(kāi)始創(chuàng)建專(zhuān)門(mén)針對(duì)其業(yè)務(wù)的定制、微調(diào)的人工智能模型,包括最近的生成式人工智能。
技術(shù)咨詢(xún)公司Star的技術(shù)總監(jiān)Martin Fix指出:“人工智能擁有的信息越多,它就越有用。對(duì)于人工智能,你希望它能夠訪問(wèn)一切。這就是人工智能的目的,但如果它被入侵,或者它開(kāi)始披露你不想泄露的信息,那就是一個(gè)嚴(yán)重的安全問(wèn)題。”
Fix指出,有一種新的攻擊方法,稱(chēng)為“提示詞攻擊”,惡意用戶(hù)試圖通過(guò)巧妙設(shè)計(jì)的提示詞(問(wèn)題)來(lái)欺騙人工智能泄露敏感信息,這也不是零信任能夠防御的攻擊。
總之,零信任面臨的根本問(wèn)題是它改變了公司的運(yùn)作方式。零信任廠商經(jīng)常會(huì)拍胸脯說(shuō)這很容易,只需在員工介入的地方加入一些邊緣安全措施即可。但事實(shí)上,這也許并不容易。畢馬威美國(guó)零信任負(fù)責(zé)人迪帕克·馬圖爾(Deepak Mathur)認(rèn)為,零信任的復(fù)雜性才剛剛開(kāi)始顯現(xiàn),這是零信任廠商從不談?wù)摰囊淮笕毕?。?dāng)企業(yè)實(shí)施零信任技術(shù)時(shí),必須更改流程,人們總是想當(dāng)然地認(rèn)為這些更改后的流程會(huì)正常運(yùn)轉(zhuǎn)。