采取零信任并不是抵御网络攻击的万无一失的方法。攻击者不断地寻找新的方法来绕过零信任,这种情况经常发生,因为在使用零信任时并没有考虑到企业环境中的所有东西,被忽视的风险包括遗留系统、未受监控的物联网设备或特权访问滥用。
零信任是一种网络安全范例 —— 实际上是一种哲学 —— 在这种范例中,每一个用户、每一台设备、每一条消息都被认为是不可信的,除非有其他证明,这是对旧的基于边界的方法的替代,在这种方法中,外部的东西是不可信的,而企业网络内部的东西自动被认为是值得信任的,换句话说,企业有一个坚硬的外壳和一个柔软而粘稠的中心。
在这个边界无处不在的时代,员工在家和在办公室的可能性一样大,计算资源分散在多个数据中心、云和其他第三方,旧的方法不再起作用,零信任是这个问题的现代答案,所有人都上船了。根据 Okta 2022 年发布的一项针对 700 家公司的调查,55% 的企业已经实施了零信任计划,高于 2021 年的 24%,97% 的企业计划在未来 12 至 18 个月内实施零信任计划。
零信任不是灵丹妙药,根据 Gartner 的预测,到 2026 年,超过一半的网络攻击将针对零信任没有覆盖和无法防范的领域。“零信任有两个大问题,一个是范围,比如遗留技术,或影子 IT,第二个大问题是,有一些攻击绕过了零信任控制。
根据 3 月份发布的一项针对美国 400 名 IT 和网络安全专业人士的网络安全内部调查,只有 19% 的企业已经实施了零信任。与此同时,30% 的人表示项目正在进行中,38% 的人表示仍处于规划阶段。这些估计可能过于乐观了。根据 Gartner 的数据,只有不到 1% 的企业拥有成熟且可衡量的零信任计划,到 2026 年将只有 10% 的企业会有这样的计划。
即使零信任已经推出,也并不意味着所有的安全问题都得到了解决。零信任有几个盲点,包括不是为零信任而设计的遗留系统、做不应该做的事情的特权用户、不受监控的物联网设备、第三方系统,当然,还有持续存在的变化管理问题。
仅靠零信任不能保护企业的 5 个领域
并不是所有的系统和应用程序都可以轻松地更新为零信任原则。例如,许多遗留系统就是不具备所需的条件。保险经纪公司 PIB Group 成立仅七年,但自那以来已收购了 92 家其他公司,其中大多数是其他保险公司。员工人数从 12 人增加到 3500 人。CISO 杰森・奥津告诉记者:“我们正在收购很多平台,这些平台都是由他们的堂兄编写的,他们的堂兄去了另一份工作,没有适当地支持他们。”
Ozin 说,即使是公司目前的人力资源系统也不支持零信任。它甚至不会支持双因素 [身份验证]。它将支持用户名和密码。它将支持 IP 白名单。但当每个人都在家里或其他远程地点工作时,IP 白名单并不是很有用。
该公司即将改用新的人力资源系统,但其他系统无法快速更换。在它们出现之前,Ozin 已经有了一个变通办法。“我们所能做的就是用零信任的包装来包装它。你会被认证的。你是从我们认识的地方来的吗?你用的是双因素吗?“。一旦处理了身份验证,包装器才会将流量传递到遗留系统。遗留系统 -- 例如当前的人力资源系统 -- 将检查 IP 地址,以确保它来自零信任平台。Ozin 说,一些遗留系统太糟糕了,他们甚至没有用户名和密码。“但除非通过看门人,否则没有人能进入。”
大流行是转向零信任的主要动机,该公司的快速增长也是如此,尽管当 PIB 开始推出零信任时,大流行已经结束。“我的计划是摆脱我们拥有的每一个遗留系统,”Ozin 说。但在现实中,这永远不会发生。六年后,如果我还在经营它,我不会感到惊讶。
但升级所有东西都需要资源和资金。“我们已经决定从某些高风险的项目开始,” 他说。
Ozin 说,企业中有大量的物联网设备,“我有我甚至不知道的物联网。” 这是一个问题,特别是当当地办公室决定在没有事先与任何人交谈的情况下安装门禁系统时。“他们正在安装,那个人说,‘我能拿到网络的 WiFi 接入密钥吗?’有人可能会把它给他们。“奥津说。
在对所有 WiFi 网关没有零信任的情况下,该公司正在使用一种变通办法 -- 对无法访问任何公司数据的未经批准的设备使用单独的网络。PIB 也有适当的工具,让他们进行审计,以确保只有经过批准的设备才能连接到主网络。
Gartner 的瓦茨也认为,物联网和 OT 可能会给公司带来安全挑战。“对于那些设备和系统来说,实施零信任的姿态更加困难。他们对身份的保证较少。如果没有用户,那么就没有用户账户,他说。“没有好的方法来验证网络上是否应该有东西。这成了一个很难解决的问题。
瓦茨说,一些公司会将物联网和 OT 排除在零信任范围之外,因为它们无法解决这个问题。然而,他说,一些供应商将帮助公司确保这些系统的安全。事实上,Gartner 已经发布了一份保护网络物理系统安全的市场指南,其中包括 Armis、Claroty 和 Dragos。但一旦你实施了这些技术,你就必须对供应商给予更多信任。如果他们有自己的漏洞和挑战,攻击者就会找到弱点,“瓦茨告诉记者。
内部人威胁风险是所有公司都面临的问题。在特权内部人员可能拥有访问敏感资源的有效权限的情况下,零信任将无济于事,因为该员工是受信任的。
Ozin 说,其他技术可以降低风险。“某人可能拥有所有的特权,但他们会在凌晨 3 点突然出现在互联网上吗?” 你可以把行为分析放在零信任旁边,以捕捉到这一点。我们使用它作为 EDR [端点检测和响应] 的一部分,并作为我们 Okta 登录的一部分。我们还有一个防止数据丢失的计划 -- 他们是不是在通常不打印任何东西的情况下进行 60 页的打印?
Gartner 的瓦茨表示,在实施零信任控制后,内部威胁是一个主要的残余风险。此外,受信任的内部人士可能会被社会工程欺骗,泄露数据或允许攻击者进入系统。他表示:“在一个完美的零信任世界里,仍然存在的两个风险是内部威胁和账户接管攻击。”
然后是商业电子邮件泄露,有权获得公司资金的人被愚弄,将资金发送给坏人。瓦茨说:“商业电子邮件的泄密可能是一种深深的虚假,它会打电话给企业的一名成员,让他们把钱汇到另一个账户。”“而这一切实际上都没有触及到你的任何零信任控制。” 为了解决这一问题,公司应该限制用户访问,以便在他们受到攻击时将损害降至最低。他表示:“有了特权账户,这很难做到。” 用户和实体行为分析可帮助检测内部威胁和帐户接管攻击。关键是智能地部署这项技术,这样误报就不会阻止某人完全履行他们的职责。
例如,异常活动可能触发自适应控制,如将访问权限更改为只读,或阻止访问最敏感的应用程序。公司需要确保他们不会给太多的用户太多的访问权限。这不仅仅是一个技术问题。你必须有人和流程来支持它。
根据网络安全内部人士的调查,47% 的人表示,当涉及到部署零信任时,过度特权的员工访问是最大的挑战。此外,10% 的公司表示,所有用户的访问权限都超过了他们的需要,79% 的公司表示部分或少数用户这样做,只有 9% 的公司表示没有用户访问权限太多。代表 BeyondTrust 进行的一项 Dimensional Research 研究发现,63% 的公司报告在过去 18 个月中遇到过与特权用户或凭据直接相关的身份问题。
CloudFactory 是一家 AI 数据公司,拥有 600 名员工和 8000 名按需 “云工人”。该公司安全运营负责人肖恩・格林告诉记者,该公司完全采用了零信任。“我们必须这么做,因为我们支持的用户数量太多了。”
格林说,远程员工使用谷歌身份验证登录,公司可以通过该身份验证应用其安全策略,但存在差距。一些关键的第三方服务提供商不支持单点登录或安全断言标记语言集成。因此,员工可以使用自己的用户名和密码从未经批准的设备登录,他说。“那么就没有什么能阻止他们走出我们的视线。” 格林说,技术供应商意识到这是一个问题,但他们落后了,他们需要加快步伐。
CloudFactory 并不是唯一一家在这方面有问题的公司,但供应商的安全问题不仅仅是供应商使用的身份验证机制。例如,许多公司通过 API 将其系统暴露给第三方。在确定零信任部署的范围时,很容易忽略 API。
瓦茨说,你可以采用零信任原则,并将其应用于 API。这可以带来更好的安全态势 -- 但只能在一定程度上。“您只能控制您公开并提供给第三方的接口。如果第三方没有很好的控制,这是你通常无法控制的事情。当第三方创建的应用程序允许他们的用户访问他们的数据时,客户端的身份验证可能会成为一个问题。“如果它不是非常强大,有人可能会窃取会话令牌,” 瓦茨说。
公司可以审计其第三方提供商,但审计通常是一次性检查或临时执行。另一种选择是部署分析,这种分析可以检测正在做的事情何时未获批准。它提供了检测异常事件的能力。瓦茨说,被利用的 API 中的一个缺陷可能会表现为一个这样的异常事件。
根据 Beyond Identity 今年对美国 500 多名网络安全专业人士的调查,48% 的受访者表示,处理新申请是实现零信任的第三大挑战。添加新的应用程序并不是公司可能想要对其系统进行的唯一更改。全球咨询公司 AArete 的技术解决方案部门董事总经理约翰・凯里表示,一些公司一直在努力改善流程和沟通流程。这与数据信任的概念不符,后者为数据的自由流动设置了障碍。
凯里说,这意味着如果零信任没有得到正确的实施或架构,可能会对生产率造成打击。这种情况可能发生的一个领域是 AI 项目。公司有越来越多的选择来创建特定于其业务的定制的、微调的 AI 模型,包括最近的 AIGC。
AI 拥有的信息越多,它就越有用。有了 AI,你希望它可以访问一切。这就是 AI 的目的,但如果它被攻破,你就有问题了。如果它开始泄露你不想要的东西,那就是一个问题。“科技咨询公司 Star 的技术总监马丁・菲克斯告诉记者。
Fix 说,现在有了一种新的攻击媒介,称为 “即时黑客”,恶意用户试图通过巧妙地措辞他们提出的问题来欺骗 AI 告诉他们更多不应该告诉他们的信息。他说,一种解决方案是避免对一般用途的 AI 机构进行敏感信息方面的培训。取而代之的是,这些数据可以保持独立,并建立一个访问控制系统,检查提出问题的用户是否被允许访问这些数据。“结果可能不如不受控制的 AI。这需要更多的资源和更多的管理。
这里的根本问题是,零信任改变了公司的运作方式。“安全厂商说这很容易。只要在你的人进来的地方增加一些边缘安全就行了。不,这并不容易,零信任的复杂性才刚刚开始显现。“毕马威的美国零信任负责人迪帕克・马图尔告诉记者。这是零信任从未提及的一大缺陷,他说。当公司实施零信任技术时,必须发生一些流程变化。相反,很多时候,人们理所当然地认为人们会修复流程。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安