摒棄信任驗證模式 走向零信任安全
2018年04月09日
再過一周,全球安全從業(yè)人員就將齊聚舊金山2018 RSA安全大會�����,討論信息安全新技術和網絡攻擊抵御方法���。與往年一樣��,屆時展廳將滿是最新技術�,從人工智能���、容器安全�、威脅情報和威脅追捕到下一代終端安全�,令人眼花繚亂。但這些新興技術真的能有效防御今天的動態(tài)網絡威脅嗎?
Gartner預測���,2018全球網絡安全開支將達960億美元����,比2017年的890億美元上漲8%����。該數(shù)據反映出公司企業(yè)正向已有安全棧中融入新興技術以減小網絡風險暴露面。同時��,我們所經歷的安全事件卻一直在增加����。于是,投向安全的這些資金真的有起到效果嗎?
這一安全開支悖論在最近的幾項研究中有所反映���。比如說��,道瓊斯客戶情報分析發(fā)現(xiàn)���,62%的CEO認為惡意軟件是公司最大的威脅����。而另一份報告�,《2018 Scalar 安全調查》中,受訪者認為網絡安全(61%)或傳統(tǒng)終端防護(49%)比身份保障和訪問控制(18%)更有效����。451 Research 的《2018 Thales 數(shù)據威脅報告》顯現(xiàn)了類似的結果,網絡安全(83%)和終端安全(70%)被認為是有效性最高的���。這不一致的結果反映出���,對于哪種攻擊方法是企業(yè)的最大威脅,會給安全帶來“身份危機”�,業(yè)內目前缺乏共識。
很多企業(yè)并沒有意識到到身份及訪問管理在減小數(shù)據泄露風險上的作用�����。對2017年重大數(shù)據泄露事件的事后分析揭示,被盜身份才是這些網絡攻擊的主要入口點��。事實上�����,81%的黑客相關安全事件都利用了或被盜�����、或默認����、或較弱的口令�����。
這種局勢下�����,公司企業(yè)需認識到��,重點保護終端和網絡的邊界安全方法并不能防護基于身份和憑證的威脅。除非我們開始采取以身份為中心的安全方法���,否則賬戶盜竊攻擊將繼續(xù)為數(shù)據泄露提供完美掩護����。
感覺以上言論尚不能說服你轉向以身份為中心的安全方法?那我們不妨來看看這種安全方法都能避免掉哪些漏洞吧:
公司企業(yè)應摒棄“信任但要驗證”的傳統(tǒng)方法����,轉向零信任安全模型,假定網絡中的用戶并不比外部用戶可信�����。
零信任安全模型的4個基本原則是:
1. 驗證用戶
基于位置�����、設備和行為來評估用戶安全情況���,確定用戶是否是其所聲稱的身份�����。采取恰當?shù)拇胧?比如多因子身份驗證)來確保用戶真實性���。
2. 驗證設備
無論是公司設備�����、BYOD還是公共主機����、筆記本電腦或移動設備����,基于設備身份和安全情況實施訪問控制策略�����。只允許受信終端訪問公司的資源��。
3. 限制訪問與權限
如果用戶和設備通過了驗證���,對資源實施基于角色的訪問控制模型����,賦予其僅供完成當次工作的最小權限,對特定應用和基礎設施開放有限時間的適時訪問權��。
4. 自適應
各類源(比如用戶�����、其設備�����、與之相關的所有活動)總在不斷產生信息�����。利用機器學習來設置上下文相關訪問策略�,自動調整并適應策略���。
零信任安全模型為實現(xiàn)身份與訪問管理策略提供了非常程序化的藍圖�����,可以保護企業(yè)內部及云端的應用�、設備����、數(shù)據和基礎設施的安全����。因為零信任并非非此即彼的方法�����,它可應用在不同的階段�。采用此模型,公司企業(yè)最終能發(fā)揮自身安全投資的最大效益��,更好地保護自身不受數(shù)據泄露侵害�����。
江蘇國駿信息科技有限公司在信息網絡安全��、運維平臺建設��、動漫設計�����、軟件研發(fā)����、數(shù)據中心領域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�、“制度流程”�、“技術產品”三個視角提供全面、可信的方案�����,業(yè)務涵蓋咨詢��、評估���、規(guī)劃�、管控�����、建設�����、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商��。
