持續擴大的資安攻擊面
在現成錯綜複雜的網路環境、數位轉型的實現與持續加劇高張的資安威脅,傳統的IT防禦及資安策略面臨巨大的壓力。資安攻擊面不斷擴大、曾經界定好的安全邊界持續模糊消失。對企業組織及政府單位而言,零信任安全架構的施行已成各方共識。如何建構符合美國國家標準技術研究院(NIST)指引的相應零信任架構?
零信任是安全方法的根本轉變
零信任模型的基本理念是,您不應該自動信任內部或外部的任何事物,必須在授予訪問權限之前驗證試圖連接到您資源的一切 - 基於身份、情境關係和可信度。
零信任的三個關鍵原則如下:
我聽到您在敲門,但我能讓您進來嗎?
零信任的第一個原則是驗證每個要求訪問您環境中應用程式、數據或系統的用戶和設備的身份。如果您將應用程式、數據或系統替換為資源一詞,則可以將此原則替換為NIST零信任架構的前兩個原則。第一個原則定義了資源的概念,例如所有數據源和服務;第二個原則指出,無論網路位置如何,所有通信都需要得到安全保護,例如,每個訪問請求必須經過驗證。解決這個原則的首要任務是身份驗證,這是一個至關重要且基本的步驟,因為如果您不知道是誰在請求訪問,則無法有效地執行最小特權訪問。在過去的二十年中,我們在更強大的身份驗證機制和認證方面取得了顯著進展,以便組織可以更加自信地確認用戶的真實身份。但到目前為止,還沒有一個萬全之策,也就是說沒有一個適用於所有情況的單一解決方案,這意味著需要結合多種不同強度的認證機制來涵蓋所有用例。您需要問自己的問題是:“您是否為您的應用程式和服務應用適當程度的身份驗證,以平衡風險和便利性”?
為了幫助滿足零信任架構的第三個原則,我們建議機構考慮以下情況 - 假設一個駭客已經獲得了足夠權限來侵犯敏感系統。把自己放在他們的角度。他們會先偷取什麼?他們將如何偷取?你可以如何阻止他們?
在零信任架構中,身份驗證與存取管理系統 Identity, Credential, and Access Management (ICAM) 的兩個關鍵方面是「策略決策點」和「策略執行點」,一旦駭客獲得對環境的訪問權限,這兩個點將成為攻擊者的焦點。這些系統必須採用最嚴格的分層防禦模型來保護。考慮實施細粒度的訪問控制、欺騙技術、強化的身份驗證和廣泛的監控等工具。
此外,應該實施 UEBA(User and Entity Behavior Analytics)工具,以持續智能監控特權用戶和敏感數據的活動。當檢測到異常或高風險行為時,自動應用減緩措施以阻止攻擊,限制內部威脅和帳戶劫持攻擊的損害也是一個關鍵的方面。
最後,零信任要求持續驗證。NIST 零信任架構的第六個原則指出:“所有資源的身份驗證和授權都是動態的,在允許訪問之前嚴格執行。這是一個不斷獲取訪問權限、掃描和評估威脅、適應並不斷重新評估持續通信中的信任的過程…在用戶交易中持續進行監控,可能會進行重新驗證和重新授權。”
Broadcom Symantec 多年來致力於資安領域,提供零信任架構最完整的整合平台,從身份驗證的Symantec VIP 及VIP Authentication Hub所提供的身份、訪問管理與認證管理相關的產品系列。可幫助組織有效地保護和管理用戶身份,以及對數據和應用程式的訪問權限。到使用者存取管理 Symantec Secure Access Cloud,並可整合 Symantec Web Protect Suite 產品針對使用者上網行為透過Secure Web Gateway的控管,提昇組織安全性。再結合Symantec Endpoint Detection and Response (EDR) 從取得的使用者權限進行端點更完整的防護及控管,在組織的機敏性資料也可以透過Symantec Data Loss Prevention Product進行環境內機敏資料的保護,讓零信任架構延申更高層級的資安領域。從身份驗證、多因子驗證、訪問控制、權限管理、監控和安全審核等功能,以確保機構的資訊安全和隱私保護。
Comments