摒棄信任驗(yàn)證模式 走向零信任安全
2018年04月09日
再過(guò)一周�����,全球安全從業(yè)人員就將齊聚舊金山2018 RSA安全大會(huì)��,討論信息安全新技術(shù)和網(wǎng)絡(luò)攻擊抵御方法�����。與往年一樣��,屆時(shí)展廳將滿是最新技術(shù)����,從人工智能��、容器安全、威脅情報(bào)和威脅追捕到下一代終端安全���,令人眼花繚亂�。但這些新興技術(shù)真的能有效防御今天的動(dòng)態(tài)網(wǎng)絡(luò)威脅嗎?
Gartner預(yù)測(cè)�,2018全球網(wǎng)絡(luò)安全開(kāi)支將達(dá)960億美元,比2017年的890億美元上漲8%���。該數(shù)據(jù)反映出公司企業(yè)正向已有安全棧中融入新興技術(shù)以減小網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露面��。同時(shí)��,我們所經(jīng)歷的安全事件卻一直在增加����。于是��,投向安全的這些資金真的有起到效果嗎?
這一安全開(kāi)支悖論在最近的幾項(xiàng)研究中有所反映�����。比如說(shuō)���,道瓊斯客戶情報(bào)分析發(fā)現(xiàn)���,62%的CEO認(rèn)為惡意軟件是公司最大的威脅����。而另一份報(bào)告��,《2018 Scalar 安全調(diào)查》中����,受訪者認(rèn)為網(wǎng)絡(luò)安全(61%)或傳統(tǒng)終端防護(hù)(49%)比身份保障和訪問(wèn)控制(18%)更有效�。451 Research 的《2018 Thales 數(shù)據(jù)威脅報(bào)告》顯現(xiàn)了類(lèi)似的結(jié)果,網(wǎng)絡(luò)安全(83%)和終端安全(70%)被認(rèn)為是有效性最高的��。這不一致的結(jié)果反映出�����,對(duì)于哪種攻擊方法是企業(yè)的最大威脅���,會(huì)給安全帶來(lái)“身份危機(jī)”����,業(yè)內(nèi)目前缺乏共識(shí)����。
很多企業(yè)并沒(méi)有意識(shí)到到身份及訪問(wèn)管理在減小數(shù)據(jù)泄露風(fēng)險(xiǎn)上的作用���。對(duì)2017年重大數(shù)據(jù)泄露事件的事后分析揭示,被盜身份才是這些網(wǎng)絡(luò)攻擊的主要入口點(diǎn)����。事實(shí)上,81%的黑客相關(guān)安全事件都利用了或被盜�����、或默認(rèn)�、或較弱的口令。
這種局勢(shì)下���,公司企業(yè)需認(rèn)識(shí)到�����,重點(diǎn)保護(hù)終端和網(wǎng)絡(luò)的邊界安全方法并不能防護(hù)基于身份和憑證的威脅���。除非我們開(kāi)始采取以身份為中心的安全方法,否則賬戶盜竊攻擊將繼續(xù)為數(shù)據(jù)泄露提供完美掩護(hù)。
感覺(jué)以上言論尚不能說(shuō)服你轉(zhuǎn)向以身份為中心的安全方法?那我們不妨來(lái)看看這種安全方法都能避免掉哪些漏洞吧:
公司企業(yè)應(yīng)摒棄“信任但要驗(yàn)證”的傳統(tǒng)方法�,轉(zhuǎn)向零信任安全模型,假定網(wǎng)絡(luò)中的用戶并不比外部用戶可信�。
零信任安全模型的4個(gè)基本原則是:
1. 驗(yàn)證用戶
基于位置、設(shè)備和行為來(lái)評(píng)估用戶安全情況���,確定用戶是否是其所聲稱的身份��。采取恰當(dāng)?shù)拇胧?比如多因子身份驗(yàn)證)來(lái)確保用戶真實(shí)性。
2. 驗(yàn)證設(shè)備
無(wú)論是公司設(shè)備����、BYOD還是公共主機(jī)、筆記本電腦或移動(dòng)設(shè)備�����,基于設(shè)備身份和安全情況實(shí)施訪問(wèn)控制策略�����。只允許受信終端訪問(wèn)公司的資源��。
3. 限制訪問(wèn)與權(quán)限
如果用戶和設(shè)備通過(guò)了驗(yàn)證,對(duì)資源實(shí)施基于角色的訪問(wèn)控制模型�����,賦予其僅供完成當(dāng)次工作的最小權(quán)限�����,對(duì)特定應(yīng)用和基礎(chǔ)設(shè)施開(kāi)放有限時(shí)間的適時(shí)訪問(wèn)權(quán)�����。
4. 自適應(yīng)
各類(lèi)源(比如用戶��、其設(shè)備���、與之相關(guān)的所有活動(dòng))總在不斷產(chǎn)生信息��。利用機(jī)器學(xué)習(xí)來(lái)設(shè)置上下文相關(guān)訪問(wèn)策略��,自動(dòng)調(diào)整并適應(yīng)策略�。
零信任安全模型為實(shí)現(xiàn)身份與訪問(wèn)管理策略提供了非常程序化的藍(lán)圖��,可以保護(hù)企業(yè)內(nèi)部及云端的應(yīng)用��、設(shè)備、數(shù)據(jù)和基礎(chǔ)設(shè)施的安全�����。因?yàn)榱阈湃尾⒎欠谴思幢说姆椒?,它可?yīng)用在不同的階段。采用此模型����,公司企業(yè)最終能發(fā)揮自身安全投資的最大效益,更好地保護(hù)自身不受數(shù)據(jù)泄露侵害�。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)����、動(dòng)漫設(shè)計(jì)�����、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”��、“制度流程”�����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�����、可信的方案����,業(yè)務(wù)涵蓋咨詢、評(píng)估�����、規(guī)劃�、管控、建設(shè)�、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
