零信任在企業(yè)中的5個(gè)盲點(diǎn)

責(zé)任編輯:cres

作者:Korolov

2023-09-15 10:22:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

隨著零信任越來越多地被采用,CISO必須查看整個(gè)企業(yè)中所有可能的盲點(diǎn),無論是不受監(jiān)控的物聯(lián)網(wǎng)設(shè)備還是第三方系統(tǒng),以確保攻擊者無法找到進(jìn)入的途徑。

采取零信任并不是抵御網(wǎng)絡(luò)攻擊的萬無一失的方法。攻擊者不斷地尋找新的方法來繞過零信任,這種情況經(jīng)常發(fā)生,因?yàn)樵谑褂昧阈湃螘r(shí)并沒有考慮到企業(yè)環(huán)境中的所有東西,被忽視的風(fēng)險(xiǎn)包括遺留系統(tǒng)、未受監(jiān)控的物聯(lián)網(wǎng)設(shè)備或特權(quán)訪問濫用。
 
零信任是一種網(wǎng)絡(luò)安全范例——實(shí)際上是一種哲學(xué)——在這種范例中,每一個(gè)用戶、每一臺(tái)設(shè)備、每一條消息都被認(rèn)為是不可信的,除非有其他證明,這是對(duì)舊的基于邊界的方法的替代,在這種方法中,外部的東西是不可信的,而企業(yè)網(wǎng)絡(luò)內(nèi)部的東西自動(dòng)被認(rèn)為是值得信任的,換句話說,企業(yè)有一個(gè)堅(jiān)硬的外殼和一個(gè)柔軟而粘稠的中心。
 
在這個(gè)邊界無處不在的時(shí)代,員工在家和在辦公室的可能性一樣大,計(jì)算資源分散在多個(gè)數(shù)據(jù)中心、云和其他第三方,舊的方法不再起作用,零信任是這個(gè)問題的現(xiàn)代答案,所有人都上船了。根據(jù)Okta 2022年發(fā)布的一項(xiàng)針對(duì)700家公司的調(diào)查,55%的企業(yè)已經(jīng)實(shí)施了零信任計(jì)劃,高于2021年的24%,97%的企業(yè)計(jì)劃在未來12至18個(gè)月內(nèi)實(shí)施零信任計(jì)劃。
 
零信任不是靈丹妙藥,根據(jù)Gartner的預(yù)測(cè),到2026年,超過一半的網(wǎng)絡(luò)攻擊將針對(duì)零信任沒有覆蓋和無法防范的領(lǐng)域。“零信任有兩個(gè)大問題,一個(gè)是范圍,比如遺留技術(shù),或影子IT,第二個(gè)大問題是,有一些攻擊繞過了零信任控制。
 
企業(yè)在部署零信任方面進(jìn)展緩慢
 
根據(jù)3月份發(fā)布的一項(xiàng)針對(duì)美國400名IT和網(wǎng)絡(luò)安全專業(yè)人士的網(wǎng)絡(luò)安全內(nèi)部調(diào)查,只有19%的企業(yè)已經(jīng)實(shí)施了零信任。與此同時(shí),30%的人表示項(xiàng)目正在進(jìn)行中,38%的人表示仍處于規(guī)劃階段。這些估計(jì)可能過于樂觀了。根據(jù)Gartner的數(shù)據(jù),只有不到1%的企業(yè)擁有成熟且可衡量的零信任計(jì)劃,到2026年將只有10%的企業(yè)會(huì)有這樣的計(jì)劃。
 
即使零信任已經(jīng)推出,也并不意味著所有的安全問題都得到了解決。零信任有幾個(gè)盲點(diǎn),包括不是為零信任而設(shè)計(jì)的遺留系統(tǒng)、做不應(yīng)該做的事情的特權(quán)用戶、不受監(jiān)控的物聯(lián)網(wǎng)設(shè)備、第三方系統(tǒng),當(dāng)然,還有持續(xù)存在的變化管理問題。
 
僅靠零信任不能保護(hù)企業(yè)的5個(gè)領(lǐng)域
 
1.遺留系統(tǒng)
 
并不是所有的系統(tǒng)和應(yīng)用程序都可以輕松地更新為零信任原則。例如,許多遺留系統(tǒng)就是不具備所需的條件。保險(xiǎn)經(jīng)紀(jì)公司PIB Group成立僅七年,但自那以來已收購了92家其他公司,其中大多數(shù)是其他保險(xiǎn)公司。員工人數(shù)從12人增加到3500人。CISO杰森·奧津告訴記者:“我們正在收購很多平臺(tái),這些平臺(tái)都是由他們的堂兄編寫的,他們的堂兄去了另一份工作,沒有適當(dāng)?shù)刂С炙麄儭?rdquo;
 
Ozin說,即使是公司目前的人力資源系統(tǒng)也不支持零信任。它甚至不會(huì)支持雙因素[身份驗(yàn)證]。它將支持用戶名和密碼。它將支持IP白名單。但當(dāng)每個(gè)人都在家里或其他遠(yuǎn)程地點(diǎn)工作時(shí),IP白名單并不是很有用。
 
該公司即將改用新的人力資源系統(tǒng),但其他系統(tǒng)無法快速更換。在它們出現(xiàn)之前,Ozin已經(jīng)有了一個(gè)變通辦法。“我們所能做的就是用零信任的包裝來包裝它。你會(huì)被認(rèn)證的。你是從我們認(rèn)識(shí)的地方來的嗎?你用的是雙因素嗎?“。一旦處理了身份驗(yàn)證,包裝器才會(huì)將流量傳遞到遺留系統(tǒng)。遺留系統(tǒng)--例如當(dāng)前的人力資源系統(tǒng)--將檢查IP地址,以確保它來自零信任平臺(tái)。Ozin說,一些遺留系統(tǒng)太糟糕了,他們甚至沒有用戶名和密碼。“但除非通過看門人,否則沒有人能進(jìn)入。”
 
大流行是轉(zhuǎn)向零信任的主要?jiǎng)訖C(jī),該公司的快速增長也是如此,盡管當(dāng)PIB開始推出零信任時(shí),大流行已經(jīng)結(jié)束。“我的計(jì)劃是擺脫我們擁有的每一個(gè)遺留系統(tǒng),”Ozin說。但在現(xiàn)實(shí)中,這永遠(yuǎn)不會(huì)發(fā)生。六年后,如果我還在經(jīng)營它,我不會(huì)感到驚訝。
 
但升級(jí)所有東西都需要資源和資金。“我們已經(jīng)決定從某些高風(fēng)險(xiǎn)的項(xiàng)目開始,”他說。
 
2.物聯(lián)網(wǎng)設(shè)備
 
Ozin說,企業(yè)中有大量的物聯(lián)網(wǎng)設(shè)備,“我有我甚至不知道的物聯(lián)網(wǎng)。”這是一個(gè)問題,特別是當(dāng)當(dāng)?shù)剞k公室決定在沒有事先與任何人交談的情況下安裝門禁系統(tǒng)時(shí)。“他們正在安裝,那個(gè)人說,‘我能拿到網(wǎng)絡(luò)的WiFi接入密鑰嗎?’有人可能會(huì)把它給他們。“奧津說。
 
在對(duì)所有WiFi網(wǎng)關(guān)沒有零信任的情況下,該公司正在使用一種變通辦法--對(duì)無法訪問任何公司數(shù)據(jù)的未經(jīng)批準(zhǔn)的設(shè)備使用單獨(dú)的網(wǎng)絡(luò)。PIB也有適當(dāng)?shù)墓ぞ?,讓他們進(jìn)行審計(jì),以確保只有經(jīng)過批準(zhǔn)的設(shè)備才能連接到主網(wǎng)絡(luò)。
 
Gartner的瓦茨也認(rèn)為,物聯(lián)網(wǎng)和OT可能會(huì)給公司帶來安全挑戰(zhàn)。“對(duì)于那些設(shè)備和系統(tǒng)來說,實(shí)施零信任的姿態(tài)更加困難。他們對(duì)身份的保證較少。如果沒有用戶,那么就沒有用戶賬戶,他說。“沒有好的方法來驗(yàn)證網(wǎng)絡(luò)上是否應(yīng)該有東西。這成了一個(gè)很難解決的問題。
 
瓦茨說,一些公司會(huì)將物聯(lián)網(wǎng)和OT排除在零信任范圍之外,因?yàn)樗鼈儫o法解決這個(gè)問題。然而,他說,一些供應(yīng)商將幫助公司確保這些系統(tǒng)的安全。事實(shí)上,Gartner已經(jīng)發(fā)布了一份保護(hù)網(wǎng)絡(luò)物理系統(tǒng)安全的市場(chǎng)指南,其中包括Armis、Claroty和Dragos。但一旦你實(shí)施了這些技術(shù),你就必須對(duì)供應(yīng)商給予更多信任。如果他們有自己的漏洞和挑戰(zhàn),攻擊者就會(huì)找到弱點(diǎn),“瓦茨告訴記者。
 
3.特權(quán)訪問
 
內(nèi)部人威脅風(fēng)險(xiǎn)是所有公司都面臨的問題。在特權(quán)內(nèi)部人員可能擁有訪問敏感資源的有效權(quán)限的情況下,零信任將無濟(jì)于事,因?yàn)樵搯T工是受信任的。
 
Ozin說,其他技術(shù)可以降低風(fēng)險(xiǎn)。“某人可能擁有所有的特權(quán),但他們會(huì)在凌晨3點(diǎn)突然出現(xiàn)在互聯(lián)網(wǎng)上嗎?”你可以把行為分析放在零信任旁邊,以捕捉到這一點(diǎn)。我們使用它作為EDR[端點(diǎn)檢測(cè)和響應(yīng)]的一部分,并作為我們Okta登錄的一部分。我們還有一個(gè)防止數(shù)據(jù)丟失的計(jì)劃--他們是不是在通常不打印任何東西的情況下進(jìn)行60頁的打印?
 
Gartner的瓦茨表示,在實(shí)施零信任控制后,內(nèi)部威脅是一個(gè)主要的殘余風(fēng)險(xiǎn)。此外,受信任的內(nèi)部人士可能會(huì)被社會(huì)工程欺騙,泄露數(shù)據(jù)或允許攻擊者進(jìn)入系統(tǒng)。他表示:“在一個(gè)完美的零信任世界里,仍然存在的兩個(gè)風(fēng)險(xiǎn)是內(nèi)部威脅和賬戶接管攻擊。”
 
然后是商業(yè)電子郵件泄露,有權(quán)獲得公司資金的人被愚弄,將資金發(fā)送給壞人。瓦茨說:“商業(yè)電子郵件的泄密可能是一種深深的虛假,它會(huì)打電話給企業(yè)的一名成員,讓他們把錢匯到另一個(gè)賬戶。”“而這一切實(shí)際上都沒有觸及到你的任何零信任控制。”為了解決這一問題,公司應(yīng)該限制用戶訪問,以便在他們受到攻擊時(shí)將損害降至最低。他表示:“有了特權(quán)賬戶,這很難做到。”用戶和實(shí)體行為分析可幫助檢測(cè)內(nèi)部威脅和帳戶接管攻擊。關(guān)鍵是智能地部署這項(xiàng)技術(shù),這樣誤報(bào)就不會(huì)阻止某人完全履行他們的職責(zé)。
 
例如,異?;顒?dòng)可能觸發(fā)自適應(yīng)控制,如將訪問權(quán)限更改為只讀,或阻止訪問最敏感的應(yīng)用程序。公司需要確保他們不會(huì)給太多的用戶太多的訪問權(quán)限。這不僅僅是一個(gè)技術(shù)問題。你必須有人和流程來支持它。
 
根據(jù)網(wǎng)絡(luò)安全內(nèi)部人士的調(diào)查,47%的人表示,當(dāng)涉及到部署零信任時(shí),過度特權(quán)的員工訪問是最大的挑戰(zhàn)。此外,10%的公司表示,所有用戶的訪問權(quán)限都超過了他們的需要,79%的公司表示部分或少數(shù)用戶這樣做,只有9%的公司表示沒有用戶訪問權(quán)限太多。代表BeyondTrust進(jìn)行的一項(xiàng)Dimensional Research研究發(fā)現(xiàn),63%的公司報(bào)告在過去18個(gè)月中遇到過與特權(quán)用戶或憑據(jù)直接相關(guān)的身份問題。
 
4.第三方服務(wù)
 
CloudFactory是一家AI數(shù)據(jù)公司,擁有600名員工和8000名按需“云工人”。該公司安全運(yùn)營負(fù)責(zé)人肖恩·格林告訴記者,該公司完全采用了零信任。“我們必須這么做,因?yàn)槲覀冎С值挠脩魯?shù)量太多了。”
 
格林說,遠(yuǎn)程員工使用谷歌身份驗(yàn)證登錄,公司可以通過該身份驗(yàn)證應(yīng)用其安全策略,但存在差距。一些關(guān)鍵的第三方服務(wù)提供商不支持單點(diǎn)登錄或安全斷言標(biāo)記語言集成。因此,員工可以使用自己的用戶名和密碼從未經(jīng)批準(zhǔn)的設(shè)備登錄,他說。“那么就沒有什么能阻止他們走出我們的視線。”格林說,技術(shù)供應(yīng)商意識(shí)到這是一個(gè)問題,但他們落后了,他們需要加快步伐。
 
CloudFactory并不是唯一一家在這方面有問題的公司,但供應(yīng)商的安全問題不僅僅是供應(yīng)商使用的身份驗(yàn)證機(jī)制。例如,許多公司通過API將其系統(tǒng)暴露給第三方。在確定零信任部署的范圍時(shí),很容易忽略API。
 
瓦茨說,你可以采用零信任原則,并將其應(yīng)用于API。這可以帶來更好的安全態(tài)勢(shì)--但只能在一定程度上。“您只能控制您公開并提供給第三方的接口。如果第三方?jīng)]有很好的控制,這是你通常無法控制的事情。當(dāng)?shù)谌絼?chuàng)建的應(yīng)用程序允許他們的用戶訪問他們的數(shù)據(jù)時(shí),客戶端的身份驗(yàn)證可能會(huì)成為一個(gè)問題。“如果它不是非常強(qiáng)大,有人可能會(huì)竊取會(huì)話令牌,”瓦茨說。
 
公司可以審計(jì)其第三方提供商,但審計(jì)通常是一次性檢查或臨時(shí)執(zhí)行。另一種選擇是部署分析,這種分析可以檢測(cè)正在做的事情何時(shí)未獲批準(zhǔn)。它提供了檢測(cè)異常事件的能力。瓦茨說,被利用的API中的一個(gè)缺陷可能會(huì)表現(xiàn)為一個(gè)這樣的異常事件。
 
5.新技術(shù)和新應(yīng)用
 
根據(jù)Beyond Identity今年對(duì)美國500多名網(wǎng)絡(luò)安全專業(yè)人士的調(diào)查,48%的受訪者表示,處理新申請(qǐng)是實(shí)現(xiàn)零信任的第三大挑戰(zhàn)。添加新的應(yīng)用程序并不是公司可能想要對(duì)其系統(tǒng)進(jìn)行的唯一更改。全球咨詢公司AArete的技術(shù)解決方案部門董事總經(jīng)理約翰·凱里表示,一些公司一直在努力改善流程和溝通流程。這與數(shù)據(jù)信任的概念不符,后者為數(shù)據(jù)的自由流動(dòng)設(shè)置了障礙。
 
凱里說,這意味著如果零信任沒有得到正確的實(shí)施或架構(gòu),可能會(huì)對(duì)生產(chǎn)率造成打擊。這種情況可能發(fā)生的一個(gè)領(lǐng)域是AI項(xiàng)目。公司有越來越多的選擇來創(chuàng)建特定于其業(yè)務(wù)的定制的、微調(diào)的AI模型,包括最近的AIGC。
 
AI擁有的信息越多,它就越有用。有了AI,你希望它可以訪問一切。這就是AI的目的,但如果它被攻破,你就有問題了。如果它開始泄露你不想要的東西,那就是一個(gè)問題。“科技咨詢公司Star的技術(shù)總監(jiān)馬丁·菲克斯告訴記者。
 
Fix說,現(xiàn)在有了一種新的攻擊媒介,稱為“即時(shí)黑客”,惡意用戶試圖通過巧妙地措辭他們提出的問題來欺騙AI告訴他們更多不應(yīng)該告訴他們的信息。他說,一種解決方案是避免對(duì)一般用途的AI機(jī)構(gòu)進(jìn)行敏感信息方面的培訓(xùn)。取而代之的是,這些數(shù)據(jù)可以保持獨(dú)立,并建立一個(gè)訪問控制系統(tǒng),檢查提出問題的用戶是否被允許訪問這些數(shù)據(jù)。“結(jié)果可能不如不受控制的AI。這需要更多的資源和更多的管理。
 
這里的根本問題是,零信任改變了公司的運(yùn)作方式。“安全廠商說這很容易。只要在你的人進(jìn)來的地方增加一些邊緣安全就行了。不,這并不容易,零信任的復(fù)雜性才剛剛開始顯現(xiàn)。“畢馬威的美國零信任負(fù)責(zé)人迪帕克·馬圖爾告訴記者。這是零信任從未提及的一大缺陷,他說。當(dāng)公司實(shí)施零信任技術(shù)時(shí),必須發(fā)生一些流程變化。相反,很多時(shí)候,人們理所當(dāng)然地認(rèn)為人們會(huì)修復(fù)流程。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)