网络安全知识：零信任打破密码依赖循环

国外安全网站安全周刊有一篇文章《密码依赖：如何打破循环》，对我们去理解密码的作用以及安全隐患，或许有些帮助，今天整理过来和大家一起分享，仅供参考！

在过去的几年里，世界已经学到了无数的人生课程，但很明显，在安全方面，仍有数百万人没有学到最基本的知识之一。来自NordPass的报告据透露，数以百万计的人仍然没有改掉使用易于记忆但易于破解的密码的习惯。在 200 个最常用的密码中，“密码”位居第一，但不幸的是，对于超过 400 万使用它的人来说，它可以在不到一秒钟的时间内被破解。其他流行的密码包括“guest”和极具创意的“123456”。说到违规，条条大路仍然通向身份认证。获取认证信息后，黑客不再侵入，他们使用被盗的、弱的、默认的或以其他方式泄露的凭据登录。这就是打破密码依赖循环如此重要的原因。但如何做到这一点？

通常，黑客会寻找阻力最小的路径，并瞄准网络防御链中最薄弱的环节——人类。因此，当今的大多数数据泄露都是以凭据收集活动为前端，然后是撞库攻击。一旦进入，黑客就可以散开并在网络中横向移动，寻找特权账户和凭据，帮助他们访问组织最关键的基础设施和敏感数据。事实上，身份定义安全联盟 (IDSA) 的一项研究表明，基于凭据的数据泄露无处不在（94% 的调查受访者经历过与身份相关的攻击）并且高度可预防 (99%)。

当今的经济环境加剧了这些网络风险，而新冠疫情的影响导致数字化转型和技术变革加速，这将进一步对组织对密码的依赖性进行压力测试。这在最小化传统数据中心、云和 DevOps 环境中与访问相关的风险方面带来了新的挑战。因此，在授予对有价值数据和关键系统的访问权限时，组织需要超越用户名和密码。虽然员工教育和培训可以提供帮助，但还需要额外的措施来确保安全访问……这正是零信任网络访问 (ZTNA)提供的。

ZTNA 解决方案围绕一个或一组应用程序创建基于身份和上下文的逻辑访问边界。根据广泛的因素授予用户访问权限，例如，正在使用的设备，以及其他属性，例如设备状态（例如，是否存在反恶意软件并且正在运行）、访问时间/日期请求和地理位置。在评估上下文属性后，解决方案会在特定时间动态提供适当的访问级别。由于用户、设备和应用程序的风险级别不断变化，因此针对每个单独的访问请求做出访问决策。

成功路线图

在实施像 ZTNA 这样的新兴技术时，倾听早期采用者的意见始终很重要，他们可以提供对成功关键因素的见解并帮助避免陷阱。最近采用 ZTNA 的组织报告称，以下关键因素对其成功至关重要：

• 在 ZTNA 实施之前评估应用程序使用情况：由于做出访问决策的上下文属性之一是用户和应用程序之间的关系，因此在实施过程之前深入了解应用程序使用情况至关重要。为了协助这一发现过程，ZTNA 的一些早期采用者报告说，他们利用端点可见性解决方案来深入了解已安装应用程序和 Web 应用程序的使用情况。其他人只是采访特定部门（例如，销售、财务、人力资源）的负责人以收集详细信息。这些见解随后用于将用户映射到所需的应用程序访问权限，并最终影响策略的范围。

• 定义细化访问策略：不要像对待传统 VPN 那样对待 ZTNA，即授予用户访问所有应用程序的权限。相反，花一些时间制定从识别特定用例（例如，承包商访问、对高度敏感的应用程序的访问）中得出的细化访问策略，并定义特定于用户的策略。

• 取消常设应用程序授权：作为 ZTNA 项目推出的一部分，根据对应用程序使用情况的评估，借此机会清理应用程序访问权限。

• 建立持续反馈循环：随着业务需求不断发展，您的应用程序访问策略也应如此。因此，有必要不断地微调既定的访问策略。许多 ZTNA 政策的早期采用者建议在实施过程的初始阶段进行季度审计/审查流程，然后在 ZTNA 计划成熟后转为每两年一次的流程。最终，希望建立一种专注于持续改进和完善访问策略的心态。

• 确保用户和业务领导者的支持：与所有技术实施一样，确保尽早获得业务领导者和用户的支持至关重要。例如，将用户焦点小组作为初始规划过程的一部分是一个很好的策略。这些参与者有助于尝试风暴并提供早期输入，并在进入实施阶段之前提出对用户体验的任何担忧。这通过避免其他必要的迭代轮次来节省成本，并有助于提高整体采用率。

• 选择同类最佳解决方案：评估 ZTNA 产品的弹性能力，这意味着在中断、无意衰退或对其运营至关重要的恶意行为中发挥作用。评估解决方案是否能够深入了解组织内的所有端点、数据、网络和应用程序。考虑符合美国国家标准与技术研究院(NIST) 零信任架构的 ZTNA 解决方案，策略执行应尽可能靠近用户，这意味着它们应直接在端点执行。

虽然有多种途径可以打破对密码的依赖，但 ZTNA 允许组织最大限度地减少攻击面，同时确保其远程员工的工作效率。

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 回看等级保护：重要政策规范性文件43号文（上）
4. 网络安全等级保护：安全管理中心测评PPT
5. 网络安全等级保护：等级保护测评过程要求PPT
6. 网络安全等级保护：安全管理制度测评PPT
7. 等级保护测评之安全物理环境测评PPT
8. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
9. 网络安全等级保护：等级测评中的渗透测试应该如何做
10. 网络安全等级保护：等级保护测评过程及各方责任
11. 网络安全等级保护：政务计算机终端核心配置规范思维导图
12. 网络安全等级保护：什么是等级保护？
    
13. 网络安全等级保护：信息技术服务过程一般要求
14. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
15. 闲话等级保护：什么是网络安全等级保护工作的内涵？
16. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
17. 闲话等级保护：测评师能力要求思维导图
    
18. 闲话等级保护：应急响应计划规范思维导图
    
19. 闲话等级保护：浅谈应急响应与保障
    
20. 闲话等级保护：如何做好网络总体安全规划
    
21. 闲话等级保护：如何做好网络安全设计与实施
    
22. 闲话等级保护：要做好网络安全运行与维护
    
23. 闲话等级保护：人员离岗管理的参考实践

24. 网络安全等级保护：浅谈物理位置选择测评项

25. 信息安全服务与信息系统生命周期的对应关系
26. >>>工控安全<<<
27. 工业控制系统安全：信息安全防护指南
28. 工业控制系统安全：工控系统信息安全分级规范思维导图
29. 工业控制系统安全：DCS防护要求思维导图
30. 工业控制系统安全：DCS管理要求思维导图
31. 工业控制系统安全：DCS评估指南思维导图
32. 工业控制安全：工业控制系统风险评估实施指南思维导图
33. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
34. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
35. >>>数据安全<<<

36. 数据安全风险评估清单

37. 成功执行数据安全风险评估的3个步骤

38. 美国关键信息基础设施数据泄露的成本

39. VMware 发布9.8分高危漏洞补丁

40. 备份：网络和数据安全的最后一道防线

41. 数据安全：数据安全能力成熟度模型

42. 数据安全知识：什么是数据保护以及数据保护为何重要？

43. 信息安全技术：健康医疗数据安全指南思维导图

44. >>>供应链安全<<<

45. 美国政府为客户发布软件供应链安全指南
    

46. OpenSSF 采用微软内置的供应链安全框架
    

47. 供应链安全指南：了解组织为何应关注供应链网络安全
    

48. 供应链安全指南：确定组织中的关键参与者和评估风险
    

49. 供应链安全指南：了解关心的内容并确定其优先级

50. 供应链安全指南：为方法创建关键组件

51. 供应链安全指南：将方法整合到现有供应商合同中

52. 供应链安全指南：将方法应用于新的供应商关系

53. 供应链安全指南：建立基础，持续改进。

54. 思维导图：ICT供应链安全风险管理指南思维导图
    

55. 英国的供应链网络安全评估

56. >>>其他<<<

57. 网络安全十大安全漏洞

58. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

59. 网络安全等级保护：应急响应计划规范思维导图

60. 安全从组织内部人员开始

61. 影响2022 年网络安全的五个故事

62. 2023年的4大网络风险以及如何应对

63. 网络安全知识：物流业的网络安全

64. 网络安全知识：什么是AAA（认证、授权和记账）？

原文始发于微信公众号（河南等级保护测评）：网络安全知识：零信任打破密码依赖循环