零信任不是身份和访问管理 (IAM) 的替代品,而是 IAM 原则的延伸,从人到任何人、任何事、任何时间、任何地点。
| 关注公众号回复“202322”可自取“网络洞察 2023”合集 |
零信任和身份与访问管理 (IAM) –零信任不是身份与访问管理 (IAM) 的替代品,它是极端情况下的扩展。它是 IAM 原则的延伸,从人到任何人、任何事、任何时间、任何地点。IAM 中的困难仍然存在,但由于在任何地方安装它的复杂性而变得复杂。
然而,零信任被广泛视为有效网络安全的重要组成部分。到 2023 年,我们将看到更多供应商宣传完整的零信任产品和/或方法,以及更多企业尝试实施它。
在这里,我们将研究这可能会如何进展到 2023 年。
背景
零信任是认识到公司网络不再具有可以防御的边界的自然演变。由于没有防御边界,每项资产都需要单独保护,每次访问都需要单独验证。位置毫无意义——从任何地方访问任何东西都必须在授权之前进行验证。
距离此仅一步之遥,认识到这种验证应该在网络内部和外部应用:东西向(也称为“微分段”)以及南北向。做到这一点,您就完成了零信任之旅。
零信任是将可防御的数据中心边界替换为单独的可防御资产边界——从一个到可能数百万。
国防部零信任参考架构,在 2022 年 1 月的 OMB 备忘录中提到,描述了这个概念:“零信任是一组不断发展的网络安全范例的术语,它将防御从静态的、基于网络的边界转移到关注用户、资产和资源。零信任假设没有仅基于物理或网络位置(即局域网与互联网)或基于资产所有权(企业或个人所有)授予资产或用户帐户的隐式信任。零信任需要设计一个整合的、更安全的架构,而不妨碍操作或损害安全性。经典的外围/纵深防御网络安全策略一再表明对资源充足的对手的价值有限,并且是解决内部威胁的无效方法。”
OMB 备忘录继续指出,“该备忘录要求各机构在 2024 财年 (FY) 结束前实现具体的零信任安全目标。” 有两件事是显而易见的:首先,到 2023 年,联邦机构内部将开展广泛的活动来满足这一要求(以及帮助他们实现这一目标的相关供应商活动);其次,这不是一项简单的任务。联邦授权的涓滴效应将确保资源充足的私营企业随之而来。
Next DLP 的网络安全策略师 Chris Denbigh-White 解释说:“零信任代表了组织看待和处理风险(以及安全性)方式的根本转变。” “到 2023 年,许多组织将意识到,与其说零信任是一个目的地,不如说是进行信息安全之旅的一种方式。是的,技术将在这段旅程中发挥至关重要的作用,但绝不能与对话的结束或旅程的结束相混淆。”
值得注意的是,一些供应商将他们首选的零信任路径称为“零信任网络访问”(ZTNA)。您可以在此处获得有关 ZTNA 的更多详细信息——但在本文中,我们将不加区别地对待这两个术语(零信任和 ZTNA)。
2023 年的问题
“组织在部署零信任或微分段时最常犯的错误是低估了他们网络的复杂性,”ColorTokens 产品战略副总裁 John Yun 说。“有效的零信任实施需要了解所有服务器、在服务器上运行的应用程序以及授权使用这些应用程序的用户。”
Immuta 的首席执行官兼联合创始人 Matthew Carroll 警告说,零信任本身不应被视为一个完整的解决方案。它试图解决的问题部分是由于基于云的 SaaS 基础设施的增长导致数据共享的大量增加。这将导致公司与 SaaS 提供商之间的数据处理协议 (DPA) 增加。“到 2023 年,我们将看到 DPA 成为 SaaS 合同和数据共享谈判的标准要素。”
他仍然担心仅凭零信任无法提供足够的安全性。“到 2023 年,我们将看到数据安全架构发生重大转变。这将包括有效平衡访问和安全性的适当访问控制。” 但他补充说,“零信任无法使用传统方法,因为端点太多了。” 实施零信任访问方法仍必须与充分的异常检测相结合——零信任访问不应以牺牲内部可见性为代价。
Covid-19 的影响增加了零信任架构的重要性。“Covid-19 大流行开启了远程和混合工作的新时代,”Keeper Security 的首席技术官兼联合创始人 Craig Lurey 说。“端点数量的爆炸式增长,以及越来越多的端点被远程访问,需要更高级别的安全性来应对日益增长的在线威胁。在这种新常态下,零信任现在是保护现代、基于云的数据环境和分布式劳动力的唯一现实和全面的框架。”
Delinea 首席安全科学家 Joseph Carson 补充说:“随着转型的继续,零信任方法将变得比以往任何时候都更加重要。员工应该只能访问他们有效完成工作所需的内容。这将确保攻击者在更大的业务网络中移动的能力受到限制,并减少攻击面。” 但他也指出,如果雇主对个人拥有的电脑施加条件,这可能会引发隐私问题。
黑莓高级副总裁兼首席信息安全官约翰·麦克卢格 (John McClurg) 表示:“远程工作似乎将继续存在,并将增加到 2023 年。” “企业应该寻求采用零信任架构和安全模型来真正保护其远程员工的安全。该模型的定义是不信任任何人,默认情况下绝对不信任任何人——包括实际网络中的用户。通过假设每个用户、设备或网络都是敌对的,零信任安全迫使每个人在访问被授权之前证明他们是谁。”
在许多情况下,大流行病的紧迫性以及随之而来的实施远程工作的急迫性导致了总体零信任解决方案集成的问题。“如今,大多数组织仍在努力允许明确访问应用程序并在其业务中实施零信任策略。事实上,超过 80% 的组织发现难以实施零信任模型,这与许多组织拥有混合 IT 架构这一事实有很大关系,”Fortinet 产品高级总监 Peter Newton 解释道。
问题在于,为内部部署制定一套政策而为云制定一套完全不同的政策太麻烦了。因此,他说:“到 2023 年,我们将看到更多的 IT 团队转向将 ZTNA 纳入整个网络——从云端到本地——以在单一解决方案下实现普遍覆盖。随着 ZTNA 开始成为企业的主流,我们将开始看到组织从按用户付费的模式转变,并开始将 ZTNA 直接融入他们的安全架构,以获得更加无缝和一致的用户和管理体验。”
从根本上说,零信任是身份和访问管理 (IAM) 的主要扩展——但 IAM 本身是一个尚未完全解决的问题。Radiant Logic 现场首席技术官 Wade Ellery 评论说:“组织仍在学习身份蔓延的概念及其技术债务的规模,这意味着公司才刚刚开始意识到挑战的规模。”
“到 2023 年,我们将看到越来越多的企业放慢速度以加快发展——他们会认识到他们需要建立身份数据基础,然后才能证明构建需要访问身份的新的、以收入为导向的项目是合理的。”
对于零信任,他补充说,“随着我们进入 2023 年,高级决策者和安全团队正在讨论他们如何实时实现细粒度方法,最终,他们将回到身份数据管理问题”
越来越多的公司开始认识到零信任在理论上的安全优势,并开始了自己的旅程。到 2023 年,这样做的困难将变得更加明显——但也不全是厄运和沮丧。“在某种程度上,内部政治、人才短缺和经济状况等因素在任何 IT 项目中都发挥着作用,”Info-Tech Research Group 的安全技术委员 Hendra Hendrawan 评论道。“不过,拥有良好 IT 或网络安全战略的组织应该以更少的摩擦踏上零信任之旅。”
他说,在较高的层面上,成功的 IT 实施通常包括记录良好的流程、良好的技术选择和优秀的人才。“将这些与可靠的安全策略相结合,实现零信任架构不应该是时间问题,而是时间问题。”
那个“什么时候”会酝酿多年。“零信任是一种安全模型,而不是产品。在整个企业中采用零信任需要仔细规划和使用互补的多供应商解决方案,”雷神智能与航天公司首席工程研究员 Torsten Staab 警告说。“对于许多组织而言,采用零信任安全将是一个多年的旅程。预先建立稳固的零信任战略并制定分阶段、分步实施计划以避免大海捞针和失去重点将是成功实施零信任的关键。” 但对于 2023 年,他补充说,“从 NIST 和 CISA 寻找更多的零信任实施指南和建议。”
IAM 问题
实施零信任的基础是解决现有的 IAM 问题——这并不容易。传统的方法是实施基本的 MFA,涉及通过手机交付的第二因素令牌——但这种 MFA 经常被黑客破解。
“我对 2023 年的预测,”Expel 的 SOC 运营总监 Ben Brigida 说,“我们将见证 MFA 推送通知疲劳攻击的增加。为什么?因为他们在工作。越来越多的组织转向云访问身份提供商以获取单点登录功能。攻击者知道,如果他们能够获得这些平台的凭据,他们将能够访问关键的业务应用程序——而不仅仅是电子邮件。因此,他们向用户发送多个推送通知请求,并希望用户只批准一个以停止通知。”
Tanium 的 EMEA 和南亚地区技术客户管理副总裁 Chris Vaughan 将此称为 MFA 推送耗尽攻击。“这是攻击者向用户的手机发送大量 MFA 接受提示的地方,这可能会导致他们单击接受以停止请求的弹幕。这在获取用户数据和访问 IT 环境方面取得了很大成功。”
“曾经被认为是打击撞库的‘灵丹妙药’,”Darktrace 联邦政府首席执行官 Marcus Fowler 补充道,“攻击者很快就找到并利用了 MFA 中的弱点,他们将继续这样做2023 年。”
Cyren 的高级产品总监约翰·史蒂文森 (John Stevenson) 进一步阐述了这个问题:“网络钓鱼仍将是一个未解决的问题,会导致无数的帐户接管攻击。随着企业启用 MFA,网络钓鱼者将更新他们的策略以绕过额外的验证步骤,例如发送到手机或电子邮件地址的一次性代码。依赖于手机和电子邮件帐户(从未打算成为身份)的所谓强身份验证方法将首先被证明对于高风险用例是不安全的。由于生命周期管理解决方案不足以及与遗留系统不兼容,无密码身份验证还不能解决这些问题。”
SANS 新兴安全趋势主管 John Pescatore 看到了对身份管理的另一个基于电话的威胁。“虽然手机比台式机更安全,”他评论道,“但我们也会看到更多的跟踪软件包含在针对消费者的下载应用程序中。”
Pegasus间谍软件是这种威胁的典型例子——它可以在 iOS 和 Android 设备上自行安装,点击次数为零。黑客还创建恶意跟踪软件应用程序并将它们隐藏在应用程序商店中。
“随着人们越来越习惯于下载家庭追踪软件并放弃应用程序权限,他们的击键、位置、语音甚至照片和视频被记录下来用于金融盗窃和其他不法目的的风险也会增加。”
如果二次因素一次性代码和无密码身份验证不是 IAM 问题的解决方案。必须找到替代方案。已经提出了许多建议,从物理生物识别(包括非接触式指纹识别)到行为生物识别等等。
“非接触式指纹识别将成为顶级身份验证方法,”Telos 技术与创新副总裁 Chace Hatcher 声称。“到 2023 年,拥有预先存在的指纹数据库基础设施的组织将越来越多地转向非接触式指纹识别来执行远程生物识别身份验证,”他说。“在身份验证方面,我们将看到由多模态真实生物识别面部和指纹支持的身份平台以及 faceID 和 touchID 等‘便利生物识别’嵌入式移动解决方案的出现。”
“到 2023 年,更多人将使用登录名和密码以外的方法保护他们的重要帐户,”Incode 创始人兼首席执行官 Ricardo Amper 补充道。“在创建账户时,他们会提供多种因素,例如生物特征、政府签发的身份证件以及来自可靠来源的信息来证明他们的身份。在验证对这些帐户的访问权限时,他们将使用生物识别技术,为他们的私人数据提供更高的安全性。”
Idemia 首席执行官 Donnie Scott 对 2023 年的美国身份有更具体的预测。“2023 年,每个颁发身份的司法管辖区都将部署、正在部署或考虑部署数字形式的移动身份/移动驾驶执照。亚利桑那州是美国第一个采用移动 ID 的州,其次是俄克拉荷马州、特拉华州和密西西比州。多达 30 个州,包括科罗拉多州、夏威夷州、俄亥俄州和波多黎各领土,正在为其居民提供移动 ID。我们只会看到这种增长。”
他对潜力非常乐观。“这种模式的好处是,生物识别技术与身份相结合,是一种由公民控制的身份声明,得到政府高标准的证明来证明这个人是谁。这种结合产生了高保证、隐私保护的模型。”
但这个问题以及几乎所有其他远程识别方法的问题在于,它最终会识别一部手机,而不一定是手机的所有者或当前用户。受损的手机仍然会导致身份受损。完美零信任的个人身份绝对证明非常困难。
我们甚至没有提到机器身份,这在零信任架构中同样重要,并提出了自己的问题。
概括
Barracuda 网络安全产品经理 Stefan Schachinger 表示:“现代安全解决方案消除了来自用户、设备、服务和工作负载的隐式信任,无论位置如何,这将成为常态。” “谁、什么、何时、何地和如何的‘上下文’将成为持续零信任评估世界中的关键安全组件,它将抵御越来越多的隐秘威胁。到 2023 年,仅仅检测和阻止恶意事件将不再足够。你需要调查和补救一切。”
实现可靠的零信任架构不会一蹴而就。它不是您可以购买和运行的产品。它将需要集成不同的安全解决方案——其中一些可能已经存在,而另一些则需要无缝地购买、实施和集成。许多公司将在 2023 年开始这段旅程,许多其他公司将取得进展——但接近目的地可能需要数年时间。
尽管如此,“零信任代表了一种新的网络安全范例,它为各种规模和行业的组织提供了许多好处。在访问管理中部署零信任方法可能特别有效,在政府和私营部门之间创建虚拟的‘盾牌锁定’,”McClurg 说。“这允许更密切的合作,以更好地保护至关重要的基础设施和服务。”
“我喜欢将这些东西抽象化,”Netskope 的现场 CTO Steve Riley 告诉SecurityWeek。“我想消除来自每一层的隐含信任:来自网络、来自应用程序、来自虚拟机和来自数据对象。相反,我想要这样一种情况,即每次交互都由某种东西来调节,并且对这种交互的信心水平是由上下文和周围的信号来衡量的。”
>>>等级保护<<<
-
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
回看等级保护:重要政策规范性文件43号文(上) -
网络安全等级保护:安全管理中心测评PPT -
网络安全等级保护:等级保护测评过程要求PPT -
网络安全等级保护:安全管理制度测评PPT -
等级保护测评之安全物理环境测评PPT -
网络安全等级保护:工业控制安全扩展测评PPT -
网络安全等级保护:第三级网络安全设计技术要求整理汇总 -
-
-
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
网络安全等级保护:浅谈物理位置选择测评项 -
信息安全服务与信息系统生命周期的对应关系 -
>>>工控安全<<< -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
>>>数据安全<<< -
数据安全风险评估清单 -
成功执行数据安全风险评估的3个步骤 -
美国关键信息基础设施数据泄露的成本 -
VMware 发布9.8分高危漏洞补丁 -
备份:网络和数据安全的最后一道防线 -
数据安全:数据安全能力成熟度模型 -
数据安全知识:什么是数据保护以及数据保护为何重要? -
信息安全技术:健康医疗数据安全指南思维导图 -
>>>供应链安全<<< -
美国政府为客户发布软件供应链安全指南 -
OpenSSF 采用微软内置的供应链安全框架 -
供应链安全指南:了解组织为何应关注供应链网络安全 -
供应链安全指南:确定组织中的关键参与者和评估风险 -
供应链安全指南:了解关心的内容并确定其优先级 -
供应链安全指南:为方法创建关键组件 -
供应链安全指南:将方法整合到现有供应商合同中 -
供应链安全指南:将方法应用于新的供应商关系 -
供应链安全指南:建立基础,持续改进。 -
供应链安全:映射供应链 -
思维导图:ICT供应链安全风险管理指南思维导图 -
英国的供应链网络安全评估 -
>>>其他<<< -
网络安全十大安全漏洞 -
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图 -
网络安全等级保护:应急响应计划规范思维导图 -
安全从组织内部人员开始 -
影响2022 年网络安全的五个故事 -
2023年的4大网络风险以及如何应对 -
网络安全知识:物流业的网络安全 -
网络安全知识:什么是AAA(认证、授权和记账)? -
网络安全知识:如何打破密码依赖循环 -
面向中小企业的 7 条网络安全提示
原文始发于微信公众号(祺印说信安):网络洞察2023|零信任和身份与访问管理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论