零信任是安全供應商、顧問和政策制定者拋出的最新流行語,作為解決所有網路安全問題的靈丹妙藥,大約42%的全球組織表示,他們已經制定了採用零信任的計畫。拜登政府也概述了聯邦網路和系統採用零信任架構的必要性。在勒索軟體繼續成為頭條新聞並打破新記錄的時候,零信任能否成為解決勒索軟體困境的方法?在回答這個問題之前,我們先來了解零信任及其核心組成部分。
什麼是零信任?
零信任的概念已經存在一段時間了,很可能是最低權限存取的擴展。零信任透過「永不信任,始終驗證」的原則有助於最大限度地減少攻擊者的橫向移動(即入侵者用於偵察網路的技術)。在零信任的世界中,不會僅僅因為您位於公司防火牆之後就授予您隱含的信任(無論您從何處登入或嘗試存取的資源如何)。只有獲得授權的個人才能根據需要存取選擇的資源。這個想法是將重點從基於邊界的(反應式)方法轉移到以資料為中心的(主動式)方法。
零信任的核心組成部分
要有效地實施零信任,組織必須了解其三個核心組成:
1、指導原則:四項指導原則是零信任策略的基本要素。這些包括定義業務成果(組織只有在知道他們試圖保護什麼以及他們在哪裡之後才能有效地保護自己);從內到外進行設計(識別需要細粒度保護的資源並建立與這些資源密切相關的安全控制);概述身分存取要求(為使用者和裝置提供更細微的存取控制管理);檢查和記錄所有流量(將經過驗證的身份與預先定義的策略、歷史資料和存取要求的上下文進行比較)。
2、零信任網路架構:ZTNA由保護面(對公司最有價值的資料、資產、應用和服務資源)組成;微邊界(保護資源而非整個網路環境的粒度保護);微分段(根據業務的不同功能將網路環境分為離散的區域或部門);和特定於上下文的最小權限存取(根據工作角色和相關活動以及透過制定最小權限原則授予資源存取權限)。
3.實現零信任的技術:沒有一種解決方案可以實現零信任。話雖如此,身分存取管理、多因素身份驗證、單一登入、軟體定義邊界、使用者和實體行為分析、新一代防火牆、端點偵測和回應以及資料外洩預防等技術可以幫助開始零信任。
零信任和
勒索軟體問題零信任不是勒索軟體的靈丹妙藥,但如果實施得當,它可以幫助創建更強大的安全防禦來抵禦勒索軟體攻擊。這是因為,從根本上來說,人為錯誤是所有網路攻擊的根本原因,而零信任將焦點重新放在使用者身分和存取管理上。零信任也有助於顯著減少攻擊面,因為內部和外部使用者只能存取有限的資源,而所有其他資源都完全隱藏起來。此外,零信任提供了監控、偵測和威脅檢查功能,這是防止勒索軟體攻擊和敏感資料外洩所必需的。
還有一些關於零信任的誤解也必須強調:
- 零信任不會完全消除勒索軟體威脅,但會顯著降低其可能性。
- 沒有任何單一的技術解決方案可以幫助您實現絕對零信任。許多供應商會嘗試向您出售一個,但這不符合您的最佳利益。
- 零信任並非旨在解決您的所有安全問題。它旨在降低安全事件的可能性,限制橫向移動,並在發生勒索軟體等安全事件時最大限度地減少損失。
- 使用者和資源的細分在理論上聽起來不錯,但實施上卻相當困難。零信任不是快速解決方案,而是一種深思熟慮的長期安全方法。
零信任是一種類似數位轉型的策略。它需要整個組織(不僅僅是IT 團隊)的承諾;它需要思維方式的改變和架構方法的根本轉變;它需要謹慎執行並深思熟慮,並牢記長遠;最後,它必須是一個永恆的、不斷發展的過程,隨著不斷變化的威脅形勢而變化。幾乎一半的網路安全專業人員仍然對應用零信任模型缺乏信心,這是理所當然的– 一個錯誤的舉動可能會使組織處於更糟糕的境地。
也就是說,成功實施零信任的企業將在對抗勒索軟體等不斷變化的威脅方面處於更有利的地位,並成為真正具有網路彈性的組織。
原文文章,作者:CNCSO,如若轉載,請註明出處:https://cncso.com/tw/zero-trust-be-the-answer-to-ransomware.html
