零信任是安全供应商、顾问和政策制定者抛出的最新流行语,作为解决所有网络安全问题的灵丹妙药,大约42%的全球组织表示,他们已经制定了采用零信任的计划。拜登政府还概述了联邦网络和系统采用零信任架构的必要性。在勒索软件继续成为头条新闻并打破新记录的时候,零信任能否成为解决勒索软件困境的方法?在回答这个问题之前,我们先来了解一下零信任及其核心组成部分。
什么是零信任?
零信任的概念已经存在一段时间了,很可能是最低权限访问的扩展。零信任通过“永不信任,始终验证”的原则有助于最大限度地减少攻击者的横向移动(即入侵者用于侦察网络的技术)。在零信任的世界中,不会仅仅因为您位于公司防火墙之后就授予您隐含的信任(无论您从何处登录或尝试访问的资源如何)。只有获得授权的个人才能根据需要访问选择的资源。这个想法是将重点从基于边界的(反应式)方法转移到以数据为中心的(主动式)方法。
零信任的核心组成部分
要有效地实施零信任,组织必须了解其三个核心组成部分:
1、指导原则:四项指导原则是零信任战略的基本要素。这些包括定义业务成果(组织只有在知道他们试图保护什么以及他们在哪里之后才能有效地保护自己);从内到外进行设计(识别需要细粒度保护的资源并构建与这些资源密切相关的安全控制);概述身份访问要求(为用户和设备提供更细粒度的访问控制管理);检查和记录所有流量(将经过身份验证的身份与预定义的策略、历史数据和访问请求的上下文进行比较)。
2、零信任网络架构:ZTNA由保护面(对公司最有价值的数据、资产、应用和服务资源)组成;微边界(保护资源而不是整个网络环境的粒度保护);微分段(根据业务的不同功能将网络环境分为离散的区域或部门);和特定于上下文的最小权限访问(根据工作角色和相关活动以及通过制定最小权限原则授予资源访问权限)。
3、实现零信任的技术:没有一种解决方案可以实现零信任。话虽如此,身份访问管理、多因素身份验证、单点登录、软件定义边界、用户和实体行为分析、下一代防火墙、端点检测和响应以及数据泄漏预防等技术可以帮助开始零信任。
零信任和
勒索软件问题零信任不是勒索软件的灵丹妙药,但如果实施得当,它可以帮助创建更强大的安全防御来抵御勒索软件攻击。这是因为,从根本上说,人为错误是所有网络攻击的根本原因,而零信任将焦点重新放在用户身份和访问管理上。零信任还有助于显着减少攻击面,因为内部和外部用户只能访问有限的资源,而所有其他资源都完全隐藏起来。此外,零信任提供了监控、检测和威胁检查功能,这是防止勒索软件攻击和敏感数据泄露所必需的。
还有一些关于零信任的误解也必须强调:
- 零信任不会完全消除勒索软件威胁,但会显着降低其可能性。
- 没有任何单一的技术解决方案可以帮助您实现绝对零信任。许多供应商会尝试向您出售一个,但这不符合您的最佳利益。
- 零信任并非旨在解决您的所有安全问题。它旨在降低发生安全事件的可能性,限制横向移动,并在发生勒索软件等安全事件时最大限度地减少损失。
- 用户和资源的细分在理论上听起来不错,但实施起来却相当困难。零信任不是快速解决方案,而是一种深思熟虑的长期安全方法。
零信任是一种类似于数字化转型的策略。它需要整个组织(不仅仅是 IT 团队)的承诺;它需要思维方式的改变和架构方法的根本转变;它需要谨慎执行并深思熟虑,并牢记长远;最后,它必须是一个永恒的、不断发展的过程,随着不断变化的威胁形势而变化。几乎一半的网络安全专业人员仍然对应用零信任模型缺乏信心,这是理所当然的 – 一个错误的举动可能会使组织处于更糟糕的境地。
也就是说,成功实施零信任的企业将在对抗勒索软件等不断变化的威胁方面处于更有利的地位,并成为真正具有网络弹性的组织。
原创文章,作者:CNCSO,如若转载,请注明出处:https://www.cncso.com/zero-trust-be-the-answer-to-ransomware.html
