如何使用零信任安全技术对抗内外威胁

简介

零信任安全技术重新定义了组织动态查看和处理安全威胁的方式。随着勒索软件和网络钓鱼攻击日益增多，很明显人们可以在组织内部找到大量的攻击媒介，并不像行业之前认为的那样在网络边界的内部区域就可以免疫攻击。高级持续性威胁（ATP）日益增加，我们需要重塑组织的安全性以对抗攻击者对各种边界的入侵方法。零信任指的是取消网络许可，并以同等审查的方式处理网络内外的 ATP。

定义零信任安全

零信任安全可以被认为是一种新的安全架构方法，其主要目标是：在通过基础设施进行任何网络通信之前验证端点，始终为端点提供最低权限，最后在整个通信过程中持续评估端点，假设它们总是可疑的。

多年来，随着我们在 IT 行业的爆炸式增长中看到的网络技术变迁（例如从内部部署到云基础架构的迁移），这种安全技术也在不断发展。随着 Forrester 和 Gartner 等审计专家使用 ZTX（零信任扩展）框架和 CARTA（持续自适应风险和信任评估）等模型重新定义零信任技术的实现，如今安全公司都有了自己的零信任技术版本和用例。

但是，零信任安全技术高层的核心价值观和架构还是和以前一样。根据NIST 800-27模型，它以策略引擎作为 ZTA 实现的处理单元，后者通常是 IAM（身份访问和管理）服务器，网络架构师在其中创建遵守零信任原则的规则。这样我们就可以创建各种规则，例如让端点和网络设备符合 ISO/IEC 等行业标准、让应用程序获得最新更新和软件补丁以降低漏洞风险等。然后他们可以使用这些约束来限制不满足这些要求的对端点访问请求，以将任何攻击向量隔离到此类端点中，并防止它们感染其他系统。

在同一架构中，策略执行点（PEP）是充当任何请求者和资源之间的屏障的接口。因此，通过策略引擎应用的任何规则都由 PEP 执行。这可以是防火墙，甚至可以是属于不同网段的不同用户的登录页面。

如何入门零信任技术

重点在于，我们要知道许多网络已经在以某种方式使用零信任原则，即使它们看起来很不起眼。例如，当我的工作场所开始为所有团队的员工采用多因素身份验证（MFA）时，对于非安全团队来说这是一个突然的变化。但是，大多数员工已经在使用端点恶意软件检测应用程序来分析针对公司资产的恶意活动。

过去三年半以来，我个人一直致力于通过 VPN 实施零信任原则。使用防火墙、IPS 集成、IAM 服务器，以及如何用它们帮助增强 VPN 一直是我工作的主要关注点。

例如，在我的工作经验中，几乎所有 HTTP 公共网站都会被在公司资产上使用的 HTTP 阻止程序阻止，因为 HTTP 具有 DDoS 攻击和使用跨站点脚本、安全错误配置等漏洞的拒绝服务等威胁。此类网站还有网络钓鱼链接、恶意广告内容，这些内容会导致主机感染恶意软件。因此，使用 Cisco Umbrella 或 Webroot DNS 等 Web 和 DNS 检查器进行端点保护和威胁检测是非常重要的。同样，端点检查应用程序一直在监控端点 PC。尽管应用程序和 Web 浏览器使用了很多安全方法，但通过某些应用程序/Web 在端点上下载的任何潜在恶意文件都可以很容易地接管系统。因此，安全的端点应用程序是持续监控端点活动的更安全的方法之一。Cisco Secure endpoint、Sophos Intercept X、End-User Endpoint Security 等应用就是一些例子。我还结合了其他许多零信任值，例如使用 Cisco Duo 和 Microsoft Authenticator 等的多因素身份验证和设备健康监控，以及其他用于电子邮件安全检查的应用程序，以最大限度地减少网络钓鱼攻击等。

有一些业务是很重要的，我经手过的医院环境就是典型；并且在处理此类实现时，我发现重点更多在于获得更强大的身份验证方法，例如用证书替代用户凭据。但是，我们一开始并没有特权升级缓解措施。有证据表明，属于医院的所有经过身份验证的用户（例如帐户团队、帮助台和急救人员）都在访问患者记录的日志，这是不必要的，并且是潜在的攻击媒介。对于医院环境而言，安全性的重要性越来越高，我们最终为患者记录实施了 IAM 访问策略规则，只有指定的医生和对记录访问权限受限的特定人员才能访问记录，其他任何人的所有访问请求都会被拒绝。

很多时候，组织认为安全性令人生畏，甚至被高估了。但只需一个漏洞、一个攻击面，攻击者就可以在组织内部发起和传播散布恶意软件的行动，并在没有提前准备的情况下制造数据安全漏洞。

由于 ZTX 的重要支柱之一是“人”，因此了解自己员工的安全性与在组织外部保持对客户的信任同样重要。

应用零信任安全技术

可以根据你的关注点来增加许多新的实现。例如，如果你的重点是改进端点识别，你可以从单因素身份验证切换到 MFA。如果你更重视数据库，则可以迁移到身份验证令牌、oauth over MySQL、PostgreSQL 等。

投资一个好的 IAM 服务器或服务对于零信任而言非常重要。它允许根据你的网络要求对每种类型的角色、用户或应用程序进行细粒度级别的数据库访问控制。此外，可以使用安全组标记（SGT）创建微网段，并在策略执行点创建必要的规则以获得最低权限，或者开始评估和改进网络中威胁检测的使用方式。还可以使用 IAM 服务器完成网络管理工作，例如将组策略关联到不同的网段、对端点做伪装和调优、集中的 pxGrid 服务以及用户和流量的上下文可见性。

如果没有很好的 IAM 服务器，你可能会给默认策略带来额外负载，结果让更广泛的用户获得升级的访问权限，从而增加攻击面。

如果你正在使用现有的安全解决方案，则应首先尝试对其进行优化以使用零信任原则，并验证缺少的内容。例如，如果我仍在为我的网络或应用程序登录使用默认密码，则需要更改并转向 MFA 和无密码身份验证。了解现有设置中的问题、承认缺点并解决问题是至关重要的。

执行安全扫描、审计、证书检查或漏洞扫描是一个很好的开始。它们往往能提供很多见解，让你知道自己要实现零信任还缺少哪些标准安全最佳实践。市面上有一些开源安全扫描技术，IT 公司还为这些任务提供了安全即服务（Saas）。然而，这些还不够。

咨询安全专家是深入分析你的网络，了解可改进之处的好方法。然后，你可以在需要时修改网络网段，检查现有规则，在需要时使用自动化技术来完成这些任务，并找出正在为端点和 NAD 执行的身份验证、授权和记帐类型。

你还可以从编排和自动化威胁检测任务开始。现在，这已成为许多安全公司和架构师的兴趣点，因为我们在向软件定义网络（SDN）迈进，其中包括了 SD-WAN 和 SASE 等解决方案，并要求外围防火墙的智能集成、服务器自动威胁检测等实现，还要创建工作流来决定在遇到攻击时，防火墙或 IAM 服务器应采取哪些操作。然后，从威胁检测和响应中重新审视入侵指标（IOC）是你需要考虑的关键步骤，因为研究这些 IOC 可以了解发生了什么问题、为什么端点易受攻击和无法检测到威胁的原因所在。更重要的是，这些报告有助于防止未来的 ATP。这为针对攻击模式的研究提供了进一步的空间，帮助你实现更好的安全系统。

关键是，只要在网络内实现这些原则，零信任就没有起点。

帮助你做出决定的关键在于：投资一个好的 IAM 服务器、使用下一代防火墙、创建动态规则、使用 MFA 进行身份验证、摆脱密码，以及将所有这些方法与威胁搜寻工具集成。如果你碰巧有兴趣将所有这些东西与自动化工具和 AI 集成在一起，那么这就会是一个持久的实现，可以帮助你动态跟踪未来的攻击模式。我的团队曾使用某些对业务很重要的财务应用程序，这些应用程序由于经常遭遇新的攻击而影响了效率。使用 Cisco Stealthwatch 等应用程序，我们就能更轻松地研究 IOC 的可见性，更多地了解哪些金融企业在 TrickBot、Ramnit 等攻击方面更容易受到攻击。

零信任安全的优缺点

正如上面所讨论的，零信任安全是现有安全实践的演变。由于我们无法消除威胁，我们能做的最好的事情就是使用高度适应性和可扩展的安全策略来保护网络及其资源，从而消除网络的隐含信任条件。例如，客户团队的员工不需要访问 IT 部门的机密数据；反之亦然。我们看到许多在组织内部转移到不同团队的员工仍然倾向于访问旧资源，因为系统没有做基于资源的身份验证和权限检查。因此，组织应该更加重视访问控制和数据浪费问题。

零信任旨在最大限度地减少组织中攻击行为的横向扩散，这是威胁复制或恶意软件和病毒传播的最常见途径。在组织夺旗活动期间的探险中，我们经常进行练习以处理 metasploits、DDos 攻击，以及了解攻击向量和攻击如何移动。例如，我们使用了针对用户的网络钓鱼电子邮件攻击，其中包含虚假备忘录，指示每个员工将其转发给他们的同事。那封电子邮件嵌入了 MS Powershell 恶意软件，我们用它来做例子证明看上去很美好的邮件其实并不见得那么可靠。由于攻击媒介通常以组织内部为目标，因此零信任方法建议始终以同等审查的方式验证所有网络边界。

现在，与每项新技术一样，零信任也不是一天之内就能建成的。因此对于许多小型企业来说，这听起来需要付出很多努力，因为安全有时会被视为一项昂贵的投资。随着公司提供像 SaaS 和 PaaS 这样的解决方案，组织中存在的技术债务可能是沉重的负担。当现有产品不符合许多零信任原则时，将网络从非零信任迁移到零信任实现也可能很困难。例如，不符合零信任原则的现有系统世界可能存在很多限制，例如 Windows 中的 P2P 服务就需要在运行时共享对等节点信息。针对性的解决方案包括充分了解这些默认设置并根据需要对其进行调整。此外，许多 24*7 的企业通常无法安排停机时间来更新安全特性，于是很容易受到许多勒索软件攻击。因此，建议在资源和设备集群之间使用高可用技术，以尽可能减少对此类业务的生产影响，并且可以在实时迁移期间更新安全内容。

这些检查很重要，因为人们应该明白，安全检查、合规性和软件版本和补丁之间的差距只会随着时间的推移而扩大。如果不立即采取行动，随着安全差距的扩大，以后执行损害控制的成本可能会更高。

零信任安全没有一劳永逸的解决方案。没有一种魔盒可以实现 ZTX 原则。因此，思考你拥有什么、哪些事情可以做得更好、从威胁中恢复的速度以及预测未来威胁的能力，是一种可以帮助企业和客户更接近零信任的策略。

了解有关零信任安全的更多信息

随着我们从本地迁移到云基础设施，我们也看到云端漏洞在日益增多。所以像勒索软件这样的攻击现在很常见。我们已经看到 MS PrintNightmare 也在向远程执行代码发展；假脱机攻击、Sybil 攻击等区块链攻击以及身份盗窃行为正在增加，因此威胁世界永远都会给供应链和威胁猎手带来更多惊喜。

然而，人们越来越意识到零信任、零信任框架及其重要实现（如微网段）能够帮助客户根据设备类型和流量类型等因素隔离网络，并选择策略引擎规则和策略执行点在每个网段实现零信任值。这样就可以更好地管理大多数客户部署中存在的混合网络。

我们还强调，应该对任何软件生命周期实施很多最佳实践，例如安全混沌工程、理解 OPSWAT 以实现安全编码、保持开发代码安全性或在 DevOps 中集成安全性。我想说的是，安全本身也有一个持续的研究和开发周期。

想要开始学习零信任，可以简单地从了解一个人的组织安全见解开始。你如何对沙盒或应用程序进行身份验证？你在使用 MFA 吗？你在使用下一代防火墙吗？你是否放弃了未使用的数据访问权限？你使用过威胁检测工具吗？所有这些问题都可以激发人们了解安全未来的好奇心。

你还可以阅读 NIST 架构（零信任入门）和白宫对零信任的看法（关于改善国家网络安全的行政命令）等白皮书。

了解零信任论坛安全会议也是很有趣的，行业专家会在其中分享他们对最佳实践的见解。

订阅 InfoQ 以了解有关安全趋势的更多信息，然后每天都要去浏览最新的安全新闻！

请记住，安全是有到期日的。所以，让我们认真对待它，在时间用完之前采取行动。

作者介绍：

Sindhuja Rao 是思科的网络安全工程师。她专门为 APJC 地区的客户提供安全解决方案，例如 VPN、防火墙以及身份和访问管理（IAM）。她是 Cyber​ ​Security India 核心团队的 Cisco Women 代表，并在 Cisco Offensive Summit 和 The Diana Initiative、Cisco Seccon 和 QCon Plus 等会议上发表演讲，倡导企业安全的重要性。她是量子计算密码学和行为互联网（IoB）的热心研究人员。她目前还在著名的印度科学研究所（IISc）攻读硕士学位。

原文链接：Mitigating Inside and Outside Threats with Zero Trust Security