随着零信任理念的日益普及,CISO必须重新审视组织内的所有潜在盲点,包括未经监控的物联网(IoT)设备以及第三方系统等,以确保攻击者无法找出破绽并趁虚而入。

即使实施了零信任理念框架,组织也无法百分百地抵御所有的网络攻击。这通常是由于有些组织在采用零信任框架时并没有对组织环境中的一切进行足够全面的考虑。像遗留系统、未经监控的物联网设备以及特权访问滥用等情况都可能成为被忽略的风险。

零信任是一种网络安全范式,本质上是一种哲学观念。它强调组织中的每个用户、每台设备、甚至每条消息,在其被证明是可信任的之前,都需要被视为是不可信的对象。这是传统基于边界的安全方法的替代方案。在基于边界的安全理念中,组织外部的事物一律是不可信的,而内部的则会被自动视为可信任。换句话说,组织就是一个拥有坚硬外壳(边界防御)和软弱中心(内部信任)的模型。

在当今时代,边界无处不在,员工可以在办公室工作,同样也能够在家进行远程办公,计算资源分散在多个数据中心、云以及其他第三方之间。对此,传统基于边界的安全方案已经不再有效。而零信任则是针对于该问题的现代化方案,并且已经受到的广泛的认可。根据Okta公司2022年发布的对700家企业进行的调查,55%的组织已经实施了零信任计划,这一比例相比于2021年的24%有了显著的增长,同时97%的组织计划在未来的12至18个月内启动零信任计划。

然而,零信任也并非万能解决方案。根据Gartner的数据,到2026年,预计超过一半的网络攻击将会以零信任无法覆盖且无法保护的领域作为主要目标。零信任存在两个重大问题。一个是零信任可能无法覆盖某些特定领域,比如遗留技术或未经授权的影子IT;另一个则是有些攻击可以绕过零信任的控制措施。

01 企业实施零信任的进展缓慢

根据Cybersecurity Insiders于2023年3月发布的对美国400名IT和网络安全专业人士进行的调查,仅有19%的组织已经实施了零信任。与此同时,30%表示他们正在进行相关项目,而38%表示他们仍处于规划阶段。但实际上这些估算可能过于乐观。根据Gartner的数据,仅有不到1%的组织拥有成熟且可度量的零信任计划,即使到2026年,也只有10%的组织将拥有这样的计划。

零信任的推出并不意味着所有的安全问题都已得到了解决。零信任也存在着一些盲点,包括那些未能升级为零信任模式的遗留系统、拥有特权的用户执行不当操作、未经监控的物联网设备、第三方系统,当然还有持续存在的变更管理问题等。

02 仅靠零信任无法保护组织的五个领域

1 遗留系统

并非所有的系统和应用程序都能轻松地升级到零信任水平,例如许多遗留系统就并不具备这方面的条件。举一个PIB Group保险经纪公司的例子,该公司在短短七年内通过收购扩大了业务规模,员工数量从12人增加到3,500人。这种迅速的增长意味着公司需要整合和管理许多不同的IT平台以及系统,其中一些可能是由个人开发,并且没有得到充分支持的。这种情况就增加了升级到零信任安全模型的复杂性。

该公司的CISO ,Jason Ozin表示,即使是公司当前的人力资源系统也不支持零信任,它甚至不支持双因素认证,只支持用户名和密码以及IP白名单。但当员工在家里或其他远程位置工作时,IP白名单就不太有用了。

该公司正准备更换一个新的人力资源系统,但另外一些系统就不太容易被迅速替换或升级。这是由于这些遗留系统的技术老化或其他原因。为了解决这个问题,该公司实施了一种“零信任封套”的解决方案。这意味着在遗留系统周围构建一个零信任的安全层,该层用于处理身份验证。只有当用户通过身份验证并满足一定条件(例如来自已知地点和使用双因素认证)时,封套才会将流量传递给该遗留系统。另外,其中一些遗留系统可能非常脆弱,甚至没有设置用户名和密码的安全措施。然而,通过零信任封套的应用,只有经过“门卫”(指零信任安全层)的用户才能够访问这些系统,从而提供了额外的安全保障。

新冠疫情是推动零信任发展的一个主要因素。该公司的快速扩张也正因如此,尽管在PIB开始推出零信任时疫情已经结束了。Ozin表示,虽然组织的计划是摆脱所有遗留系统,但他也承认这几乎是不可能的。这是由于一些遗留系统所发挥的作用是无法被替代的。即使六年后该公司仍在运行一些遗留系统,这也是非常正常的。

但是升级任何东西都需要资源和资金,组织往往只在那些高风险的项目中实施零信任。

2 IoT 设备

许多组织内部都存在着大量的IoT设备,甚至有些设备管理者都不知道它们的存在。这是一个潜在的问题。例如某个地方办事处决定自行安装门禁系统而没有事先与其他部门或管理者进行沟通,这就可能会导致一些安全问题和管理上的混乱。

IoT与OT系统会给组织带来一些潜在的安全挑战。对于这些设备和系统来说,实施零信任变的更加困难。它们对身份的确认较少。许多IoT和OT设备并没有具体的用户,也就是说,它们不是由人类用户操作的,而是自动执行某些任务或功能的设备。对于这些没有明确定义用户身份和帐户的设备,要确保它们安全地连接到网络并执行其功能就变得十分困难。因为它们没有用户帐户,所以传统的用户身份验证方法无法应用于这些设备。

对此,一些公司可能认为IoT和OT设备难以适应零信任模型,因此选择将它们排除在零信任安全范围之外。但同时,一些供应商专门提供了用于保护IoT和OT系统的解决方案。这些解决方案旨在弥补这些设备在零信任环境下的安全性不足,并提供额外的安全措施。

3 特权访问

几乎对于所有组织来说,内部威胁都是一个不可忽视的挑战。即使采用了零信任安全模型,也无法解决所有问题。例如,当一名图谋不轨的内部员工拥有合法权限来访问敏感资源时,他们通常会被视为受信任的人员,零信任模型并不会主动怀疑他们的意图。

对此,可以通过其他技术来抵御风险。例如可以通过监测员工的行为,特别是在不寻常的时间或方式下的行为,来识别潜在的风险。组织将其作为终端检测和响应(EDR)以及Okta登录的一部分。同时,数据泄露预防计划也可以发挥一定的作用。这是一种用于监测和防止敏感数据泄露的计划。如果员工在不寻常的情况下大量地打印文件,那么可能就需要进行进一步的调查了。

即使实施了零信任控制措施,内部威胁仍然是一个重大残余风险。此外,受信任的内部人员可能会被社交工程手法所欺骗,从而造成数据泄露或纵容攻击者进入系统。在完美的零信任世界中,内部威胁和账户接管攻击仍是一个令人头疼的问题。

另外,还有业务电子邮件欺诈风险,即那些能够访问公司资金的内部员工受到欺骗,从而错误地将资金汇给犯罪分子。这种欺诈可能是一种深度伪造,即使用伪造的声音或信息来欺骗员工执行资金转账等操作。重要的是,这种类型的攻击不会受到零信任控制的影响,因为它仅涉及社交工程以及人员误导,而不是技术漏洞。为了应对这种情况,公司应该限制用户的访问权限,以便在用户受到威胁时使损害降至最低。对于拥有特权帐户的情况来说,采取限制用户访问权限的措施相对较为困难。用户及实体行为分析可以帮助检测内部威胁和账户接管攻击。关键就在于要智能地部署这项技术,以确保误报不会妨碍正常工作的运行。

异常活动会触发自适应控制,例如更改对只读访问的访问权限,或者阻止访问最敏感的应用程序。公司需要确保他们不会向过多的用户提供过多的访问权限。然而,这不仅仅是一个技术问题,组织还必须具备维护该技术的相关人员和流程。

根据Cybersecurity Insiders的调查,有47%的受访者表示,在部署零信任时,员工拥有过多权限的问题是一个主要挑战。此外,有10%的公司表示,其所有用户都拥有超出他们实际需求的访问权限,而79%则表示只有部分用户存在这种情况。而仅有9%表示不存在用户拥有过多访问权限的情况。在BeyondTrust代理商进行的Dimensional Research研究中,发现有63%的公司在过去18个月中报告了与特权用户或凭证直接相关的身份问题。

4 第三方设备

CloudFactory是一家拥有600名员工和8000名按需“云工作者”的AI数据公司。该公司已经完全采用了零信任模型。这是因为其用户的数量之多,所以他们必须这么做。

该公司的远程工作人员需要通过Google进行身份验证来登录其工作系统,该公司利用Google身份验证的安全功能来降低风险。然而这也存在一些问题。例如一些关键的第三方服务提供商不支持单点登录或安全断言标记语言集成(Security Assertion Markup Language,SAML)。因此,员工可以使用他们的用户名和密码从未经批准的设备上登录。这可能会导致安全可见性问题,因为公司无法监控这些设备和活动。

CloudFactory并不是唯一面临该问题的公司,而供应商安全问题也不仅仅只与供应商使用的身份验证机制有关。例如,许多公司通过API向第三方开放其系统。在确定零信任部署范围时,就很容易忽视API。

组织可以将零信任原则应用于API以提高安全性,但同时也存在一定的限制。例如组织只能控制其向第三方提供的接口以及可用性。如果第三方没有良好的控制措施,那么该公司就无能为力了。此外,当第三方创建一个应用程序,允许用户来访问数据时,客户端上的身份验证也会成为一个问题。如果该身份验证机制不够强大,那么攻击者就能够乘虚而入,窃取会话令牌。

针对于这种情况,公司可以对其第三方提供商进行审计。但这些审计通常是一次性的检查或者是根据具体需要来进行的,所以无法实时监测其潜在风险。另一种方法是使用分析工具,这些工具可以帮助检测何时发生了未经批准的活动或异常事件。这些工具可以帮助公司更及时地发现安全问题,包括潜在的API漏洞等。

5 使用新技术或新应用程序

根据今年Beyond Identity对美国500多名网络安全专业人员进行的调查,48%的受访者都曾提到:处理新应用程序是实施零信任的第三大挑战。当然,公司对于其系统的变更肯定不仅限于添加新的应用程序,他们还会不断尝试改进其业务流程以及沟通流程。而这与数据信任的概念相冲突。零信任强调了对数据的严格控制和验证,在数据自由流动方面设置了障碍。

这意味着如果零信任没有得到正确实施,就可能会对生产力造成影响。其中最可能发生这种情况的领域就是人工智能项目。因为如今企业有越来越多的选项来创建定制化的、经过精细调整的AI模型以满足其业务的特定需求,包括最近出现的生成式人工智能。

AI获得的信息越多,其功能就越有效。对于AI,企业总是希望它能够访问一切,这是AI的目的所在。但同时,如果AI系统受到攻击或泄露了敏感信息,则会引发安全问题。

最近出现了一种名为“提示式攻击”的新攻击手段。恶意用户尝试通过措辞巧妙的问题来欺骗人工智能,以获取一些敏感信息。对此,其中一种解决方案是避免在敏感信息上训练通用人工智能。这些数据需要被隔离起来,建立一个专门的访问控制系统,以检查提问问题的用户是否被允许访问这些数据。尽管这种方法可能会引入一些额外的资源和管理成本,但却可以有效地提高数据的安全性以及隐私性。

这里的根本问题是零信任改变了公司的运作方式。一些供应商声称零信任是一项容易实施的安全解决方案,认为只需在人员经过的入口点或位置上安装一些边缘安全性措施就能够实现零信任。但事实并非如此,零信任的复杂性才刚刚开始显现出来。这是零信任从未谈到的一个重大缺陷。当公司实施零信任技术时,必须进行流程变更。然而,人们常常对组织内部的流程问题持一种乐观、轻松的态度,认为这些问题会在没有明确行动的情况下自动修复解决。

数世咨询点评

零信任模型的局限性体现出了理想状态与现实情况的具体差距。其局限性主要源自于它在实践中的复杂性以及与业务效率的冲突。

虽说零信任模型确实是一个强大的安全框架,对于许多企业来说是非常有益的。然而,它并不是解决所有安全问题的银弹,需要根据特定情况来进行定制和补充。在实施安全策略时,企业需要全面考虑技术、人员和流程,才能够构建出更加坚固和全面的安全体系。

另外,不得不提的是,零信任模型需要企业投入大量的资源和资金。对于中小型企业来说,这可能会成为一项巨大的负担。因此,企业还需要谨慎考虑是否要全面采用零信任模型,或者说是否可以选择其他更加经济实惠的安全策略,以满足其特定需求和预算。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。