了解网络安全的零信任方法

自从建立零信任关系以来,许多公司已经将其方法扩展到包括各种系统,平台和设备。原因很简单:他们在这个高度数字化的时代看到了它的价值。 

2017年,涉及恶意软件WannaCry的勒索软件攻击 残废 UK’的NHS。由于无法获得记录,大约200家初级保健机构不得不推迟或暂停其医疗程序。

在同一年,美国最大的征信机构之一Equifax经历了一次数据泄露,暴露了 1.45亿 个人和财务记录。

组织已经充分意识到网络威胁的现实,但是许多组织仍然没有意识到’不了解他们的工作方式—通常会错误地认为这些只是外部威胁。实际上,故事可以从内部开始。因此,这个概念或模型被称为“zero trust” was born.

什么是零信任?

零信任是建立在以下观念之上的:“每个人都不应该信任任何人。”从组织的角度来看,从首席执行官到负责任的所有成员,无论是偶然还是故意,都可能犯下,影响,加剧或加剧网络威胁。它们与破坏全球系统的网络攻击者一样有害。

另请阅读: 超融合基础架构正在重塑IT管理

零信任的诞生 

要进一步了解零信任的原理,可以追溯到2004年,保罗·西蒙兹(Paul Simmonds)向杰里科论坛(Jericho Forum)提出了两个概念。这两个是城堡式护城河模型和去界线化:

  • In “castle-and-moat”,传统的网络安全系统似乎就像一个城堡,周围被防御性边界和护城河所包围,护城河使它免受更多威胁的侵害。所有网络设备都依靠防火墙将入侵者拒之门外。 
  •  另一方面,去外围化则认为,随着更多员工使用大量设备并随时随地访问这些设备,该策略可能不再起作用。安全方法还必须具有敏捷性。为此,该公司通常需要通过按需访问和全面的身份验证流程来保护前端和后端组件。

引入反渗透技术六年后,Forrester研究的首席分析师兼副总裁约翰·金德瓦格(John Kindervag)  零信任。他暗示:

  • 旧的安全模型存在缺陷,因为它假定所有用户都是可信任的。
  • 信任是一个漏洞,尤其容易被恶意行为者利用。
  • 尽管他同意考虑到无线和复杂连接的普及,目前的安全方法应该更加灵活,但他还认为,在任何时候进行无限制的访问仍然很危险。
  • 微细分可能成为预防该问题的有效策略之一。例如,用户可能无法访问所有数据库或信息。他们可能需要在每个级别进行身份验证。

另请阅读: 转变网络:从虚拟化到云化

数字时代的零信任价值

自从建立零信任关系以来,包括Google在内的许多公司已经将其方法扩展到包括各种系统,平台和设备。原因很简单:他们在这个高度数字化的时代看到了它的价值。

1.网络攻击代价高昂

网络安全事业部打破了惊人的网络攻击成本。到2021年,其价值可能会令人难以置信 每年6万亿美元。那’相当于每秒近200,000美元!

实际上,损失是如此之大,以至于与世界经济体相比,网络犯罪仅次于美国和中国而排名第三。它的成本也超过了全球毒品贸易和自然灾害。

这些威胁对小型企业尤其有害。在Keeper Security的2018年报告中,员工少于一千的美国一半以上的小型企业遭受了网络攻击。几乎 60% 声称他们的数据已被泄露。

这些网络犯罪通常使周围的小型企业蒙受损失 $ 200,000 一年。这些企业中约有60%最终在遭受攻击后的六个月内关闭。

2. 5G网络存在很多漏洞

5G网络令人兴奋—和争执与政治—因为它可以对IT产生影响。由于承诺加快速度并减少延迟,因此在运行应用程序和网络时感觉就像是极限。

5G技术可以推动物联网设备的增长,并增加对自动驾驶汽车和智慧城市的需求。随着平台变得更有能力提供服务,小型企业可能会与大型同行一样高效,而这些服务以前购买和维护起来都太昂贵了。

但是,该技术还可以为网络犯罪分子提供不同的渗透途径。 5G’的连通性也可能成为其致命弱点’脚跟。在2019年,爱荷华大学和普渡大学至少列举了 十个5G漏洞,包括通过短信和来电传递的劫持紧急警报。

公司可以扩大零信任范围,以覆盖用户,机器和网络。这意味着,即使不良行为者成功绕过了第一层保护,也可能无法实现进一步深入的目标。

这种方法还可以促进对内部和外部使用的持续监视,因此IT团队可以了解可疑的访问或活动。

另请阅读: 微服务架构的增长价值

零信任的弊端

零信任是一种智能,现实且可行的安全模型,但它并不是完美的。迈克·吉莱斯皮(Mike Gillespie)为《计算机周刊》撰稿 说明 零信任的局限性,挑战和障碍。

  • 这可能会导致员工离职。它以某种方式产生了一个想法,即他们不值得信赖,并且公司可能始终在关注他们的一举一动。员工觉得自己受到了不断的监控。因此,零信任会加剧工作场所的紧张气氛。
  • 这些限制可能会限制创新。不同的身份验证过程,无法访问有用的信息以及有时官僚主义可能会降低生产力和效率。

 对于其他人来说,需要管理的应用程序,人员和数据量可能是一个巨大的挑战。在某些时候,如果网络犯罪分子需要接管,它可能无法适当地保护其中之一。 

如何改善零信任政策

微软有 概述 有关加强和改进组织内零信任政策的一些建议。这些包括:

  • 考虑条件访问控制。与其将精力集中在网络的内部和外部用户上,组织可以转向根据每个访问请求的上下文来审核每个访问请求。
  • 加强一个’的凭据。除了使用唯一密码并定期更新密码之外,公司还可以从多条件身份验证中受益,这是有条件访问控制的一部分。
  • 最大化分析。部署用于零信任的系统生成的数据可用于跟踪可识别网络威胁的模式。 

 微软透露,现在有超过20%的公司实施零信任,而超过一半的公司表示将在未来12个月内实现零信任。因此,它看起来像’s here to stay.

零信任方法将使网络世界变得更加安全。但是,为了真正实现其在组织中的目的,此模型需要发展以适应用户不断变化的需求。公司还应该克服该模型的局限性,并且永远不要忘记网络安全的基础知识。

接下来阅读: 了解企业数据结构的作用

本文最初发表于2021年2月24日
通过网络更新新闻获取最新消息