“零信任”模式為解決攻擊帶來了新希望?
專家表示,“零信任”模式為解決用戶導致的攻擊帶來了希望,但是否有些矯枉過正?
本月早些時候Forrester研究所提出的所謂的零信任安全模式引發了對企業保護網絡安全的方式的激烈辯論。
零信任意味著最終用戶不再比外部人員更值得信賴,企業必須檢測所有來自外部以及內部的流量。雖然這種概念引發了懷疑論者的擔心,但這也引起了一些專家的共鳴,即這種模式可以用于解決最終用戶應用程序攻擊以及惡意或者無意內部人員的威脅。
但是這種用戶威脅趨勢是否會帶來全新的安全模式呢?大多數安全專家都認為,你不能信任你的內部網絡,并且需要假設你的企業網絡已經受到破壞,所以在任何信息被盜竊或者損壞發生之前需要檢測并阻止數據泄漏。只是檢測所有的內部流量將會是艱巨的任務,并且可能會矯枉過正。
零信任意味著監測所有的實時流量,并且添加新一代網絡分析工具,這種工具集合了取證、數據包捕捉、元數據分析和網絡發現流量分析,并且將與安全信息管理系統協作,根據Forrester研究所高級分析員John Kindervag表示,他也是在Forrester最近召開的安全論壇上第一個提出這種模式的人。
Kindervag表示,現有的信任安全模式被破壞了,解決方案就是消除可信任內部網絡和不可信外部網絡的觀念。所有的流量都是不可信任的,他表示,這個想法就是要將安全植入網絡結構中。
“我們可以徹底改變我們做事情的方法,我們必須從不同的角度來思考問題,”Kindervag表示。
這“絕對”會受到用戶的反對,他表示,“但是我們必須知道網絡上發生了什么。”
McAfee公司首席技術官Eric Cole表示,從零信任假設企業已經受到攻擊(所以你必須知道在你的網絡中發生了什么事情)的角度來看,零信任的基本理念并不是什么新鮮事。
“零信任的訣竅在于不要過于粒度化,進行更多的關聯工作,查找異常現象,去理解數據包的正常數量、一般尺寸和連接時間等,以及出去的加密連接的平均數量,”Cole表示,“你需要列出前五到十名異常現象,并且反復比較,并且系統會反復出現你需要密切關注的問題。”
并不是所有的流量都要被認為是不受信任的,思科安全營銷總監Fred Kost表示。在網絡以及不同的區域中有不同級別的信任,他表示,“并不是所有都是不受信任的,還是有些區域需要更多的鎖定。”
這與無邊界網絡概念有點類似,無邊界網絡概念中,最終用戶并不是所有都位于辦公室以及防火墻后,而是在遠程工作,使用他們的iPad或者其他移動設備。你需要了解他們角色的更多信息,并明確哪些用戶被允許連接網絡來工作。
監控所有的流量可能是不可能的,“這是非常龐大的數據,”他表示,“每個公司都需要決定進行多大程度的監控工作,以及哪些區域必須進行監控。”
這種網絡要求非常高,而不只是另一層縱深防御,從零信任模式來看。
eEye數字安全公司首席技術官Marc Maiffret表示,縱深防御和零信任的結合是必要的。安全層讓攻擊者更難以從外部進入企業網絡,但是技術高超的有針對性的攻擊者總是能夠找到方法攻入網絡。
“在這里,你看到的是網絡和桌面系統行為的內部通信以及更密切關注的問題,”Maiffret表示。這不可能會引起任何重大的隱私問題,因為這是企業阻止攻擊所需要做的事情。
【編輯推薦】
