澄清對零信任安全的5大誤區
責編:gltian |2019-03-22 13:50:50不只是“信任但要驗證”,零信任模型應該假設攻擊者最終會開展入侵活動——即使他們還沒有。目前有一些對零信任的誤解阻礙了其發展。
多年來,主流的安全信條是“信任但要驗證”。然而,這種觀念已不足以應對當今無邊界、全球化、移動化、基于云的威脅環境。
據Gartner預計,在2019年組織機構將投入1370億美元在IT安全和風險管理上,因為2018年66%的企業都經歷過安全漏洞。你可能會想安全投資這么大,我們應該會比壞人領先幾步,但現狀是幾乎每周都會有備受矚目的網絡攻擊新聞出現。
零信任安全是對陳舊安全策略的一劑良藥,因為它要求組織機構永遠不要信任并始終進行驗證。每個企業必須認識到攻擊者存在于網絡內外,并且基于邊界的安全無法再防御基于身份和基于證書的入侵。而身份和證書是當今主要的攻擊媒介。現在的解決方案是通過僅在適當的時候授予足夠的權限,將信任完全移除。
然而,目前有一些對零信任的誤解阻礙了其發展。讓我們看一下5大誤區,并澄清事實。
誤區1:零信任安全之路始于數據完整性
請放心,加密敏感數據并確保其完整性仍然是最佳做法。 沒有人否認這一點。但是如果攻擊者已經獲得了訪問權限(包括解密密鑰),那么還能如何限制攻擊者竊取數據呢?
Forrester估計80%的數據泄露事件都是由于特權證書濫用造成的。與個人賬戶相比,特權證書為竊取數據提供了更大的平臺,所以只要一個受損的證書就可以影響數百萬人并造成大巨大的損失。這也就不意外Gartner建議將特權訪問管理(PAM)置于任何安全項目列表的第一位了。
在組織開始實施以保護身份為中心的安全措施之前,賬戶攻擊將持續為數據泄露提供完美的偽裝。因此,零信任之路應該始終從保護身份開始。
誤區2:零信任只適用于大型組織機構
谷歌是最早采用零信任模式的公司之一。因此很多人仍然認為該模型只適用于大型組織機構。但實際情況是,沒有公司在面對網絡攻擊是安全的。事實上,根據“2018年Verizon數據泄露調查報告”,61%的數據泄露事件影響到了小型企業。
好消息是零信任安全不會讓你傾家蕩產。企業規模和預算不應該成為阻礙,因為即使是很小的企業也可以通過成本效益高、循序漸進的方法開始零信任工作。例如,很多組織機構通過使用密碼庫或多因素身份驗證等容易實現的功能,顯著提高了其安全性。每年在每個系統上花費幾百美元是非常值得的,可以避免潛在數百萬美元的罰款、處罰或品牌損失。
誤區3:我需要完全替換整個網絡安全環境
谷歌在第一次建立其零信任安全架構時,的確決定從頭開始建立整個安全網絡。但對于大部分組織機構來說,情況并非如此。
零信任可以簡單的通過增強環境中已有的安全控制開始。例如,你可以從部署“MFA無處不在”方案開始,這種方案并不復雜并能夠帶來巨大的價值。這第一步非常有助于建立身份保障并能夠顯著減少攻擊層面,為你的組織機構走向零信任之路打下堅實的基礎。
誤區4:零信任僅限于本地部署
很多組織機構認為零信任只適用于本地工作,而不能應用到公有云上。當敏感信息存儲在傳統網絡外部時,這將成為一個問題。
事實上零信任可以輕松擴展到云環境中,而且隨著各行各業轉向混合,多云環境,這一點變得越來越重要。此外,零信任不僅包括基礎設施,數據庫和網絡設備,還應該擴展到其他攻擊層面,這些層面正日益成為現代組織機構發展的戰略要求,包括大數據,DevOps和容器等。
誤區5:零信任的唯一好處是它能將我面臨的風險降到最低
減少風險顯然是零信任帶來的主要益處,但是絕對不是唯一的好處。
Forrester最近總結道零信任可以將一個組織機構面臨的風險降低37%甚至更多。但是他們也發現部署零信任的組織機構可以減少31%的安全支出,在整體IT安全預算中節省數百萬美元。
零信任還可以帶來更大的商業信心。Forrester研究發現部署零信任的組織機構對采用移動工作模型的信心高出66%,保護DevOps環境的信心高出44%。因此他們能夠更有信心和保障加速使用新的商業模型,帶來新的用戶體驗。
最重要的是,今天的安全工作并不安全。零信任模型不只是“信任但要驗證”,一個零信任模型假設攻擊者最終會入侵——即使他們還沒有。采用了零信任,你可以減少攻擊層面,提高審計和合規的可見性,并降低復雜性和成本。
零信任是現代混合型企業實現安全的根本方法。記住:永遠不要信任。始終進行驗證。實施最小權限。
這些才不是誤區。
上一篇:淺談如何實現PDF簽名的欺騙攻擊
下一篇:12項威脅最大的無服務器安全風險