彈性策略將是踐行零信任的重要方法

網絡攻擊威脅日益嚴峻，SolarWinds、JBS USA和Colonial Pipeline等遭到攻擊的事件層出不窮，企業組織不能再依靠傳統的防御手段來保護關鍵基礎設施和數據，Log4j漏洞的出現更是警醒著企業組織，攻擊者可能已經潛伏在公司的內部網絡之中，鑒于這些備受矚目的事件，為了增強抵御網絡威脅的應對能力，許多國家立法力度也進一步增強，例如美國的《關鍵基礎設施網絡事件報告法案》、歐盟的《網絡安全和信息安全措施通用條例》。

這些新法的出臺旨在改變網絡安全模式，由原來的“信任但驗證”舊口號轉向零信任方法。一個典型的例子就是美國行政管理和預算局（Office of Management and Budget，簡稱“OMB”）今年早些時候發布了聯邦戰略，該戰略詳細地列舉了一系列具體的安全要求，并力求美國政府機構要在2024年底之前實現具體的零信任目標，并且要與網絡安全和基礎設施管理局的零信任成熟度模型及以下五大要素密切配合：

?身份：員工使用受企業管理的身份來訪問辦公應用程序，采用多因子身份驗證（MFA）進一步保護員工免受網絡釣魚和其他復雜的在線攻擊。

?設備：清點所有授權供政府機構使用的設備，達到預防、檢測和響應設備上發生威脅攻擊事件的目的。

?網絡：對環境中的所有DNS請求和HTTP流量進行加密，開始對邊界環境施行微隔離計劃。

?應用程序及工作負載：將所有應用程序視為聯網的應用程序，定期對應用程序進行嚴格的實證測試，并密切關注外部報告的漏洞。

?數據：全面部署數據分類分級保護措施。充分利用云安全服務來監控用戶對敏感數據的訪問動態，并實施面向整個企業的日志記錄和信息進行共享。

零信任架構與其他網絡安全架構相同，要想達到以上的要求和標準需要政府機構的支持，然而，美國的許多關鍵基礎設施都由私營部門所主導，這些私營部門在網絡安全管理上總是擅自專權。

還有一個最大的問題是OMB發布的這些戰略錯估了零信任的“功效”，事實表明，在實施零信任架構的過程中，由于軟件沖突、人為錯誤、常理不足和惡意行為等多重因素的共同影響，旨在防范各種威脅事件的工具和軟件經常被錯誤安裝和使用。而且實際上，大多數黑客攻擊都會長期偵察，攻擊者會禁用或繞過任何安全控制機制，因此，零信任戰略的落地需要彈性，且因時而變，以抵御外部攻擊因素為主要目的，而不能一味的糾結于規定紅線和明文標準。

零信任的彈性落地情況要依據實際應用場景而定，任何情況下，企業組織采用零信任技術為確立網絡彈性措施賦予怎樣的優先級，取決于對黑客在攻擊受害者時通常采用的策略、技術和程序（所謂的TTP）等多方面下的評估。

端點設備通常被黑客和網絡犯罪分子用作發起攻擊的入口點，或充當在網絡內橫向移動的立足點。波耐蒙研究所（Ponemon Institute）最近的一項調查也佐證了這一點，調查顯示68%的企業組織在過去12個月內遭到過端點攻擊。盡管眾多企業組織都在盡力保護端點設備，但該數據說明端點安全依舊嚴峻，因此端點安全需要彈性的零信任方案，當然，端點彈性只是網絡安全彈性方案的一個表現，端點彈性使企業組織能夠清楚地知曉端點設備部署在哪里，并在這些端點上實施安全措施，如此，一旦端點設備被禁用、被篡改或被攻擊，也能實現自我修復。

實施端點彈性等網絡彈性策略在攻擊事件發生前后會為企業組織帶來以下的收益：

?強化安全態勢：網絡彈性不僅有助于響應和抵御攻擊，還可以幫助組織制定戰略，以改善IT治理、提高關鍵資產的安全性、加強數據保護工作以及盡量減少人為錯誤。

?改進合規態勢：滿足現下許多行業標準、政府法規和數據隱私法所宣傳的網絡彈性要求。

?增強IT生產力：值得一提的是，網絡彈性改善了組織IT團隊的日常運營，提高了企業組織應對威脅的能力，可協助恢復工作，并有助于確保日常運營順利進行。

鑒于上述諸多優勢，越來越多的企業在部署網絡風險和安全管理框架時都在采用網絡彈性這個概念。例如，美國國土安全部的網絡彈性評估（CRR）就如何評估組織的運營彈性和網絡安全實踐提供了指導；此外，美國國家標準與技術研究所（NIST）特別出版物800-160 Volume 2，它為設計安全可靠的系統提供了一套框架，將不利的網絡事件視為彈性和安全問題。

綜上，網絡彈性是踐行零信任的重要方法，如果實施得當，彈性零信任將成為一種預防性措施，可以有效對付人為錯誤、惡意行為以及不穩定的老化軟件等一系列問題。

參考鏈接：

https://www.securityweek.com/need-resilient-zero-trust