評估零信任安全方案的七個關鍵因素
零信任是當下最熱門的網絡安全細分市場,自從五月份拜登總統行政令強推零信任框架后,零信任已經成為未來十年撬動全球網絡安全市場規模的“倍增器”,不但是創業公司的樂園,也是領先安全廠商的兵家必爭之地。
發展最快,最熱,也最難評估的網絡安全方案
根據ThycoticCentrify的最新調查,77%的組織已經在其網絡安全策略中使用零信任方法。對于42%的受訪者來說,“減少網絡威脅”是采用的首要動機,其次是更好的合規性(30%)、減少特權訪問濫用(14%)以及檢查和記錄流量/訪問請求(也是14%)。
根據Gartner的數據,2020年安全業界對零信任的興趣比2019年增長了230%以上。20到30家新供應商聲稱每個季度都擁有零信任的原生產品或服務,在今年的RSA大會上至少發布了十幾種全新的零信任解決方案。事實上,如今全球已有超過160多家網絡安全供應商宣稱提供零信任解決方案。
雖然零信任市場如火如荼,但是,對于企業用戶來說,如何評估不同技術路徑和框架的零信任方案是一件頭疼的事情。值得注意的是,零信任不僅僅是一種架構,也不僅僅是一種平臺和技術實施,零信任也是一種思維方式和文化,這為零信任方案的選擇標準增加了更多緯度。
如今,用戶需求和供應商炒作信息的雜糅混合使得零信任框架特別難以評估。給定的零信任解決方案能否經得起審查和考驗?在做出購買決定之前,企業需要定義和測試一套公正、平衡的復雜標準。
需要考慮的因素包括可擴展性、高級補丁管理和最低權限訪問,而這僅僅是開始。隨著基于人工智能的自動化網絡和應用程序發現越來越受歡迎,企業采購者還必須準備好評估人工智能軟件的有效性,這也是一個艱難的任務。
總之,深入評估零信任框架已經或即將成為企業用戶構建網絡安全戰略和架構時的關鍵任務。以下,是企業選擇零信任架構網絡安全供應商時需要考慮的七個重要因素:
01可擴展性
零信任解決方案架構在設計上是否能靈活適應組織不斷變化的需求,決定了其能否具備保護從中小型企業(SMB)到大型企業的擴展和適配能力。接受測試的零信任解決方案是否可以同樣快速地保護遠程辦公室、區域辦公室中心或整個組織?值得注意的是,對那些作為大型企業獨立合作伙伴的中小企業則往往被安全廠商忽視。
對于中小企業和中型企業如何實施零信任架構,Ericom Software的首席戰略官,前美國海軍密碼學家Chase Cunningham指出:相比大型企業,如今中小型企業和中型企業的網絡安全能力嚴重滯后——依然依賴過時的基于邊界的技術,這些差距難以彌補。
Cunningham表示,對于那些希望通過實施零信任解決方案獲得與大型企業相同的安全級別和能力的企業,安全策略的實施必須著重在用戶、設備、應用程序和工作負載交互的邊緣。可擴展性還意味著系統必須對用戶透明,以便用戶可以專注于他們的工作,而不是試圖弄清楚安全性。此外,系統必須易于激活、設置策略、擴展和修改,因為組織需要適應新環境。最重要的是,可擴展性需要一個完全集成的、免費的身份訪問管理(IAM)工具,可與任何身份驗證提供商配合使用。
02自動化技術能力
為了提升零信任解決方案的表現,網絡安全供應商需要提供一種或多種方法來獲得對所有端點資產、設備和數據存儲的實時洞察力和可見性。同時,識別和隔離惡意設備對于保護每個端點也至關重要。通過評估廠商的自動化技術路徑和能力,企業能快速甄別“技術正確”的廠商,這些廠商會充分利用機器學習、人工智能和相關高級分析功能來不斷提升資產和威脅的可見性,安全自動化程度,以及零信任方案的整體表現。
這是一個很有價值的考量因素,因為廠商無法在依賴域或基于組控制的傳統網絡安全平臺或應用上偽造此功能。
在自動化網絡發現和優化工作流程方面大力投入研發支出的零信任供應商正在加快創新步伐。尋找基于AI的零信任應用程序和平臺,并將客戶參考作為良好的評估標準。該領域的領導者包括Akamai、Forescout、Fortinet和Ivanti。自動網絡發現工作流是網絡訪問控制平臺的基本要素。
該領域最先進的零信任解決方案應當包括用戶和實體行為分析(UEBA)異常檢測、與第三方網絡的基于警報的集成以進行OT威脅檢測和響應、無代理分析以及支持在第三方公共云平臺上托管。
03同時保護人和機器的身份
根據Forrester最近的網絡研討會“如何保護和管理非人類身份”,機器身份(包括機器人、機器人和物聯網)在企業網絡上的增長速度是人類身份的兩倍。根據Venafi的一項研究,機器身份攻擊在2018年至2019年間增長了400%,在2014年至2019年間增長了700%以上。任何組織都必須采用最低特權訪問方法。
對于聲稱為機器身份提供零信任服務的供應商,需要提供能夠在所有機器上運行集中式IAM的客戶案例進行驗證。理想情況下,每個客戶案例都需要在機器級別運行IAM和特權訪問管理(PAM)。
依賴實時監控作為日常運營核心部分的金融服務、物流、供應鏈和制造公司需要優先考慮零信任供應商的這一產品功能。在金融服務中,機器身份和機器對機器交互的增長速度快于IT,網絡安全團隊難以跟上。領先的機器身份零信任安全提供商(包括機器人、機器人和物聯網)是BeyondTrust、ThycoticCentrify、CyberArk和Ivanti。HashiCorp已證明其有能力保護主要基于機器對機器的DevOps周期。
04同時進行端點安全和 IT 資產跟蹤
對零信任供應商的創新進行基準測試——他們是否具備超越端點安全并提供更具彈性、持久性和自愈性端點的能力。網絡安全風險投資、早期投資者和私募股權投資者都在關注自修復端點,因為這類技術有可能超越更廣泛的網絡安全市場。
組織需要更自動化的方法來識別需要自我修復應用程序、安全客戶端或代理、固件和操作系統的端點。每個組織都可以在IT和OT系統中使用更高的可見性和控制力。領先的零信任供應商將有參考資料證明他們可以提供IT和OT洞察力。
此外,選擇端點檢測和響應(EDR)供應商需要優先考慮是否能與盡可能多樣化的IAM系統、日志系統、零信任移動平臺和反網絡釣魚電子郵件系統的集成。
這種評估絕不簡單。正如設計、開發和實施自愈端點的Absolute CTO Nicko van Someren所指出的那樣,關于端點設備的零信任,未知遠大于已知。
他的建議是:“在評估零信任端點解決方案時,重點是迫使供應商思考還有哪些未知和空白,如何彌補。
05在DevOps、SDLC中實施零信任
零信任供應商在整個軟件開發生命周期 (SDLC)中保護特權訪問憑證的有效性方面差異很大。SolarWinds漏洞之后,這一點變得更加明顯,這表明DevOps團隊面對高級持續攻擊是多么的脆弱。在同一個開發平臺上同時確保安全性和DevOps本身就是一個挑戰。縮小這些差距是縮短產品開發時間同時又能交付滿足定期安全審計要求的更高質量代碼庫的最有效方法之一。
聲稱支持SDLC和CI/CD的零信任供應商需要展示他們的API如何擴展和適應快速變化的軟件、配置和DevOps要求。該市場領域領先的零信任供應商包括Checkmarx、Qualys、Rapid7、Synopsys和Veracode。
06在基線要求方面的深厚專業知識
領先的零信任供應商繼續投資涵蓋廣泛核心認證技術的研發資源,包括那些降低密碼依賴,或通過更豐富的上下文和人工智能簡化身份驗證的技術。
零信任供應商應該超越MFA和微隔離技術,因為這些只是參與零信任競爭的基本要求。企業應該在該領域最先進的零信任供應商中尋找那些在自適應身份驗證方面具備深厚專業知識,并支持上下文和用戶角色作為驗證因素的廠商。
遠程辦公和虛擬團隊的快速增長正在加速這一需求。為了保護遠程工作人員的身份和端點需要零信任,應通過自動化技術盡可能多的簡化與身份驗證相關的任務,以優化體驗。在當今許多基于零信任的身份驗證創新中,Ivanti的零登錄(ZSO)——現在是收購MobileIron后平臺的核心部分,借助成熟的生物識別技術,包括Apple的Face ID,作為輔助身份驗證因素訪問工作電子郵件、統一通信和協作工具以及公司共享的數據庫和資源。檢驗密碼替代方案的最好辦法就是測試其在網絡、設備和身份層面的移動威脅防御能力。
身份驗證的創新方法之一是Ericom軟件自動化策略生成器,它可以了解如何將零信任策略應用于用戶或應用程序或兩者,而無需管理員輸入。
07加密算法能否在所有流程中全程保護數據
評估零信任供應商是否,或在多大程度上可以啟用本機操作系統加密機制也是區分銷售炒作與真材實料的供應商的實用方法。
正如Zoom在2020年使用GCM(伽羅瓦/計數器模式)將其安全性升級到256位AES一樣,考察對加密標準的選擇“品味”有助于挑選出最有經驗的零信任供應商。GCM專為通過塊傳輸進行高性能數據流而設計,可在主要依賴網絡會議呼叫應用程序進行通信的虛擬團隊之間很好地擴展。GCM還可以驗證加密,進一步支持零信任安全架構。
更先進的零信任供應商還將支持傳輸層安全(TLS)1.2密碼套件,以保護開放互聯網上的傳輸數據。
總結:信任,從零(信任)開始
總體而言,本文提供的七個考量因素旨在幫助企業選擇真正能夠擴展并支持業務快速變化的零信任供應商。
在評估零信任框架時,關鍵是要了解供應商在高速變化的零信任領域的競爭力如何。其中包括機器身份級別的IAM和PAM,以及新的機器對機器零信任實施。
無密碼和高級身份驗證技術以及加密算法的不斷發展也是很好的評估基準,適用于考核任何參與投標的零信任供應商。
