充分利用零信任:从正确实施开始

发布者:EE小广播最新更新时间:2023-06-07 来源: EEWORLD作者: 马俊 Akamai大中华区高级售前技术经理关键字:网络安全  Akamai  勒索软件 手机看文章 扫描二维码
随时随地手机看文章

应对网络安全复杂性的零信任策略


随着数字化进程的不断加速,企业的网络安全面临着越来越复杂的挑战。现代企业通常使用多种网络拓扑、应用程序和服务、设备和终端等,这些多样性增加了网络安全环境的复杂性。同时,攻击者不断开发新的攻击技术和工具,利用复杂的网络安全环境来隐藏其攻击行为。我们从最近爆发的一些网络安全事件中不难看出,企业需要采取多种措施来保护其网络安全,以应对不断变化的网络安全环境。


例如,Clop勒索软件利用GoAnywhere的一个零日漏洞渗入了130家企业。攻击者通过该漏洞规避GoAnywhere的认证和安全协议,进而完全控制目标企业。Clop声称已从这些实体中获取了敏感数据,并要求支付赎金,否则就将公开这些数据。在过去几个月中,Clop勒索软件已对包括医疗、金融、制造和能源在内的多个领域虎视眈眈。


勒索软件攻击对制造业的影响更难应对,也更具破坏性。


AlphaV勒索软件渗入铜山矿业公司(CMMC),导致该公司ICS/OT网络被隔离并转为手动操作;都乐食品公司在其IT系统受到勒索软件攻击后,被迫暂停了北美工厂的生产。


Akamai“全球网络安全分析”表明,2022年,全球最受影响的垂直行业,即企业内部设备最常受到网络攻击的垂直行业就是制造行业。制造行业所受的攻击数量占到总体受到影响企业的三分之一左右,并且远远领先于排名第二的商业服务行业。由于亚太地区已经占到了全球制造行业产出的50%以上,这也反映出亚太地区已经成为深受网络安全困扰的地区。如果再进一步观察,中国占到了全球制造产出的30%,这就使得中国也变相成为了黑客攻击的最大目标之一。

 

要解决这样的问题,Akamai推荐使用“无代理”方法,即便是非常老旧的系统,在无代理的背景之下,依然可以用非常现代的保护方式去保护它们。保护这些系统最优的方式之一,就是选用并且赋能零信任Zero Trust模型。在Zero Trust当中,任何一类用户或者应用不会自动受到信任,只有得到授权的用户和应用才能够实现良好的沟通。这样可以保证即便是授权的一些用户和应用,也要持续地监测,防止任何可疑的行为。

 

Gartner 认为 ,零信任网络访问 (ZTNA) 是增长最快的网络安全形式,到 2023 年将增长 31%,到 2025 年将完全取代 VPN。据Gartner 预测,到 2025 年,至少 70% 的新远程访问部署将主要由 ZTNA 而非 VPN 服务提供,高于 2021 年底的不到 10%。


同时,今天的首席信息安全官(CISO)发现自己的主要任务是降低保护多云基础设施的复杂性和成本,并通过整合技术堆栈节省成本和提高可见性,这使得零信任成为了优先事项。75%的安全领导者表示其网络安全系统和技术堆栈过于复杂且运行成本高。所以CISO越来越依赖零信任规划来简化和加强其企业的网络安全态势以及确保每个身份和终端的安全。


实施零信任过程中的挑战


尽管如此,很多企业对于零信任的实施情况实际上却不太乐观。


首先,许多企业误认为零信任是一个产品,认为只要拥有某个产品或另一个产品就能实现零信任。实际上,零信任是一种策略,渗透在组织的各个方面,仅仅通过改革某项技术很难实现全局零信任。同时,现代网络安全极其复杂,公司不断添加新产品以应对新威胁。这造成了大多数安全产品在孤岛中运行的环境,组织内的不同团队或部门负责各自的安全,并且他们可能无法共享信息或与其他团队协作。这可能会造成安全盲点和漏洞,并导致政策和程序不一致,从而为实施零信任安全造成障碍。为了使框架有效,它需要一个整体的安全视图,组织的所有部分共同创建一个统一的安全架构。


其次,大多数企业在实践零信任时遇到的最大挑战之一是不理解如何正确实施零信任,对于一些底层原则没有充分理解,如最小权限访问和持续监测可疑行为。现代社会,随着工作模式的改变,零信任的原则在落地上也面临着挑战。零信任安全遵循“从不信任,始终验证”的原则,这意味着每个用户和设备在访问资源或数据之前都必须经过身份验证。该原则依赖于公司控制用户尝试访问的端点、网络连接或资源的关键假设。然而,现实情况是越来越多的员工在远程工作并使用 SaaS 服务,公司的数据和关键应用程序越来越多地超出了企业的范围。结果是,在很多情况下,传统的控制点不再有效。


最后,零信任在部署方面的挑战并非源于技术本身,而是源于整个组织架构。换句话说,企业可能因为架构太过臃肿而造成一系列问题,在自身的网络或云端运行着过多的服务和技术。因此,要实现零信任,企业必须实现跨部门或者跨团队的沟通,这就造成了很多挑战。


企业部署零信任的最佳做法


为此,我们建议企业可以采取以下三点措施来实现更有效的部署策略:


首先,在整个零信任项目团队中,最好由企业高管担任负责人,而不是IT团队或安全团队的负责人,这样才能实现全局的零信任部署。因为零信任部署需要在整个企业范围内实施,需要跨部门协调和执行。企业高管通常有更广泛的视野和更深入的了解企业战略,可以更好地协调不同部门之间的工作,确保零信任部署能够在整个企业中得到有效实施。此外,企业高管通常具有更高的权力和决策权,可以更好地推动零信任部署的实施和执行。


第二,企业在部署零信任之前,最好能够借鉴行业指南,从用户、数据、设备、云端等各个方面来衡量整体零信任成熟度。


第三,微分段可以将网络划分为隔离段的安全策略,其作为零信任的重要组成部分可以减少网络的攻击面并提高数据和资源的安全性。微分段使组织能够快速识别和隔离其网络上的可疑活动。

 

最后, 企业在部署零信任时最好能够与专业的技术解决方案提供商合作,借助其技术和手段,在组织内部实现跨部门、跨团队的协作。在同一平台上共同解决大方向层面的问题,以实现成功的零信任。


在越来越复杂的网络安全环境下,建议企业可以结合多种策略在2023年成功实施其零信任安全计划。这些策略包括实施身份访问管理 (IAM) 系统、特权访问管理 (PAM) 解决方案、微分段、多因素身份验证等。采用这些策略的“组合拳”,企业可以确保其数据和系统的安全,并快速检测和响应威胁。 


关键字:网络安全  Akamai  勒索软件 引用地址:充分利用零信任:从正确实施开始

上一篇:应对当今软件供应链安全挑战,以DevOps为中心的安全至关重要
下一篇:新思科技被Forrester Wave评为软件组成分析领导者

推荐阅读最新更新时间:2024-11-04 18:14

智慧城市网络安全建设十大要点
智慧城市建设以物联网、云计算等大数据技术体系为支撑,数据信息巨大,并涉及到政务、商业、生活等方方面面,一旦出现信息泄露、数据丢失等安全问题,后果将不堪设想。因此,智慧城市的信息安全问题不容忽视。我国近年来智慧城市建设实践中,信息安全作为重要一环,在进行整体规划和顶层设计之时,并未被忽视,各省市的智慧城市规划设计大多都建立了完善的体系系统,在信息安全方面也都有比较完善的规划设计。 配合当地文化与市民需求,以及智慧科技在一些关键领域可能遭到什么样的黑客攻击是值得被注意的议题。同时,一旦缺乏良好的安全标准和规范,原本预期的效益将大打折扣,进而将衍生出意想不到的问题。 为了协助主管单位打造健全的智慧城市,制作了一份安全十大要点,以供于
[安防电子]
帮助开发人员构建物联网网络安全的6项基本活动
对于许多开发团队而言,将网络安全纳入其物联网设计的想法似乎很难。在没有系统解决方法的情况下,在添加功能和最小化实现成本之间取得平衡会很快导致混乱。为了支持开发人员,美国政府已经确定了开发团队可以进行的一些重要活动,以为其设备的安全功能提供合理的基础。 美国商务部国家标准与技术研究院(NIST)在其文件NISTIR 8259“针对物联网设备制造商的基础网络安全活动”中定义了六项基础活动,对于开发团队在考虑其物联网设备设计中的网络安全性时应遵循的基础活动。这些基础活动可以分为两个时间点:首先是售前活动,这些活动在详细开发甚至尚未开始之前就进行了。这些活动将帮助开发团队确定其设计应提供的安全功能,并且通常可以揭示有关如何实现该功能的
[网络通信]
帮助开发人员构建物联网<font color='red'>网络安全</font>的6项基本活动
以色列网络安全公司研究显示 特斯拉Model S/3车型易受GPS欺骗攻击
据外媒报道,以色列网络安全公司Regulus Cyber最近的研究显示,特斯拉Model S和Model 3 电动汽车 的导航系统易受到网络攻击。Regulus Cyber公司最近在试驾启动特斯拉Navigate on Autopilot功能的汽车时,发现对该功能进行攻击会让汽车突然降速,并偏离主干道。Regulus Cyber公司是首家关注汽车、移动设备和关键基础设施智能传感器安全的公司,其在针对GNSS(全球定位卫星系统,也称为GPS)接收器易受到欺骗技术攻击的威胁研究中发现,特斯拉汽车就易受到该威胁。 Regulus Cyber研究人员发现,利用关键任务远程信息处理、传感器融合和导航功能中的漏洞,可轻易地通过无线和远程方
[汽车电子]
以色列<font color='red'>网络安全</font>公司研究显示 特斯拉Model S/3车型易受GPS欺骗攻击
BSI全新发布汽车网络安全洞察报告
近日, BSI 全新发布了《汽车网络安全洞察报告》,该报告聚焦于联网汽车的崛起和对不断增长的汽车网络安全需求,助力您应对行业在转型中遇到的挑战,满足新的网络合规要求。 本文将阐述这些主要变化如何转化为制造商面临的新的网络安全威胁和挑战,以及ISO/SAE 21434和BSI E2E互联汽车网络安全模型如何帮助您克服这些问题。 BSI全新发布汽车网络安全洞察报告 联网汽车的网络安全形势 联网自动驾驶汽车和无人驾驶汽车的概念已经并不新鲜。早在 1920 年代,人们就在自动驾驶系统 (ADS) 上进行实验,并在 1950 年代开始现场试验。1977 年,日本筑波机械工程实验室开发了第一款自动驾驶汽车,需要在带有专用标志的道
[汽车电子]
BSI全新发布汽车<font color='red'>网络安全</font>洞察报告
物联网安全迫在眉睫,区块链技术或是一剂良药
这个世界上现在到处都是 物联网设备 ,而且将来还会更多。在2017年,大约有 84亿台接入了互联网的智能设备 ,比如说恒温器、照相机、路灯和其他电子产品。到2020年,这个数字可能会超过200亿,而到2030年,可能会上升到 500亿甚至更多 。由于这些设备会一直处于在线状态,所以他们很容易受到网络攻击,而且它们甚至还会“参与”到网络攻击活动中。   现在很多智能设备都是由类似谷歌、苹果和三星这样的巨头公司制造的,它们不仅技术实力雄厚,而且又有市场激励,可以快速解决任何安全问题。但实际上,现在的 物联网设备体积越来越小 ,像门铃和灯泡这样的东西都开始配备数字“大脑”了,但这些设备往往由一些发展中国家的不知名公司生产的,而这些公司并
[嵌入式]
影响3G网络安全的“七宗罪”
    从最初的蜂窝模拟技术到第二代数字通信技术和当前的3G,移动通信技术主要经历了三代的发展。3G与之前的移动通信技术相比,具有频谱利用率更高、速率更快、业务更丰富与开放、终端更智能等优点,其新技术、新业务无疑可为用户提供方便快捷的通信服务。然而,任何新技术、新业务都会带来新的安全保密问题,3G也不例外。信号软切换,接入速率的提高,接入地点、应用的不停变换,带来网络各种参数的不断变化,使得对网络和移动终端的安全监控及管理更为困难。事实上,利用3G进行通信存在着一定的安全隐患。     一、3G无线网络的空中开放性对信息安全构成潜在威胁。     所有通信内容,以及包括信令、协议认证和密钥交换算法等在内的大量数据,均通过无线信道开
[手机便携]
周鸿祎:5G时代,网络安全隐患是车联网最头疼的问题
从运营商全面铺开5G网络建设,到5G终端批量面世,再到超高清视频、物联网、工业互联网等场景应用成为现实……2019年,中国5G产业陆续迎来了商用落地。 每个设备都可能成为攻击入口 但在周鸿祎看来,5G在高速发展的同时,也将带来更多的网络攻击,“5G促成了物与物相连,攻击也会加剧。未来不只是攻击你的电脑、影响你读取文件,可能还会向物理世界转移,比如汽车劫持、对电站打击等等,威胁会更大”。 他认为,5G协议刚刚开始商用,目前暂未发现明显漏洞,但安全问题犹存。根据预测,2025年将有至少500亿设备连入物联网,这也意味着,每个设备都有可能成为攻击的入口点。“每个设备万一有漏洞,都会被黑客利用。5G已变成连接物理世界和虚拟网络
[汽车电子]
周鸿祎:5G时代,<font color='red'>网络安全</font>隐患是车联网最头疼的问题
物联网时代将至 安全问题的思与变
尽管物联网这个词在生活中实际应用的非常少,以至于人们常常搞不清楚物联网究竟是概念还是什么实体网络,但随着科技的发展,物联网已经全面落地到我们的生活之中。智能家居、交通物流、环境保护、公共安全、智能消防、工业监测、个人健康等领域中,我们都不难看到物联网的影子——以互联网为基础,用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信。下面就随网络通信小编一起来了解一下相关内容吧。 物联网系统架构有三个层次。一是感知层,即利用 RFID、传感器、二维码等随时随地获取物体的信息;二是网络层,通过各种电信网络与互联网的融合,将物体的信息实时准确地传递出去;三是应用层,把感知层的得到的信息进行处理,实现智能化识别、定位、跟踪、监控和管理
[网络通信]
小广播
最新物联网文章
换一换 更多 相关热搜器件

 
EEWorld订阅号

 
EEWorld服务号

 
汽车开发圈

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved