报告丨Invicti Security公司发布《工作中的零信任》白皮书丨附下载

2022-07-27 15:21 管理员

随着不断的网络威胁和安全事件在复杂性和规模上不断演变，政府机构如何在现代化的IT环境中保护自己，同时不断成熟安全协议以满足零信任？这篇白皮书解释了零信任的重要性，强调了组织的整个攻击面，包括为日益数字化的操作而存在和正在开发的众多web应用程序。

‍白皮书指出了，各机构在制定未来的网络安全工作时，应将文章中的五种策略放在首位，以增强机构的网络安全能力。

ZTA要求所有用户在访问应用程序和数据之前都要经过身份验证、授权和持续验证。然而，零信任也是一个数字化转型的框架，解决了联邦机构面临的许多挑战，从保护远程工作人员到实现混合云环境和减少勒索病毒风险。

CISA的零信任成熟度模型按照传统的、高级的和最优的层次来定义架构和过程，它满足了所有机构现在所处的位置，并提倡一种可实现的、增量的方法。

联邦网络安全的新策略

针对联邦机构的网络攻击越来越复杂，这凸显了加强联邦网络安全的迫切需要。但什么才是正确地回应呢？机构如何在日益现代化的IT环境中保护自己，同时不断完善安全协议，以应对不断变化的威胁？从业者可以使用最佳实践和现代化的自动化工具，将安全性引入到软件开发过程的各个阶段。

去年，拜登总统发布了《改善国家网络安全》（EO）14028号行政命令，全面启动了一项的政府政府工作，以确保基线安全实践到位并且联邦政府正在向零信任架构迁移。

这些全面的改革早就应该进行，所以联邦机构不能原地踏步。为了提供指导能力，网络安全与基础设施安全局（CISA）发布了“零信任成熟度模型”。现在，各机构正在竞相实施零信任架构（ZTA），以提高他们的安全速度，零信任架构一旦全面实施，将超过商业网络安全标准。CISA的“零信任成熟度模型”（Zero Trust Maturity Model）和其他针对联邦机构的指南体现了一个起点战略，以及采用“爬-走-跑“方法的长期安全架构迁移计划。

零信任成熟度模型的五大支柱

联邦各部门的职责、内部结构和文化都不尽相同。制定涵盖所有联邦机构的标准或政策是很棘手的。然而，政府通过专注于ZTA取得了成功。

美国国家标准与技术研究所（NIST）特别出版物（SP）800-207提供了以下零信任和ZTA的操作定义：

Zero trust提供了一组概念和想法，旨在在面对被视为受损的网络时，在信息系统和服务中执行准确的、请求最少特权的访问决策时，最大限度地减少不确定性。
ZTA是一个企业的网络安全计划，它使用零信任概念，其中包含组件关系、工作流规划和访问策略。
因此，零信任企业是作为ZTA计划的产品为企业准备的网络基础设施（物理的和虚拟的）和运营策略。

需要注意的是：

零信任旨在防止在所有计算机系统、网络和应用程序中未经授权的数据和服务访问。这对web应用程序尤其重要，因为它们通常是信息系统中最容易暴露的部分，可能为数据泄露和内部网络渗透提供入口。与此同时，零信任旨在使访问控制的实施尽可能细粒度。

零信任成熟度模型确定了五个可以取得进展的支撑。

身份：您的员工使用企业管理的身份来访问他们用于工作的应用程序。通过密码管理和多因素身份验证建立信任并防止未经授权的访问，包括尝试帐户接管。
设备：识别和保护每一个设备，无论是机构拥有的还是自带设备，以保护、检测和响应这些设备上可能发生的事件。
网络：随着您的机构从外围保护思维转向更全面的思维，您将过渡到隔离的环境，并加密环境中的所有DNS请求和HTTP通信。
应用程序和工作负载：Web应用程序是使用者和内部工作者的关键网关，但它们也是恶意威胁试图潜入的地方。机构的最终目标是将所有应用程序视为面向internet的，并在整个开发和部署过程中不断对应用程序进行严格的测试，同时应对外部漏洞报告。
数据：您的机构将部署和使用全面数据分类的保护措施。您将利用云安全服务来监视敏感数据的访问，并实现企业范围内的日志记录和信息共享。

虽然政府机构现在已经开始这一工作，但美国管理和预算办公室（OMB）已经要求在2024年底之前实施ZTA的具体安全标准。刚开始，机构可以保持一种缓慢而稳定的方法来实现安全目标，并且也将很快看到零信任的好处。零信任有助于从以位置为中心的模型转变为以数据为中心的方法，在用户、系统、数据和随时间变化的资产之间进行细粒度的安全控制——同时获得关键的可见性。完全采取零信任的，需要改变每个机构建立在网络安全方面安全文化，这需要组织内所有部门、成员做出承诺和共同努力。

应用程序工作负载的深入研究

联邦政府在向ZTA过渡的过程中面临许多挑战，最明显的是遗留系统依赖于隐性信任。这与ZTA核心的自适应信任概念相冲突。随着越来越多的数据和流程转移到云端，保护和测试（包括越来越多的支持网络的应用程序）是至关重要的。专注于网络层的传统方法已不足以解决网络威胁。

零信任成熟度模型的第四个支柱具体概述了传统的、高级的和最优的功能方法，如威胁保护、应用程序安全性和治理能力。

传统方法是许多机构现在所采用的方法。机构的威胁保护和应用程序安全性可能没有完全集成到应用程序开发工作流中，这可能会导致安全工作脱节。在这种方法中，应用程序安全性测试是在部署之前完成的，主要通过静态和手动测试方法。它不仅会导致部署的停顿或延迟，还会在安全覆盖范围内留下看不见的漏洞。

机构以一种最优的方式将威胁保护深入集成到应用程序工作流中。通过将安全性嵌入到应用程序的架构中，可以更容易地将测试作为开发和部署过程的核心方面（包括在生产环境中对应用程序的常规自动扫描）。这种方法还包括持续和动态的应用程序健康和安全监视，以及细粒度测试策略和报告。

VIP：Web应用安全的最佳实践方法

零信任不仅关乎网络安全，更关乎数字化转型。ZTA计划将为许多机构带来运营的新时代，包括机构如何创建和维护应用程序的重大变化。推动保护应用程序工作负载的最佳方法，是对编配、自动化和治理级别的明确要求，只有现代web应用程序安全测试解决方案才能提供。

使用现代安全工具来创建最佳的零信任工作流，可以将可靠的安全扫描直接构建到软件开发生命周期（SDLC）和尽可能早地将安全集成到开发中（即，左移）。这种方法将使风险最小化，并消除新特性和版本的延迟。

机构可以将相同的工具和方法应用于整个应用程序生命周期，通过持续监视和减轻漏洞来监视生产和部署的资产（在“右边”）。

表面上看，web应用程序安全只是ZTA指导的冰山一角。尽管如此，它对机构大规模交付合规应用程序的能力有极大地提升。如今，有超过19亿个网络应用在使用，严重的漏洞将政府机构置于危险之中。随着机构转向云第一的环境，数据和功能可以从世界任何地方访问，他们必须专注于这一零信任支柱，并实施现代安全解决方案，为每个网站和应用程序提供可见性。没有不重要的应用；如果没有适当的安全措施，任何应用程序都是一扇打开的危险之门。

更安全的政府

零信任的方法概念化了一个安全的政府：

联邦工作人员的企业管理帐户，提供完成任务所需的一切访问，同时保持安全；
设备被持续跟踪和监控，同时在授予内部资源访问权之前也要考虑其安全性；
隔离的机构系统，对在这些系统之间移动的所有网络流量进行加密；
对员工通过互联网安全访问的企业应用程序进行内部和外部测试；
联邦安全团队和数据团队合作开发数据类别和安全规则，自动检测并最终阻止对敏感信息的未经授权的访问；
联邦数据团队和安全团队之间的协作，建立数据类别和规则，以检测和阻止未经授权的访问。

根据零信任原则，没有任何资产被认为是100%可信的，这些努力很好地融入了旨在加密和认证所有流量的网络安全策略。然而，为了领先于威胁，安全的数据流将需要成为更广泛的应用安全程序的一部分。该程序需要覆盖所有基础，从工具到流程、启用、第三方组件检查，甚至漏洞披露。我们会一步一步（或一个“支柱”）到达那里。一个更安全的政府不是一天就能建立起来的。即便如此，机构可以帮助联邦部门取得进展，因为机构可以更好地管理工作负载，提高个人和团队的效率，简化操作流程，降低成本和风险，所有这些都是更强大的现代安全方法带来的好处。

零信任响应时间是至关重要的。SolarWinds事件提醒我们，供应链安全至关重要。对乌克兰的战争凸显出网络攻击可以被用来扰乱政府运作。Log4Shell事件强调了有效、快速的事件响应是多么重要。改善安全状况不仅仅是今天的保护——它有可能影响未来几十年的机构发展。

策略与方法

将零信任作为一种进化策略，无论机构现在处于哪个阶段，都可以使用这些建议来激励其转型努力，加速零信任进程。

策略1：映射全部攻击面

网络犯罪已经成为政府机构的日常伙伴，网络安全风险应该是运营弹性的主要考虑因素。随着更多的数据和基础设施驻留在云中并合并了开源组件，关键的第一步是了解资产有什么，谁需要访问它，以及哪里可能存在漏洞。

因为很容易启动新的应用程序，添加web可访问的资源、帐户、服务和各种设备（包括众所周知的不安全的物联网系统），所以重要的是规划出整个在线资产，以了解攻击面。这就是SBOM或软件材料清单可以派上用场的地方，因为它可以辅助构建特定软件所需的所有内容。如果某个组件需要更新，开发人员和安全专业人员可以很容易地访问这些信息，并确切地知道要检查什么。

大型组织需要建立所有网站和应用程序的中央目录，以获得整体的视图。一种开始的方法是使用web资产发现服务。维护资产清单有助于快速找到与机构相关的面向web的应用程序和web技术，并为评估漏洞提供参考。

由于云存储配置错误导致了很多的数据泄露，在线跟踪数据并执行云安全策略对于维护数据隐私和保护知识产权至关重要。

策略2：测试并维护网络安全事件响应计划

即使是最完善的网络安全战略，如果没有自上而下地采用策略和工具、员工的积极参与以及不断改进以跟上新出现的威胁，也仍然只是一份文件。

将政策转化为行动，还需要有效的事件响应和恢复计划，以确保网络在各种预期事件中的弹性。
再次强调，好的计划需要行动和改进，所以必须有程序。
定期测试和更新。当（而不是如果）您的机构受到攻击时，每个人都确切地知道要做什么以及要联系谁来进行补救。
准备工作通常包括运行模拟事件，以评估响应和恢复流程的有效性，并识别差距。
在测绘过程中发现的每个关键网络安全风险都应该有一个响应和恢复计划。需要注意的是，数据丢失的风险应该通过适当的数据备份策略和在所需的时间内测试数据恢复到所需的水平来解决。

策略3：为每个角色添加安全保障

网络罪犯是高度先进和复杂的邪恶黑客。虽然这些软件确实存在并在运行（SolarWinds黑客事件就证明了这一点），但网络安全的日常真相要平凡得多。大多数网络安全事件都与恶意软件和勒索软件感染有关，通常是由点击钓鱼链接的人引起的。
这就是防御者困境：不管网络安全策略表面上多么强大，只要防御系统中有一个漏洞，黑客就可以通过。在网络应用、远程工作和单点登录的时代，一个人的不注意就足以危及整个机构。
网络安全意识和教育必须成为机构安全文化的重要组成部分。

策略4：将安全集成到开发和运营中

每个机构一旦开发并维护自己的网站和应用程序，就会变成一个软件公司。如果机构是从事软件业务的，那么安全问题就不应该是事后才考虑的问题，因为机构根本无法承受使应用程序容易受到攻击的积压。

唯一系统的解决方案是采用集成的DevSecOps方法，将安全测试集成到应用程序开发过程本身，并尽可能自动化。
现代动态应用程序安全测试（DAST） +交互式应用程序安全测试（IAST）解决方案，如Invicti可以提供准确的扫描结果，并帮助您的机构与一个小的安全团队保护数千个网站和应用程序。
有效的工具还应该有保护开源组件的选项，比如可以插入现有工作流的SCA解决方案。

策略5：充分利用外部专业知识

尽管几乎所有的机构内部都有一些网络安全方面的专业知识，但即使是全专业人员也往往捉襟见肘。

为了有效地实现零信任，需要寻找知名产品和市场领先的供应商。不仅要选择安全解决方案，还要选择具有专业知识和观点的合作伙伴，他们可以帮助顺利实现、集成，甚至定制合理的解决方案。
寻找安全解决方案和提供商：
满足您的特定需求，而不是提供附加组件的通用特性。
证明长期的跟踪记录（10年以上），具有识别常见漏洞和提供补救指导的已证实的结果。
证明产品的发布历史（至少每3个月发布一次新版本，以跟上新的威胁）。
证明企业增长的来源，如Gartner报告，Peer Insights和G2 Crowd，提供了真正的客户满意度的见解。