零信任之路:是时候重新思考我们调用一个漏洞?

重新考虑我们如何定义“脆弱性”不仅仅是一种思想运动。它可以代表一个组织如何管理风险上的巨大变化。

对于我们中的大多数人在网络安全的定义“脆弱性”一直是相当简单的:“一个缺陷代码或设计中,创造了一个潜在的端点或网络安全妥协。”

外面的圈子里,不过,这个词有一个更为广泛的意义。根据《牛津英语词典》,脆弱性是“质量或接触状态的可能性被攻击或伤害,无论是身体上的还是情感上的。”

网络安全部门做了本身的伤害不是更多考虑第二个意义——以及它如何因素为企业安全架构的设计?

这些问题出现在我们考虑两个重要的趋势:ransomware攻击世界各地的兴起,和兴趣的复苏的原则零信任。

信任是一个漏洞

ransomware成功,攻击者必须首先获得最初的立足点,然后找到一种方法来组织内部的横向移动利用漏洞或在活动目录等系统。在一个典型的组织、用户访问和权限授予部分基于一个用户的概念本质上比另一个更值得信赖,根据他们的角色或站在组织。

如果我们认为约翰Kindervag——第一次创造了zero-trust概念Forrester分析师在2009年和仍然是一个领先的传教士在他目前的角色On2IT,那么我们必须考虑信任的概念本身就是一个弱点。

在一个2017的博客,Kindervag写道:“信任是没有不同于Apache Struts的脆弱性。这是我们在组织和数字系统必须解决任何软件漏洞。如果我们学到任何东西,从最近的数据泄露,那就是漏洞被利用,和所有的漏洞必须减轻。”

Kindervag阐述了他的观点最近,在5月6日举行的小组讨论美国国家安全电信咨询委员会(NSTAC)。会话-由我站得住脚的联合创始人杰克•胡法德探索采用零信任的挑战在这两个政府机构和私营企业。Kindervag强调信任的概念来自我们开车去人格化网络,看到“人”,我们应该看到“包”。

根据Kindervag,目标是消除人类情感的信任在我们的数字环境。“零信任是一个战略主动,有助于防止成功的数据泄露,这意味着漏出敏感信息…通过消除对您的组织的信任,”Kindervag说。“这是为了防止横向运动。无论您使用哪种技术或供应商部署零信任,战略总是不变……技术总是会改变,但战略目标仍将在很长一段时间。”

是什么意思“脆弱性”?

站得住脚的,我们相信破坏攻击路径为了衬托横向运动代表一个最好的防御各种各样的网络攻击,从最复杂的ransomware司空见惯。虽然我们原则上同意Kindervag定位的信任作为一个固有的脆弱性,我们相信只有海洋的开始改变整个网络安全行业如何定义“漏洞”。In our view, the meaning of "vulnerability" also needs to include factors such as:

• 错误配置在Active Directory和云服务,通常提供一个主要的攻击路径ransomware演员;
• 管理不善的身份,这是至关重要的资产,可以妥协;
• 软件供应链安全漏洞,以防止未来SolarWinds-style攻击。

网络安全领导人准备零信任之旅是少一个练习在评估技术和多战略思维的锻炼,需要回答一些基本问题,比如:

• 你组织的核心使命或价值主张是什么?
• 完成这一使命所需的工作流程是什么?
• 谁拥有这些工作流?
• 组织中的数据流如何?
• 哪些是你高价值资产,所谓的“王国”键?
• 组织如何确定授权访问这些高价值资产是谁?
• 多久组织审计用户权限一旦他们准备好了吗?
• 你将如何设计一个“表面保护“你最重要的资产安全?

回答这些问题需要完整的可见性和连续监测的整个攻击表面,包括,物联网和操作技术资产和能力评估每个资产的临界兑现您的组织的核心使命。没有零信任之旅可以不先解决这些网络基础卫生。

了解更多

• 读博客:站得住脚的信任和路径为零
• 下载报告:2020年成立研究景观回顾性的威胁
• 查看按需网络研讨会:2020年成立研究回顾和后卫2021年的指导