網(wǎng)絡(luò)攻擊：零信任網(wǎng)絡(luò)訪問(ZTNA)解決方案

零信任網(wǎng)絡(luò)訪問解決方案通常是零信任旅程的第一步。

“供應(yīng)商系統(tǒng)故障”——這是豐田發(fā)言人在2月份向媒體提供的三個詞，此前有消息傳出其供應(yīng)商之一小島工業(yè)公司(KojimoIndustriesCorp.)遭受了網(wǎng)絡(luò)攻擊。豐田被迫停止生產(chǎn)超過13,000輛汽車(約占其月產(chǎn)量的5%)——這提醒人們，違規(guī)行為對公司業(yè)務(wù)的不利影響。KojimoIndustries為世界上最大的汽車制造商提供重要的空調(diào)、方向盤部件和其他汽車內(nèi)外部零部件。

雖然這個最新的例子是第三方對主要業(yè)務(wù)的最新、備受矚目的影響，但在去年已經(jīng)有幾起備受矚目的供應(yīng)鏈攻擊。SolarWinds、Kaseya、Codecov、ua-parser-js和Log4j，都是證明勒索軟件和被盜數(shù)據(jù)如何上升的例子。

與豐田一樣，許多公司的成功依賴于他們的商業(yè)生態(tài)系統(tǒng)，包括合作伙伴、供應(yīng)商、供應(yīng)商，甚至企業(yè)對企業(yè)客戶。強大的第三方關(guān)系為企業(yè)提供了顛覆性的優(yōu)勢——在許多情況下，提供的價值遠(yuǎn)遠(yuǎn)優(yōu)于企業(yè)自行開發(fā)的任何東西。

第三方提供的地理覆蓋范圍、更大的規(guī)模和更大的靈活性，是一家企業(yè)無法自行管理的，甚至是全球企業(yè)集團——這根本無法復(fù)制。

企業(yè)與其合作伙伴之間的巨大互聯(lián)性，通常需要通過VPN或VDI等技術(shù)將合作伙伴連接到企業(yè)網(wǎng)絡(luò)。但要注意，這是商業(yè)生態(tài)系統(tǒng)經(jīng)常引入風(fēng)險的地方——也是導(dǎo)致它們迅速成為全球網(wǎng)絡(luò)犯罪分子的熱門切入點的最大因素。

通過生態(tài)系統(tǒng)開發(fā)業(yè)務(wù)

51%的組織經(jīng)歷過由第三方造成的數(shù)據(jù)泄露。據(jù)估計，2022年60%的安全事件將由與第三方的問題引起。

網(wǎng)絡(luò)犯罪分子很狡猾。他們知道這些合作伙伴的安全協(xié)議通常較弱，供應(yīng)商可以訪問數(shù)十個甚至數(shù)百個其他公司網(wǎng)絡(luò)。因此，生態(tài)系統(tǒng)合作伙伴的針對性很強，它們是擴大攻擊規(guī)模的終極渠道。

IT團隊必須努力消除向合作伙伴授予過度特權(quán)訪問權(quán)的技術(shù)——而網(wǎng)絡(luò)訪問的思維模式是應(yīng)用程序訪問的必要條件。這未必是對的。像VPN和VDI這樣的技術(shù)，本質(zhì)上信任第三方用戶，并將其直接放到公司網(wǎng)絡(luò)中。但，這只會擴大攻擊面并增加攻擊的可能性。

想想看，代表客戶負(fù)責(zé)更新關(guān)鍵基礎(chǔ)設(shè)施的供應(yīng)商，通過VPN連接，以訪問客戶的網(wǎng)絡(luò)來排除故障或進(jìn)行更新——需要訪問庫存管理應(yīng)用程序，來創(chuàng)建或取消訂單的供應(yīng)商通過VPN連接，需要訪問門戶網(wǎng)站以了解新服務(wù)的商業(yè)客戶必須通過密碼或用戶名登錄——這些都迫使web應(yīng)用暴露在互聯(lián)網(wǎng)上。更不用說管理不斷進(jìn)出的合作伙伴的身份生命周期了，這是安全和后勤的噩夢。同時也是精明的威脅者的另一個切入點。

對伙伴關(guān)系零信任

對企業(yè)來說，零信任才是最好的。為了使第三方風(fēng)險管理有效，其必須基于這樣一種信念，即——即使是“可信任的”系統(tǒng)和實體也會對組織構(gòu)成威脅。因此，企業(yè)正在轉(zhuǎn)向零信任訪問技術(shù)，以解決與第三方風(fēng)險相關(guān)的安全問題。一家追蹤“零信任”的研究組織表明，采用“零信任”的企業(yè)已從2019年的24%穩(wěn)步增長至2021年的46%，預(yù)計到2022年底將繼續(xù)增長至52%。

零信任的目標(biāo)是在訪問業(yè)務(wù)資源時永遠(yuǎn)不要隱式信任任何實體。

零信任網(wǎng)絡(luò)訪問(ZTNA)解決方案通常是零信任旅程的第一步。當(dāng)下，通常是云交付的服務(wù)，用于保護對私有應(yīng)用程序的訪問。ZTNA根據(jù)身份和策略安全地將授權(quán)用戶連接到特定的應(yīng)用——無需擴展對公司網(wǎng)絡(luò)的訪問，也無需將應(yīng)用或其底層基礎(chǔ)設(shè)施暴露在互聯(lián)網(wǎng)上。其提供了一種應(yīng)用級別的劃分，允許網(wǎng)絡(luò)安全團隊實現(xiàn)劃分級別，這是傳統(tǒng)解決方案(如內(nèi)部防火墻)幾乎不可能實現(xiàn)的。這最大限度地減少了網(wǎng)絡(luò)上的橫向移動，并確保第三方只能在授權(quán)時訪問業(yè)務(wù)數(shù)據(jù)，而不能訪問網(wǎng)絡(luò)上的任何其他內(nèi)容。

通過與IDP和端點安全等技術(shù)的集成，合作伙伴試圖訪問應(yīng)用的上下文是恒定的。這允許IT團隊設(shè)置自動觸發(fā)器來撤銷訪問權(quán)限，并防止試圖進(jìn)行的安全攻擊。一些ZTNA服務(wù)還確保檢查私人流量，以便IT可以精確地確定每個合作伙伴訪問的內(nèi)容、可能下載的文件(以防止數(shù)據(jù)泄漏)，甚至使用的命令。

在定義ZTNA時，美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)表示，它的目的是“消除信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確訪問決策的不確定性。”

ZTNA為任何設(shè)備提供了簡化的、權(quán)限最低的訪問，同時減少惡意軟件漏洞。隨著企業(yè)采用零信任的方式，為第三方用戶部署ZTNA服務(wù)，許多企業(yè)也很快意識到將其價值擴展到員工的好處。

事實上，Gartner預(yù)計，到2023年，60%的企業(yè)將用ZTNA解決方案取代遠(yuǎn)程訪問VPN。此外，到今年年底，向生態(tài)系統(tǒng)合作伙伴提供的80%的新數(shù)字商業(yè)應(yīng)用將通過ZTNA訪問。

毫無疑問，企業(yè)將繼續(xù)努力應(yīng)對不斷增加的網(wǎng)絡(luò)攻擊。

利用ZTNA服務(wù)，零信任冒險的第一站，企業(yè)可以保護網(wǎng)絡(luò)和資源，擊退網(wǎng)絡(luò)攻擊者，最終使商業(yè)生態(tài)系統(tǒng)蓬勃發(fā)展。只是需要"零信任"的一點點幫助。