網(wǎng)絡(luò)攻擊威脅日益嚴(yán)峻，SolarWinds、JBS USA和Colonial Pipeline等遭到攻擊的事件層出不窮，企業(yè)組織不能再依靠傳統(tǒng)的防御手段來保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和數(shù)據(jù)，Log4j漏洞的出現(xiàn)更是警醒著企業(yè)組織，攻擊者可能已經(jīng)潛伏在公司的內(nèi)部網(wǎng)絡(luò)之中，鑒于這些備受矚目的事件，為了增強(qiáng)抵御網(wǎng)絡(luò)威脅的應(yīng)對能力，許多國家立法力度也進(jìn)一步增強(qiáng)，例如美國的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》、歐盟的《網(wǎng)絡(luò)安全和信息安全措施通用條例》。

這些新法的出臺(tái)旨在改變網(wǎng)絡(luò)安全模式，由原來的“信任但驗(yàn)證”舊口號(hào)轉(zhuǎn)向零信任方法。一個(gè)典型的例子就是美國行政管理和預(yù)算局(Office of Management and Budget，簡稱“OMB”)今年早些時(shí)候發(fā)布了聯(lián)邦戰(zhàn)略，該戰(zhàn)略詳細(xì)地列舉了一系列具體的安全要求，并力求美國政府機(jī)構(gòu)要在2024年底之前實(shí)現(xiàn)具體的零信任目標(biāo)，并且要與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施管理局的零信任成熟度模型及以下五大要素密切配合：

• 身份：員工使用受企業(yè)管理的身份來訪問辦公應(yīng)用程序，采用多因子身份驗(yàn)證(MFA)進(jìn)一步保護(hù)員工免受網(wǎng)絡(luò)釣魚和其他復(fù)雜的在線攻擊。
• 設(shè)備：清點(diǎn)所有授權(quán)供政府機(jī)構(gòu)使用的設(shè)備，達(dá)到預(yù)防、檢測和響應(yīng)設(shè)備上發(fā)生威脅攻擊事件的目的。
• 網(wǎng)絡(luò)：對環(huán)境中的所有DNS請求和HTTP流量進(jìn)行加密，開始對邊界環(huán)境施行微隔離計(jì)劃。
• 應(yīng)用程序及工作負(fù)載：將所有應(yīng)用程序視為聯(lián)網(wǎng)的應(yīng)用程序，定期對應(yīng)用程序進(jìn)行嚴(yán)格的實(shí)證測試，并密切關(guān)注外部報(bào)告的漏洞。
• 數(shù)據(jù)：全面部署數(shù)據(jù)分類分級(jí)保護(hù)措施。充分利用云安全服務(wù)來監(jiān)控用戶對敏感數(shù)據(jù)的訪問動(dòng)態(tài)，并實(shí)施面向整個(gè)企業(yè)的日志記錄和信息進(jìn)行共享。

零信任架構(gòu)與其他網(wǎng)絡(luò)安全架構(gòu)相同，要想達(dá)到以上的要求和標(biāo)準(zhǔn)需要政府機(jī)構(gòu)的支持，然而，美國的許多關(guān)鍵基礎(chǔ)設(shè)施都由私營部門所主導(dǎo)，這些私營部門在網(wǎng)絡(luò)安全管理上總是擅自專權(quán)。

還有一個(gè)最大的問題是OMB發(fā)布的這些戰(zhàn)略錯(cuò)估了零信任的“功效”，事實(shí)表明，在實(shí)施零信任架構(gòu)的過程中，由于軟件沖突、人為錯(cuò)誤、常理不足和惡意行為等多重因素的共同影響，旨在防范各種威脅事件的工具和軟件經(jīng)常被錯(cuò)誤安裝和使用。而且實(shí)際上，大多數(shù)黑客攻擊都會(huì)長期偵察，攻擊者會(huì)禁用或繞過任何安全控制機(jī)制，因此，零信任戰(zhàn)略的落地需要彈性，且因時(shí)而變，以抵御外部攻擊因素為主要目的，而不能一味的糾結(jié)于規(guī)定紅線和明文標(biāo)準(zhǔn)。

零信任的彈性落地情況要依據(jù)實(shí)際應(yīng)用場景而定，任何情況下，企業(yè)組織采用零信任技術(shù)為確立網(wǎng)絡(luò)彈性措施賦予怎樣的優(yōu)先級(jí)，取決于對黑客在攻擊受害者時(shí)通常采用的策略、技術(shù)和程序(所謂的TTP)等多方面下的評(píng)估。

端點(diǎn)設(shè)備通常被黑客和網(wǎng)絡(luò)犯罪分子用作發(fā)起攻擊的入口點(diǎn)，或充當(dāng)在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)的立足點(diǎn)。波耐蒙研究所(Ponemon Institute)最近的一項(xiàng)調(diào)查也佐證了這一點(diǎn)，調(diào)查顯示68%的企業(yè)組織在過去12個(gè)月內(nèi)遭到過端點(diǎn)攻擊。盡管眾多企業(yè)組織都在盡力保護(hù)端點(diǎn)設(shè)備，但該數(shù)據(jù)說明端點(diǎn)安全依舊嚴(yán)峻，因此端點(diǎn)安全需要彈性的零信任方案，當(dāng)然，端點(diǎn)彈性只是網(wǎng)絡(luò)安全彈性方案的一個(gè)表現(xiàn)，端點(diǎn)彈性使企業(yè)組織能夠清楚地知曉端點(diǎn)設(shè)備部署在哪里，并在這些端點(diǎn)上實(shí)施安全措施，如此，一旦端點(diǎn)設(shè)備被禁用、被篡改或被攻擊，也能實(shí)現(xiàn)自我修復(fù)。

實(shí)施端點(diǎn)彈性等網(wǎng)絡(luò)彈性策略在攻擊事件發(fā)生前后會(huì)為企業(yè)組織帶來以下的收益：

• 強(qiáng)化安全態(tài)勢：網(wǎng)絡(luò)彈性不僅有助于響應(yīng)和抵御攻擊，還可以幫助組織制定戰(zhàn)略，以改善IT治理、提高關(guān)鍵資產(chǎn)的安全性、加強(qiáng)數(shù)據(jù)保護(hù)工作以及盡量減少人為錯(cuò)誤。
• 改進(jìn)合規(guī)態(tài)勢：滿足現(xiàn)下許多行業(yè)標(biāo)準(zhǔn)、政府法規(guī)和數(shù)據(jù)隱私法所宣傳的網(wǎng)絡(luò)彈性要求。
• 增強(qiáng)IT生產(chǎn)力：值得一提的是，網(wǎng)絡(luò)彈性改善了組織IT團(tuán)隊(duì)的日常運(yùn)營，提高了企業(yè)組織應(yīng)對威脅的能力，可協(xié)助恢復(fù)工作，并有助于確保日常運(yùn)營順利進(jìn)行。

鑒于上述諸多優(yōu)勢，越來越多的企業(yè)在部署網(wǎng)絡(luò)風(fēng)險(xiǎn)和安全管理框架時(shí)都在采用網(wǎng)絡(luò)彈性這個(gè)概念。例如，美國國土安全部的網(wǎng)絡(luò)彈性評(píng)估(CRR)就如何評(píng)估組織的運(yùn)營彈性和網(wǎng)絡(luò)安全實(shí)踐提供了指導(dǎo);此外，美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)特別出版物800-160 Volume 2，它為設(shè)計(jì)安全可靠的系統(tǒng)提供了一套框架，將不利的網(wǎng)絡(luò)事件視為彈性和安全問題。

綜上，網(wǎng)絡(luò)彈性是踐行零信任的重要方法，如果實(shí)施得當(dāng)，彈性零信任將成為一種預(yù)防性措施，可以有效對付人為錯(cuò)誤、惡意行為以及不穩(wěn)定的老化軟件等一系列問題。

參考鏈接：https://www.securityweek.com/need-resilient-zero-trust