毫无疑问,随着新技术的广泛应用,不仅推动了各个行业的数字化转型,同时更带来了诸多安全隐患和挑战,特别是过去几年发生的外部APT攻击和内部违规导致的大规模数据泄露等恶性安全事件层出不穷,这也让越来越多的企业意识到,传统的边界防护手段存在很多局限性,已无法满足新形势下的网络安全需求。
背后的关键原因在于:随着网络边缘的不断扩展以及涵盖云和本地等混合网络环境的广泛部署,企业网络架构日趋复杂。与此同时,企业依然面临孤立运行的安全产品和工具无法协同工作的严峻挑战;此外,新型技术及应用为网络攻击提供新的攻击载体,攻击实施更加灵活、过程更加隐蔽、技术更加智能,此外整个攻击横跨越网络、应用程序、内容和设备,威胁检测和溯源难度增大;不仅如此,数字化转型已经成为各行业的发展趋势,数据共享和流通将成为企业“刚性”业务需求,原来相互隔离的业务网络将打破安全边界走向融合,安全管控难度与泄密风险进一步扩大。
在此背景之下,基于“永不信任,持续验证”理念的零信任架构,开始成为了企业构建当下网络安全防护体系的新理念和新架构。但也要看到,零信任体系的建立不可能是“一蹴而就”的,从零信任的规划到落地仍不可避免地面临一系列问题。
也正因此,企业在选择和部署零信任架构的过程中,借助伙伴生态力量,选择具备清晰的产品战略、成熟的零信任解决方案以及深厚企业服务经验的合作伙伴,最大化降低在技术选择和决策方面的风险,持续提升网络安全和零信任成熟度就变得至关重要。
四个维度入手构建防御层
客观地说,零信任理念和架构是十分美好的。但与此同时,也要看到大量的企业客户在过去已经建立了以纵深防御为主的安全防护体系,有的甚至已经完成了立体跨区域和多层级的安全防护体系。因此,零信任架构要在这样的体系中落地,往往要面对“颠覆”性安全架构和“重建”安全体系的工作,很多过往的安全防护体系甚至要面临“推倒重来”的困扰,以至于落地零信任成为一件“伤筋动骨”的过程。那么,如何才能更好地化解这一全新的挑战,持续提升企业的网络安全和零信任成熟度呢?
在这方面,作为在“零信任”架构领域验证和实践了多年的公司,戴尔科技集团在零信任架构方面的能力可以说已经发展得相当的完整,针对这一问题,戴尔科技集团认为企业需要从四个维度入手构建防御层,实现零信任架构的落地,帮助企业安全稳定地加速向数字化转型。
一是,减少受攻击面是建立强有力的网络安全保障的基本要素。在Gartner年初发布的《2022年安全和风险管理趋势报告》中,就预测了七大网络安全趋势,其中最先被提及的就是攻击面管理,主要原因是随着混合办公的普及,物联网的广泛使用、开源代码、SaaS应用程序、云应用、数字供应链、社交媒体等引发的风险,使得企业受攻击的暴露面正在日益不断扩大。
因此,如何“堵住”恶意攻击者能够利用的潜在漏洞和入口点就变得十分的迫切。针对此,企业就必须尽可能减少各个领域(包括边缘、核心和云)的受攻击面。这就需要实施预防性措施,例如全面的网络分段、关键数据隔离、实施严格的访问控制,以及定期更新和修补系统和应用程序。此外,企业还应该进行全面的漏洞评估和渗透测试,以找出潜在的薄弱环节并加以弥补。通过减少受攻击面,企业可以显著减少网络威胁的潜在利用途径。
二是,检测和应对网络威胁对于保持强有力的安全态势同样至关重要。目前,传统安全措施已不足以应对复杂的威胁,因此企业可以利用先进的威胁检测技术和方法来识别和应对已知和未知威胁。
这其中,就包括实施强大的入侵检测和防御系统,利用人工智能和机器学习算法进行异常检测,以及建立对网络流量和用户行为的实时监视。此外,随着当下的安全建设也呈现“常态化、体系化、实战化”的特征,因此借助专业的安全运营团队去分析处置各种问题也成为了新的趋势。更重要的是,与专业的合作伙伴深入合作,还可以为企业带去威胁情报、事件响应和安全运营方面的专业知识,从而增强企业检测和应对网络威胁的能力。
三是,保持网络弹性也是企业在网络安全管理中必须具备的能力。特别是在网络攻击事件发生后,及时地恢复系统、网络和数据,及早恢复正常运营对于企业保持持续稳定变得十分关键。
为此,企业也需要制定明确的事件响应计划并开展协作。一方面,企业应提前制定事件响应规程,在其中概述角色和职责,并确保内部团队、专业服务提供商和合作伙伴之间进行无缝沟通和协调;另一方面,定期备份关键数据和系统,同时采用安全的异地存储解决方案和数据加密,也可以促进快速恢复并更大限度地减少数据丢失。同样,在此过程中,专业服务提供商也可以在事件响应和恢复方面提供指导和支持,帮助企业恢复运营并减轻网络攻击的影响。
四是,随着网络从核心扩展到边缘,再到云端,各种环境已成为关键的漏洞点,因此企业也必须将网络安全的防护重点扩展到边缘、核心和云环境。可以看到,随着分布式网络的扩散,边缘已成为一个关键的薄弱点。因此,企业也应该在边缘实施零信任原则,确保严格实施访问控制,持续进行身份验证,以及全面了解和控制网络流量。
同样,核心网络和云环境也需要采取强有力的安全措施,例如网络分段、加密和持续监视。在此过程中,与专注于边缘、核心和云安全性的专业服务提供商和业务合作伙伴协作,同样也可以为企业提供必要的专业知识,以便在这些领域实施有效的安全措施。
由此可见,增强网络安全并提高零信任成熟度对于应对不断变化的网络威胁环境已是大势所趋,而从四个维度入手构建防御层体系,让企业建立起全面的安全态势,持续推动零信任架构的落地,才能够最大化地防范不断变化的网络威胁。
三个方面强化端点安全性
除此之外,端点安全性也是企业零信任转型的重要组成部分。事实上,当下终端已经成为现代企业风险的中心。从用户到设备,从业务应用程序到云工作负载,每种类型的企业数据都会流经端点。更大的难题在于,随着远程工作的加快和大量物联网设备连接到企业网络,监控每个端点的安全性和可见性变得极具挑战性。
根据普华永道和Statista的调查,2022年优先级最高的十大企业网络安全投资中,端点安全排名第二。数据也显示,云基础设施、ActiveDirectory、勒索软件、Web应用程序、漏洞利用和分布式拒绝服务(DDOS)攻击在过去一段时间内也急剧激增。
而利用零信任的策略和架构,则可以最大化的强化端点的安全性。根据MITREATT&CK框架,当前,不法分子会使用九种“初始访问技术”来进入企业网络。
研究也表明,在基于云的环境中,传统的防御措施无法保证端点的安全。攻击者只需要一个进入端点,其威胁行为体就可以在设备的整个生命周期内利用许多漏洞展开攻击,更可怕的是,随着网络中设备数量的增加,端点就变成了越来越大的攻击载体。
而零信任模式中的安全策略,则详尽地定义了“已知良好的行为”,这意味着其他所有行为都会被阻止。之后,威胁管理会监视任何偏离已知良好行为的情况,并标记反常行为,同时触发相应的操作来防范潜在威胁,由此更好地强化了端点的安全性。
同样在这方面,戴尔科技集团也提出了三点建议,希望最大化地帮助企业强化端点安全性,具体来看:
首先,企业需要建立正确的策略和控制来支持业务的优先事项。毫无疑问,任何企业用于保障安全的预算都是有限的,因此企业首先要确定的是公司的关键业务优先事项。如企业需要保护的最关键资产和数据是什么,这样企业才能“有的放矢”地根据可承受的风险评估攻击面,并确定出适合企业自身的安全保护策略。
其次,企业可以借助在设计和开发时就充分考虑到安全性的设备以加强防御。这其中包括了两个方面,端点设备是否基于硬件和固件提供保护,并且能够提供可见性?此外,端点设备的供应链是否得到了保护并且具有完整性控制?换句话说,企业未来可以考察合作的端点设备供应商是否满足以下两个条件:其一是否采用了安全实践;其二从采购到制造再到交付,企业可以全程验证设备的完整性。
最后,企业还需要努力实现整个生态系统的无缝集成和互操作性。要实现有效的安全态势,则需要从以下三个关键方面入手,包括集成整个IT生态系统的所有防御;实时可见性;有能力在需要时采取措施等等。
不难看出,任何一方面的短板都会给组织造成巨大的损失。因此,企业在零信任安全建设中,只有进一步提升端点安全的防护能力,才能确保整体建设目标的实现。目前传统端点安全技术由于面临全面性、兼容性、智能化等应用挑战,正在被新的防护需求与理念重新定义,而企业应该根据零信任框架要求和最小化访问授权原则,推动新一代端点安全的能力建设与应用优化,才能最大化强化端点安全性。
选择合适伙伴构建安全体系
据Gartner调查显示,“75%的企业组织正积极寻求安全供应商的全面整合”。该调查还指出,“运营效率低下以及无法有效应对异构安全架构的集成挑战,令安全和风险管理领导者的担忧持续升温。用户亟待部署更高效和全面集成的解决方案,而非孤立运行的单点安全产品。”
从这个角度来看,作为全球领先的技术提供商以及数据保护领域的专家,戴尔科技集团很早就基于“零信任”架构,打造出了全新的安全整体解决方案,并沉淀了一套完整的零信任安全方法论,能够帮助企业客户更好地实现“保护数据和系统、增强网络弹性和降低安全措施复杂性”,在企业提升网络安全和零信任成熟度的过程中,可以发挥出更大的力量和价值。
第一,戴尔科技为企业提供了一整套的网络安全方法,包括与风险保持一致的数据保护和恢复;先进的检测和响应平台;技术与流程自动化;业务连续性和事件响应计划;与业务需求相一致的网络恢复;以及拥有业界广泛认证的安全专家,能够弥补企业在安全方面技术人员的缺乏,帮助企业设计安全战略、弥补资源缺口,希望由此让企业的业务需求和IT流程保持一致,以提高整个组织的业务弹性。在此基础上,戴尔科技还围绕企业最为关注的三个方面,即保护数据和系统、提升网络弹性以及降低安全措施复杂性打造出了完整的解决方案,希望能够更好的帮助企业强化现代化安全能力,筑牢现代化数据安全“防线”。
第二,零信任更是成为了戴尔科技集团基础架构端到端生命周期“不可或缺”的一部分。比如,在设计和开发之初,戴尔科技安全开发生命周期(SDL)就优先考虑网络弹性和零信任,从功能构思到设计再到生产和维护,都要确保能够为企业提供的基础架构能成为其弹性基础的保障;同样,在制造和交付环节,戴尔科技“供应链保证计划”也实施了在实体、人员和网络安全领域的“零信任”保障措施,以最大化确保弹性制造和交付的过程。
此外,在部署和维护方面,戴尔科技也通过安全控制、自动化、遥测和全面的管理工具,通过跨硬件和固件的强大安全层实现“零信任”的部署;更为关键的是,戴尔科技的“零信任”策略也会一直延续到项目或者产品生命周期的结束,最终通过擦除所有系统数据来避免机密数据泄露或滥用,从而使系统能够安全地退出生产。
第三,针对端点安全,戴尔科技也通过“DellTrustedWorkspace”帮助企业构建零信任就绪型IT环境保护端点。借助戴尔特有的全面硬件和软件保护产品组合,减小攻击面,同时戴尔科技也通过将内置的保护与持续的警戒功能相结合来帮助企业最大化的抵抗威胁。
总的来看,面对安全挑战的“新常态”,目前传统的、被动安全防御体系已经根本无法抵御日益频繁的网络攻击,企业需要重新审视传统网络安全的思想、方法、技术和体系,才能构筑全面防护的主动安全体系,而在此过程中,戴尔科技集团不仅在零信任领域沉淀了多年,能够提供业界最全的零信任架构和关键技术,将安全能力融入云、网、边、端和业务系统,并始终从业务系统的视角解决安全问题,帮助企业能够最大化地应对日益复杂并不断变化的攻击,并通过保证业务的韧性来应对传统安全边界的消失和网络边缘不断扩展的难题,相信也将会在企业未来提升网络安全和零信任成熟度方面贡献出更多的价值。