1 零信任体系化能力建设(2):设备风险与安全监控-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

零信任体系化能力建设(2):设备风险与安全监控

jf_73420541 来源:jf_73420541 作者:jf_73420541 2023-08-17 10:57 次阅读

为了提高工作效率和灵活性,现代企业允许各种类型的终端设备连接并访问企业的应用程序和数据资源,为企业网络带来了巨大的安全挑战。作为零信任安全能力建设中的薄弱环节,组织必须全面了解连接到网络的设备,并采取一系列安全措施,以确保只有健康合规的设备才能访问组织资源,保护企业的敏感数据和资源免受潜在的安全威胁。


本文主要从设备相关的安全能力建设入手,讨论资产和供应链的风险管理、设备合规监控、资源访问授权和终端威胁保护等问题。

关键字:零信任;威胁保护;风险管理;安全合规


一、零信任设备安全


随着IT基础设施的演变发展,风险面也随着访问点数量的增加而扩大,与以往任何时候相比,业务系统的访问者(包括员工、承包商、合作伙伴和供应商等)使用了更多的设备和位置,访问存储在本地和云端的更多资源和数据。更为严重的是,这些访问点正以惊人的速度被攻击者利用,特别是设备安全缺陷已经成为身份攻击和数据泄露的主要原因。


从直观上看,组织直接管理的PC、平板电脑智能手机都属于设备,但安全人员还需要考虑第三方设备(例如,BYOD、客户或合作伙伴使用的设备)和接入点、物联网设备和基础设施组件(例如,服务器、交换机,及其固/软件)。在零信任安全体系中,设备也是正在寻求资源访问权限的实体,它们代表着潜在的暴露点,也需要被纳入零信任安全框架。


可见,“设备”是零信任安全能力框架中的一个复杂领域,涵盖了连接到网络(资源)上的所有资产,如服务器、台式机、笔记本电脑、打印机、智能手机、物联网设备、网络设备等,以及各类资产的硬件、软件和固件。按管理归属的实体划分,大多数组织的设备可分为以下三类:


员工使用的企业设备,主要由组织管理;
员工使用的个人设备,主要由员工管理;
第三方使用的非托管设备(例如,承包商、合规审计员),由第三方管理。


在识别、判断设备的安全态势时,由于组织对不同类型的设备存在不同控制力度,也导致这些设备面临着不同的安全风险。在图1中,Gartner给出了不同BYOPC策略下,控制能力和安全风险的关系。

wKgaomTdjGyAVJ0ZAAA8GqsU93g737.png

图1 不同BYOPC策略下控制和风险的关系


由组织管理的设备往往最易控制。这些设备可能安装了设备或终端管控软件,能够通过序列号记录和跟踪设备,并对设备安全设置进行锁定和持续审查。从IT安全的角度来看,这些设备状态处于良好状态,能够根据需要进行控制,在可疑情况下,管理员可以采取立即行动。
对于员工使用的个人设备,控制要少得多。在移动化、分布式的工作环境中,几乎不可避免BYOD设备。虽然一些组织要求用户安装特定软件才能访问公司资源,但这并非强制性要求,而是鼓励性措施。


最后,第三方使用的非托管设备通常是未知的,组织无法看到这些设备,也几乎没有控制权。管理员对这些设备存在大量的隐性信任,主要依赖身份授权来确定其访问权限。


二、设备安全的关键能力


设备安全能力在零信任领域中主要包括设备管理追踪、安全配置管理、漏洞补丁管理、访问控制、安全监控和威胁检测等措施,以保护企业网络免受设备相关的安全威胁和风险。

wKgZomTdjHWAURG1AABvLw0dKTY999.png

图2 设备安全解决方案应具备的主要能力


1.设备资产与风险管理
资产管理涉及对企业所有设备的准确定位、分类和跟踪。体系化的零信任安全能力需要准确了解企业中的设备,建立并维护所有资产的动态清单、配置信息及相关漏洞。通过使用自动化工具和设备识别技术,实时监控和管理设备的状态、配置和访问权限,从而降低潜在的风险。
市场上与企业设备管理相关的工具,大都具备对设备的描述和跟踪能力。例如,统一设备管理(UDM)、企业设备管理(EDM)、移动设备管理(MDM)、IT资产管理(ITAM)等。通常,这些工具的设备资产清单需要解决并明确回答以下问题:


哪些用户设备(包括公司设备、BYOD,以及其他人为控制的设备)可以访问企业资源?
哪些非人为控制的物联网或其他设备可以访问企业资源?
哪些类型/型号的BYOD设备可以访问企业资源?
这些设备在什么位置(包括地理位置、网络接入位置)?
哪些设备已经被过期淘汰、销毁?


供应链风险管理是零信任设备安全中的另一个重要考虑因素。通常,企业中使用的设备来自各种供应商和合作伙伴,可能存在潜在的漏洞、后门或恶意代码。因此,企业需要实施供应链风险管理措施,包括对供应商进行严格的筛选和评估,确保其设备的安全性和合规性。


此外,建立合同和协议中的安全要求和监控机制,进行供应链审计和监督,以确保供应链中的所有环节都符合零信任安全策略。


2.设备卫生与安全监控


设备卫生是指组织需要掌握设备的当前状态,并采取基本的安全措施来保护设备,其中涵盖了一系列与设备相关的因素,包括设备归属,安全状态、接入方式,风险数据采集等。从更高的层面上看,可以将设备卫生视为与安全合规和风险状态相关的核心属性,以确保设备符合企业定义的安全标准和政策。


对于不同类别的设备来说,“安全”或“可信”的实施可能具有不同的含义,试图使用各种安全工具建立一致的设备信任视图也不太现实。一般来说,组织管理的设备可以通过设备管理工具或数字证书等安全机制实现最高级别的安全和信任,但个人和第三方设备比较棘手。


首先,各种安全工具可能在不同平台上具有不一致的功能集,有些工具(如EDR)可能只涵盖桌面而非移动设备,也可能只支持单一平台。虽然可以通过高度定制来解决该问题,但这也意味着IT管理的更高复杂性和成本。


其次,这些安全工具存在于用户身份系统之外,将设备上下文与用户身份连接起来,以实现访问控制极具挑战性。从设备提取大量的安全数据后,仍然需要进行大量额外工作才能将这些数据与最终用户的身份关联起来。


再次,对于个人或第三方设备来说,有些安全工具可能无法实施,移动办公和员工流动使得企业的MDM策略也难以奏效。


因此,许多组织转而使用设备姿态检查,来提供一定的安全监控覆盖。但即便如此,由于设备和资源在大多数环境中的复杂多样性,很难对设备姿态要求进行标准化的统一管理,例如,由于各个操作系统平台在安全实现方法上的细微差别,导致不同的版本补丁更新和密码强度等策略也会存在差异。


3.安全姿态与动态访问


由于失陷设备可以作为针对其他资源的攻击媒介,零信任访问策略将设备姿态检查(DPC)作为访问决策的部分依据。DPC评估设备的当前状态和潜在漏洞。为了支持零信任的动态访问策略,设备监控组件需要定义在DPC中评估的设备状态要素,主要包括:


操作系统版本;
反病毒软件的版本和更新状态;
屏幕锁定状态;
防火墙状态;
存储加密状态;
数字证书;
设备名称和ID;
管理软件的客户端版本;
补丁状态与最后更新时间;
已安装的特定应用程序。


对于所有类型的设备来说,都应通过评估安全姿态来生成信任评级,无论是公司设备、个人设备,还是第三方所有的设备,也包括服务器和相关的物联网(IoT)设备。


更重要的是,要通过安全评估和动态访问控制,确保设备及其用户不会以任何方式使敏感数据受到损害。设备注册是一种典型的方法,将设备指纹及安全姿态存储在基于风险的访问数据库中,实现访问时的动态信任评估,控制各种潜在威胁(如勒索软件)的攻击半径。


4.威胁检测与保护响应


目前,典型的终端保护工具包括终端检测和响应(EDR)和终端保护平台(EPP),尽管在术语概念上存在一些差异,但它们对设备的保护能力是通用的。


威胁检测通过先进的安全监测和识别技术,如实时监控、行为分析、异常检测和威胁情报等,来辨识可能存在的安全风险或恶意活动。这种持续的监测和检测帮助组织及时发现并应对潜在的安全威胁,保护企业的资产和敏感数据。


一旦威胁被检测到,保护响应措施会被启动,以减轻影响并防止进一步的损害。这些措施可以包括隔离风险设备或用户、阻止可疑的网络流量、实施访问控制、应用补丁或安全更新,或触发事件响应程序等。


简单来说,终端保护通过连接上述相关功能来加固设备以抵御攻击,主要包括:


根据威胁情报和模式分析,预测终端何时可能受到攻击;
如果可能,防止终端受到攻击;
在攻击发生时,进行实时检测并响应。


威胁检测与保护响应通常采用基于云的平台进行功能交付,以支持无处不在的连接和实时更新。另外,这些保护功能还应该能与其他的零信任支柱(例如,零信任网络技术)进行无缝连接,在实现随时随地的用户访问的基础上,对由人员控制和非人员控制的设备强制执行统一的访问策略,确保安全策略的一致性。


三、设备安全的最佳实践


为了创建零信任安全环境,组织需要制定一个设备安全战略,以满足业务需求并实现有效的风险管理。但实施构建零信任的设备安全能力时,组织将会面临各种障碍和挑战。


业务的快速发展以及不断涌现的新设备和服务,可能导致各类服务器、笔记本电脑等设备频繁上线和下线,难以准确地清点和记录网络上的所有设备。另外,用户或业务部门可能存在未经批准而上线的新设备和服务(影子IT),导致对这些设备缺乏足够的可见性和控制,使得难以对其进行注册、跟踪和监控。


要实施有效的零信任设备安全能力,组织需要采取一种全面的方法来克服这些障碍。这包括定期审查和更新策略和程序,标准化上线新设备和服务的方式,以及实施强大的设备管理系统,能够准确跟踪和监控网络上的所有设备。


1.建立设备清单


开发设备清单是实施零信任设备安全的重要步骤。如果没有对所有设备进行全面清查,就不可能准确地跟踪、监控或识别可能导致安全漏洞的恶意设备。


过去,IT团队使用电子表格手动跟踪设备非常普遍。如今,设备跟踪必须完全自动化,包括扫描、监控、更新,以及为安全运营团队自动生成警报。


需要注意的是,零信任安全体系中的设备清单超越了传统的资产管理,一些非企业拥有的设备(如BYOD、合作伙伴拥有的设备)也需纳管,安全团队必须为所有访问终端建立一个完全自动化的设备清单,包括非传统设备,如传感器、摄像头和其他物联网或OT设备。


零信任设备管理还需要为各种设备及使用行为,建立适当的处理流程和分类系统,包括确保所有设备都已注册,并为报废设备制定全面的报废计划,以安全地处置物理设备以及该设备具有的任何访问权限。


2.持续动态授权


了解设备的运行状况和合规性是实施零信任设备安全的关键步骤,这意味着需要对设备状态进行持续监控评估,而不仅仅依赖于一次性的时间点评估。持续监控的优势在于:


及早发现安全事件;
设定安全检查基线;
检测未经授权的登录;
能够检测错误配置;
有利于实现主动防御。


通常,组织会主动保护PC免受漏洞和攻击,而移动设备通常不受监控且没有保护措施。为了帮助限制风险暴露,需要监控每个端点以确保其具有可信身份、应用了安全策略,并且恶意软件或数据泄露等风险级别已经过评估、修复或被认为是可接受的。例如,如果个人设备存在软件漏洞,可以阻止其访问网络或业务,以确保企业应用程序不会暴露于已知漏洞。


通过全面的可见性和分析监控设备的状态和上下文,组织可以确保根据实时数据驱动的上下文来保护目标业务和数据,而不是依赖于静态策略,这样可以更及时地应对快速发展的威胁。


3.实施响应保护


作为正常业务过程的一部分,用户必须能够通过设备访问应用和数据。在受感染设备上,合法用户也可能有意/无意执行一些攻击行为(例如,窃听、DDoS、数据泄露等),最好的设备安全性是让数据远离设备。


但除此之外,在设备受到安全威胁时,还可以通过快速响应行动将威胁影响降至最低,例如,将设备与网络进行隔离,限制其影响半径。通常在制定终端安全的应急响应计划时,应考虑以下内容:


终端数据发生了什么?是否被加密、删除、泄露?
动态访问权限应该做什么调整?
如何处理受影响的设备?


四、结语


终端安全能力是构建零信任体系化安全能力的关键要素之一。在零信任架构中,终端设备作为接入组织资源的关键节点,需要具备一系列安全能力来保护数据和系统免受威胁,包括设备认证(身份领域)、安全姿态评估、动态访问控制、威胁检测响应和数据防泄漏(数据领域)等能力。然而,成功实施身份能力需要综合考虑多个因素,并与其他能力和跨域能力相互配合。企业应制定全面的设备安全治理策略,并采取逐步实施的方法,以确保有效的零信任安全环境的建立。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安全监控
    +关注

    关注

    1

    文章

    49

    浏览量

    10958
收藏 人收藏

    评论

    相关推荐

    信任体系化能力建设(3):网络弹性与隔离边界

    网络是现代企业数字基础设施的核心。信任理念致力于构建一个以身份(而非网络)为中心的网络安全架构,引发了企业网络安全架构的变革。在
    的头像 发表于 08-17 13:42 1042次阅读
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>体系化</b><b class='flag-5'>能力</b><b class='flag-5'>建设</b>(3):网络弹性与隔离边界

    信任安全技术的特性和软件定义边界的架构

    信任安全是一种IT安全模型。信任安全要求对所有位
    的头像 发表于 05-05 21:08 4621次阅读
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>安全</b>技术的特性和软件定义边界的架构

    中兴郝振武:面向资产的信任安全解决方案构建信任安全平面

    8月12日,在BCS2020北京网络安全大会的信任安全论坛上,各行业资深专家齐聚一堂,以“信任
    发表于 08-17 10:48 615次阅读

    信任是什么,为什么是网络安全的热门词?

    如果童话故事里的小红帽懂“信任”,还会被大灰狼吃掉吗? 假设童话故事里有“信任”,一切都将不同。首先,小红帽在路上遇到大灰狼的时候,“
    的头像 发表于 02-15 16:05 5129次阅读

    芯盾时代基于信任的数据安全管理体系建设思路

    ,分享了芯盾时代基于信任的数据安全管理体系建设思路,围绕银行业数据安全的监管趋势、技术难点、应
    的头像 发表于 01-14 16:38 2791次阅读

    方寸微电子入选车联网身份认证和安全信任试点项目名单

    近日,工业和信息部发布《关于车联网身份认证和安全信任试点项目名单》通知。此项目为加快推进车联网网络安全保障能力建设,构建车联网身份认证和
    的头像 发表于 08-31 14:12 2579次阅读
    方寸微电子入选车联网身份认证和<b class='flag-5'>安全信任</b>试点项目名单

    信任安全模型基础知识及其在网络安全的部分应用

    什么是信任模型? 信任安全模型的目标是通过强制执行“从不信任,始终验证”方法来保护企业网络免
    的头像 发表于 07-18 15:48 1938次阅读

    芯盾时代中标中国联通某分公司信任安全项目

    芯盾时代再度中标中国联通某分公司信任安全项目,以统一终端安全信任网络访问和智能决策大脑三大
    发表于 09-13 12:49 607次阅读

    信任体系化能力建设(1):身份可信与访问管理

    随着网络威胁日益复杂和企业信息安全风险的增加,实施信任架构已成为保护企业关键资产和数据的有效策略。本系列论文研究了不同厂商、组织所提出的
    的头像 发表于 07-31 11:32 559次阅读
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>体系化</b><b class='flag-5'>能力</b><b class='flag-5'>建设</b>(1):身份可信与访问管理

    信任体系化能力建设(4):应用安全与开发部署

    (ZTNA)通过身份认证和访问控制机制来保护业务应用和资源,然而这些措施并不能为应用提供更全面的保护,例如SQL(或代码)注入、远程指令执行、容器权限逃逸等。本文从信任安全能力体系化
    的头像 发表于 08-24 16:33 438次阅读
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>体系化</b><b class='flag-5'>能力</b><b class='flag-5'>建设</b>(4):应用<b class='flag-5'>安全</b>与开发部署

    信任体系化能力建设(5):数据安全与控制跟踪

    交叉的数据来自于不同的源头,并由不同机构和人员以不同的方式处理,要确保所有数据在不损失安全、隐私和合规性的前提下,最大限度地传播共享以发挥效用,需要从战略层面对数据进行思考、规划和治理。本文从信任
    的头像 发表于 08-28 10:30 324次阅读
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>体系化</b><b class='flag-5'>能力</b><b class='flag-5'>建设</b>(5):数据<b class='flag-5'>安全</b>与控制跟踪

    芯盾时代参与编写《信任数据安全白皮书》 给出数据安全“芯”方案

    组织/企业面临的数据安全挑战,详解了信任数据安全建设之道,并结合具体场景介绍了
    的头像 发表于 09-13 10:55 657次阅读
    芯盾时代参与编写《<b class='flag-5'>零</b><b class='flag-5'>信任</b>数据<b class='flag-5'>安全</b>白皮书》 给出数据<b class='flag-5'>安全</b>“芯”方案

    以守为攻,信任安全防护能力的新范式

    (Zero Trust Security)被提出,并逐渐成为提升网络安全防护能力的新范式。本文主要探讨攻击路径的演变、信任体系在各个阶段的
    的头像 发表于 05-27 10:18 965次阅读
    以守为攻,<b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>安全</b>防护<b class='flag-5'>能力</b>的新范式

    什么是信任信任的应用场景和部署模式

      信任是新一代网络安全理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险
    的头像 发表于 03-28 10:44 2891次阅读

    芯盾时代入选《现代企业信任网络建设应用指南》

    近日,国内知名网络安全媒体安全牛重磅发布了《现代企业信任网络建设应用指南(2024版)》报告(以下简称“报告”)。芯盾时代凭借在
    的头像 发表于 08-28 09:45 468次阅读