创建一个普遍的安全方法
2022 年 7 月 14 日
实施全面的安全框架需要一种策略,将安全置于开发过程每个阶段的前端——而零信任就是答案。 这是如何完成的
Ponemon Institute 最近与 IBM 合作,在他们的报告“2021 年数据泄露成本报告”中发现,在接受采访的公司中,平均一次数据泄露的总成本为 424 万美元。 这个数字比 2020 年增长了 10%,在美国本土运营的公司超过了 920 万。
这种成本迫使公司将安全性置于其软件开发过程的最前沿。 信任但验证解决方案在接受凭据后立即授予用户访问权限,已被零信任系统所取代,零信任系统将权限保持在最低限度,并要求在每个许可级别进行验证。 结果是一种更加谨慎的安全方法,但它不需要延长设计时间,也不需要创建劣质的最终产品。
在本文中,我们将探讨公司如何创建一个涵盖设计旅程每个阶段的网络安全框架、零信任如何融入该框架,以及我们已经看到它的应用领域。 我们将看到,零信任措施是任何完全集成的安全方法的重要组成部分,它使用户能够将安全性嵌入到软件开发过程中,而不会损害性能、可用性或开发周期。
需要一种普遍的安全方法
网络安全威胁正变得越来越复杂,成本也越来越高,而且发生的频率也越来越高。 每天创建超过 300,000 个恶意软件。 其中,63% 旨在对受害者进行经济剥削,而 IBM 报告中的估计成本是调查期间最高的。 再加上一些网络安全威胁的复杂性不断增加,向各地企业发出的信息很明确:仅靠怀疑的安全框架已经不够了。
但是,威胁的严重性并不是迫使企业过渡到普遍安全方法的唯一因素; 开展业务的方式也在改变格局。 促成这种安全转变的几个因素是:
• 远程工作人员。 流行病和现代员工的需求使远程工作在许多公司中司空见惯,这影响了 IT 保护其资产安全的能力。 密码卫生和窥探只是使远程网络安全变得困难的几个因素,在 Ponemon Institute 的调查中,近三分之二的受访者表示,他们认为在办公室内更容易保护他们的数据。
• 边缘计算。在更容易的物理访问和更多的访问点之间,如果安全解决方案没有在每一层实施,边缘计算会使组织容易受到攻击。 保护边缘计算基础设施的唯一方法是采用普遍的安全方法。
• IoT(物联网)集成。从机器人技术到智能汽车,IoT 传感器只会变得更加普遍,每一个传感器都是入侵者的入口点。 物联网传感器很少更新,并且在设计时没有考虑到安全性,因此如果没有普遍的安全方法,漏洞可能会暴露出来。
总而言之,更危险的威胁形势与分散的基础设施(物理和数字)相结合,需要一种战略来考虑每一步的安全性。 通过在软件开发过程的所有阶段采取一切可能的步骤来识别威胁、最大限度地提高安全性和最大限度地减少漏洞,零信任力求做到这一点。
什么是零信任?
两个团体在为什么构成和不构成零信任制定标准方面贡献最大:The Open Group 和美国国家标准与技术研究院 (NIST)。 前者专注于为组织奠定流程基础,后者专注于技术方面,为 IT 团队提供可遵循的实施要求。 两者都在塑造我们对零信任的看法。
公开组
The Open Group 通过概述其范围以及一些关键的最佳实践和违规行为,在操作方面定义了零信任实践。 在“零信任核心原则”中,他们通过简单地将零信任定义为“一种专注于任何平台或网络上的数据/信息安全(包括生命周期)的信息安全方法”来奠定基础。 在此框架内,零信任功能应使组织能够跨任何网络保护其数字资产,无论是公共网络、内部网络还是云端。
在此基础上,他们的报告“零信任戒律”向组织展示了如果他们寻求采用全面的安全方法,应该将哪些策略放在首位。 他们是:
1. 显式验证信任。
2。 启用现代工作。
3。 启用无处不在的安全性。
4。 按价值保护资产。
5。 实施以资产为中心的控制。
6。 实现简单且可持续的安全。
7。 使用最少的权限。
8。 不断改进。
9. 做出明智的决定。
The Open Group 目前正致力于根据这些诫命为零信任实践创建一个完整的技术标准,为组织提供一套清晰的参数,以便他们在努力实现零信任时遵循。
NIST
虽然 Open Group 专注于定义最佳实践,但 NIST 将注意力集中在技术规范上,如果 IT 团队和网络安全专家希望在他们的堆栈中集成普遍的零信任策略,他们必须参考这些规范。 NIST 的计算机安全资源中心 (CSRC) 已经制作了大量指南、项目和出版物来帮助组织创建普遍的安全方法,但一个特别有用的资源是 SP 800 207:零信任架构,其中零信任的基础 框架进行了概述和应用。 讨论的一些要素包括:
• 零信任和零信任架构(分别为 ZT 和 ZTA)的工作定义,以及支撑 ZTA 设计的假设和原则。
• ZT 和 ZTA 逻辑组件或构建块,以及基于不同用例和应用程序的独特实现方法。
• ZTA 可以增强安全性并最大限度地减少漏洞的可能用例,尤其是在远程员工、云服务和访客网络方面。
• 对 ZTA 的威胁,它们与其他架构网络的相似之处,以及它们如何需要独特的缓解技术。
• ZTA 原则与现有联邦监管指南(NIST 隐私框架、NIST 风险管理框架、国家网络安全保护系统等)相关
• 企业如何开始朝着 ZTA 努力,包括规划部署的一般步骤,以及 ZT 原则塑造的基础设施。
零信任实施
许多组织认为有必要将安全性转移到其软件开发过程中每个阶段的最前沿,但他们可能不确定如何去做。 ZT 提供具体的实施实践,可以提高整个软件供应链的当前安全性。 作为一个整体安全模型,ZT 有许多活动部分,但一些主要防御领域包括:
• 身份和访问管理 (IAM)。 ZT 原则要求在授予对单个资源的访问权之前,对每个身份都进行身份验证和授权——每次都是如此。 这需要使用最小权限访问和及时且恰到好处的访问,以确保用户只获得他们工作所需的权限。
• 端点。 远程工作和自带设备 (BYOD) 增加了访问网络的设备数量,因此比以往任何时候都更需要了解每个端点。 必须建立合规性,并且每台设备都必须使用安全控制来满足健康状态标准,以确保您的网络安全。
• 应用。 设备并不是唯一脱离集中式结构的组件; 应用程序也在私人环境中访问,增加了网络的威胁漏洞。 ZT 实施应设法确保适当的应用程序权限,监控用户操作并将其限制在所需的最低限度,并采用实时分析来过滤不必要的应用程序访问。
• 数据。 当前的数据安全模型植根于基于边界的保护,但不断变化的威胁形势要求组织转向数据驱动的方法。 这意味着对数据进行分类,以便可以根据最低权限访问更好地对其进行排序,采用数据加密,并根据组织的数据治理策略限制访问。
• 基础设施。 采用普遍的安全方法意味着监视组织数字生态系统的每一层。 这需要使用遥测技术来识别异常和攻击,标记不当或危险行为,并在入侵发生之前关闭访问路径。
• 网络。 信任但验证的做法让内部网络上的用户从怀疑中受益,但那些日子早已一去不复返了。 ZT 通过加密内部通信、采用实时威胁检测软件和使用微分段来创建一种普遍的安全方法,以确保只有那些需要知道的人才能知道。
无论是采用最佳数据和代码安全实践、最小化权限级别,还是使用遥测和分析来识别漏洞,实施普遍的安全方法都会在每个操作级别考虑安全性。 ZT 实现了这一点,像 Kiuwan 这样的专家可以帮助组织在不影响其流程或产品质量的情况下实现转型——甚至可以改进它们。
信任 Kiuwan 的普遍安全方法
创建无处不在的安全基础设施需要组织不遗余力。 零信任创建了一个向这个环境迈进的框架,多个思想领袖合作形成了一个标准,详细说明了这样一个生态系统应该是什么样子,以及他们应该实施什么实践来实现这一目标。
在 Kiuwan,我们为移动和 Web 应用程序开发提供代码安全解决方案。 我们通过我们的代码安全 (SAST) 和软件组合分析 (SCA) 解决方案帮助组织在整个软件开发过程中改进他们的安全基础设施,使您能够在代码部署之前防止漏洞。 今天联系我们,看看我们能提供什么帮助。
