據(jù)Gartner稱�,到 2024 年底,全球 75% 的人口的個人數(shù)據(jù)將受到隱私法規(guī)的保護�。在他們最新的信息安全和風險管理研究中,Gartner 將零信任網(wǎng)絡(luò)訪問 (ZTNA) 確定為增長最快的網(wǎng)絡(luò)安全領(lǐng)域���,預(yù)計到 2023 年將增長 31%��,這主要得益于遠程工作者的增加�����?���;旌瞎ぷ魇巧钪械囊粋€事實�,預(yù)計主要由 ZTNA 而非 VPN 服務(wù)提供服務(wù)。
合規(guī)性和 ZTNA 正在推動加密進入組織網(wǎng)絡(luò)和企業(yè)的各個方面����,反過來,迫使我們改變我們對保護環(huán)境的看法。
意想不到的后果
(資料圖)
ZTNA 在一方面非常適合安全性�����,隨著原子化網(wǎng)絡(luò)的不斷發(fā)展以及應(yīng)用程序和人員無處不在���,它可以更好地控制移動和訪問�。零信任不是驗證一次然后獲得對網(wǎng)絡(luò)上資源和設(shè)備的相對開放的訪問權(quán)限�����,而是關(guān)于驗證和接收一組權(quán)限和授權(quán)以進行顯式訪問��。然而���,ZTNA 使用加密來保護所有連接�,無論它們位于基礎(chǔ)設(shè)施的哪個位置����,這在安全的另一個方面造成了巨大的問題。正如我之前所討論的���,加密使我們傳統(tǒng)上用于企業(yè)保護的許多網(wǎng)絡(luò)可見性和安全工具變得盲目。
決定使用安全訪問服務(wù)邊緣 (SASE) 平臺來管理 ZTNA 的組織也會為了身份驗證和加密而犧牲一定程度的可見性。使用 SASE���,當用戶連接到其供應(yīng)商的專用云時��,身份驗證和授權(quán)得到管理�����。從用戶的角度來看�,體驗相當無縫�,但安全團隊告訴我們他們沒有完成工作所需的東西。通常��,他們只能查看身份驗證日志和訪問日志�����,因此他們無法實時查看整個云環(huán)境中發(fā)生的情況����。
即使組織不走零信任路線,因為它可能對他們的環(huán)境造成過大的傷害�����,他們?nèi)匀怀鲇跀?shù)據(jù)隱私和保護的原因?qū)嵤┘用堋J褂米罡呒墑e的加密——不僅用于面向互聯(lián)網(wǎng)的主機�,而且在內(nèi)部也用于保護靜態(tài)和傳輸中的數(shù)據(jù)。
風險悖論
隨著加密變得普遍���,組織正在增加安全團隊執(zhí)行故障排除和威脅搜尋等工作的復(fù)雜性��。加密和網(wǎng)絡(luò)原子化的綜合影響正在棄用許多使用深度數(shù)據(jù)包檢測 (DPI) 和數(shù)據(jù)包捕獲技術(shù)的傳統(tǒng)工具�,使它們的部署和管理變得更加昂貴和復(fù)雜�。
傳統(tǒng)的思維過程是,為了檢測和響應(yīng)��,我們必須看到一切�,這意味著我們必須解密一切。當然�,解密是可能的,但它不再具有擴展性�。在沒有定義邊界的分散且短暫的環(huán)境中,將設(shè)備放在中間進行解密變得越來越難����。我們有更多的流量需要解密,有更多的證書需要管理����,而我們?yōu)榱藱z測和響應(yīng)而破壞加密的任何一點都是我們可能暴露敏感數(shù)據(jù)的另一個點���。為了確保我們的網(wǎng)絡(luò)安全,我們正在提升我們的風險狀況���。
不破解解密的網(wǎng)絡(luò)安全
現(xiàn)在是重新構(gòu)想我們的網(wǎng)絡(luò)安全方法的時候了,這樣我們就可以看到正在發(fā)生的事情并檢測和響應(yīng)威脅�,而不會引入額外的風險。
許多機器上都安裝了端點檢測響應(yīng) (EDR) 代理����,可提供對網(wǎng)絡(luò)主機和本地進程的可見性。然而����,并非環(huán)境中的每個聯(lián)網(wǎng)設(shè)備都能夠支持代理,并且 EDR 不提供對網(wǎng)絡(luò)流量的實時可見性��。這就是流數(shù)據(jù)形式的元數(shù)據(jù)的用武之地����。無需捕獲和檢查每個數(shù)據(jù)包即可查看和監(jiān)控網(wǎng)絡(luò)流量以進行檢測和響應(yīng)。元數(shù)據(jù)在您的多云�����、內(nèi)部部署和混合環(huán)境中廣泛可用,并且當通過上下文進行豐富時��,可以提供對原子化網(wǎng)絡(luò)中流量的高級實時可見性��。
總的來說���,EDR 和元數(shù)據(jù)可以很好地描述網(wǎng)絡(luò)上的內(nèi)容�����、正在做的事情以及發(fā)生的事情�����,并且可以在不破壞加密的情況下檢測大多數(shù)攻擊�。如果我們看到需要更深入研究的異常行為�,我們可以縮小我們正在查看的范圍并縮小解密范圍。通過將程序更改為僅在必要時解密�����,我們可以相應(yīng)地降低風險狀況�����,同時最大限度地降低成本和復(fù)雜性。
事實證明�����,加密和零信任并沒有破壞密鑰保護�����。相反���,他們正在迫使不可避免的改變使之變得更好。組織可以擺脫100%解密(不再擴展并引入風險)���,享受 ZTNA 和加密的好處�����,并且仍然獲得保護其原子化網(wǎng)絡(luò)所需的全面可見性和覆蓋范圍�����。
