“超越零信任”安全策略：融化網(wǎng)絡(luò)威脅的“冰山”

威脅環(huán)境如同一座冰山：企業(yè)、組織只看得到小部分最明顯的威脅或攻擊，而難以發(fā)覺(jué)其余大多數(shù)威脅或攻擊。企業(yè)不可能完全杜絕網(wǎng)絡(luò)風(fēng)險(xiǎn)，但可以采取一些措施來(lái)減輕風(fēng)險(xiǎn)。
采用“零信任策略”便是一個(gè)很好的開(kāi)始。顧名思義，“零信任”就是不信任任何人，包括用戶(hù)、應(yīng)用程序和設(shè)備。在屬于復(fù)雜多云和混合云環(huán)境的時(shí)代，不采用零信任策略絕非明智之舉。不過(guò)，單單依賴(lài)零信任策略還不夠。
減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)的方法大致相同。雖然零信任是最基礎(chǔ)的前提，但還做不到真正減輕風(fēng)險(xiǎn)。企業(yè)、組織首先要決定所需減輕風(fēng)險(xiǎn)的程度，了解風(fēng)險(xiǎn)偏好是第一步，然后據(jù)此確定為網(wǎng)絡(luò)安全分配多少預(yù)算以及需要多縝密的安全策略。

常見(jiàn)錯(cuò)誤包括：
1.想當(dāng)然地認(rèn)為零信任和基本的網(wǎng)絡(luò)安全措施就已足夠
基本的安全措施只能提供有限的保護(hù)。您需要采用AAA安全框架（認(rèn)證、授權(quán)和記賬）以及完整的NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）網(wǎng)絡(luò)安全框架（識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)）。

2.被噱頭和單點(diǎn)解決方案所迷惑
雖然具有各種強(qiáng)大功能的單點(diǎn)解決方案十分具有吸引力，但企業(yè)、組織需要考慮自己對(duì)這些解決方案的實(shí)際需求以及整合和管理大量單點(diǎn)解決方案所帶來(lái)的困難。有一些網(wǎng)絡(luò)保險(xiǎn)公司會(huì)在一個(gè)小時(shí)內(nèi)提供報(bào)價(jià)，遇到這種情況時(shí)，用戶(hù)就得懷疑其風(fēng)險(xiǎn)定價(jià)的準(zhǔn)確性。更有不少安全策略包含大量除外責(zé)任，以至于這些策略幾乎失去了實(shí)際作用。同樣，企業(yè)、組織還需要對(duì)那些保證在遭到勒索軟件攻擊后，為用戶(hù)免費(fèi)恢復(fù)的廠(chǎng)商抱有懷疑態(tài)度。因?yàn)檫@些保證根本不可能完全免費(fèi)，它們往往會(huì)附上各種條件、檢查和其他費(fèi)用，實(shí)際價(jià)格可能十分昂貴。

3.無(wú)法應(yīng)對(duì)突發(fā)事件
網(wǎng)絡(luò)保險(xiǎn)不能替代網(wǎng)絡(luò)安全和事件響應(yīng)的功用，而僅僅是對(duì)安全策略起到補(bǔ)充作用?！兑话銛?shù)據(jù)保護(hù)條例》（GDPR）要求企業(yè)組織必須有一套流程來(lái)定期測(cè)試、評(píng)估、評(píng)價(jià)技術(shù)和安全措施的有效性。這意味著企業(yè)組織不僅要制定有效的備份和網(wǎng)絡(luò)事件響應(yīng)計(jì)劃，而且還要定期測(cè)試每一項(xiàng)計(jì)劃。由于勒索軟件攻擊現(xiàn)在常常以備份為目標(biāo)，因此這些備份最好是空氣間隔備份，而企業(yè)、組織的團(tuán)隊(duì)可以通過(guò)沉浸式情景模擬做好相應(yīng)的準(zhǔn)備，有效應(yīng)對(duì)各種危機(jī)。

在監(jiān)視網(wǎng)絡(luò)威脅這座“冰山”的過(guò)程中保持警惕

如同哨兵，企業(yè)必須時(shí)刻保持警惕。除了制定有效的備份和網(wǎng)絡(luò)事件響應(yīng)計(jì)劃（并定期測(cè)試兩者）之外，企業(yè)還可以通過(guò)安全健康評(píng)估了解網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況。企業(yè)、組織可使用最新的儀表盤(pán)進(jìn)行實(shí)時(shí)安全健康評(píng)估，獲得可用于改進(jìn)安全策略的洞察和建議。

以多層策略實(shí)現(xiàn)超越“零信任”的安全措施

完整的NIST網(wǎng)絡(luò)安全框架概括了以恢復(fù)就緒性為核心的多層數(shù)據(jù)安全策略。您需要防止關(guān)鍵任務(wù)數(shù)據(jù)受到針對(duì)性攻擊，這些攻擊的目的是破壞數(shù)據(jù)的主副本和備份副本。

單點(diǎn)解決方案往往缺乏廣度和深度，使企業(yè)無(wú)法訪(fǎng)問(wèn)所有地點(diǎn)的寶貴數(shù)據(jù)。企業(yè)、組織的備份策略應(yīng)擴(kuò)展到中央服務(wù)器和應(yīng)用之外，并涵蓋筆記本電腦和各種媒體格式的文件以及具有特定功能的應(yīng)用。

企業(yè)、組織對(duì)“超越零信任”安全措施的投資力度將取決于風(fēng)險(xiǎn)偏好和預(yù)算。下面是一些常見(jiàn)的考慮因素：

·通過(guò)使任何管理員賬戶(hù)都不能更改備份數(shù)據(jù)卷來(lái)保護(hù)它們免受勒索軟件的影響。
·通過(guò)加密和多重認(rèn)證確保密碼、策略和數(shù)據(jù)的安全，并對(duì)各功能和系統(tǒng)設(shè)置基于角色的精細(xì)訪(fǎng)問(wèn)控制。
·通過(guò)基于角色的精細(xì)訪(fǎng)問(wèn)控制來(lái)限制訪(fǎng)問(wèn)，確保每一次訪(fǎng)問(wèn)和變更都留有記錄并且任何關(guān)鍵變更都會(huì)觸發(fā)警報(bào)，從而抵御惡意管理員的威脅。
·通過(guò)自動(dòng)異常檢測(cè)提前準(zhǔn)確識(shí)別異常行為并作出快速響應(yīng)，從而遏制攻擊并予以補(bǔ)救。
·通過(guò)對(duì)惡意或粗心管理員采取相同的控制措施，將威脅源拒之門(mén)外，從而避免錯(cuò)誤或意外刪除。
·通過(guò)在多個(gè)地點(diǎn)（通常在本地或云端）采用單寫(xiě)多讀型（WORM）副本來(lái)保護(hù)關(guān)鍵數(shù)據(jù)，并實(shí)施氣隙隔離策略。
·通過(guò)采取控制措施和長(zhǎng)時(shí)間保存日志，保證自己遵守安全策略和法規(guī)。來(lái)自服務(wù)器、端點(diǎn)和網(wǎng)絡(luò)設(shè)備的日志文件可以與常規(guī)備份保存策略分開(kāi)保存。