2021年5月����,美國發(fā)布了關(guān)于改善國家網(wǎng)絡(luò)安全的14028號總統(tǒng)令��,指示聯(lián)邦機構(gòu)在對網(wǎng)絡(luò)安全進(jìn)行現(xiàn)代化改造并向云遷移時�����,必須實現(xiàn)向零信任架構(gòu)(Zero Trust Architecture, ZTA)的過渡��。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(The National Institute of Standards and Technology, NIST)在其發(fā)布的SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中��,給出了向零信任架構(gòu)過渡的詳細(xì)指導(dǎo)�。此外,美國管理和預(yù)算辦公室 (Office of Management and Budget, OMB)也出臺了針對零信任行動的指導(dǎo)方針��。
盡管總統(tǒng)令只針對聯(lián)邦機構(gòu)�����,但它所包含的原則同樣適用于企業(yè)和政府機構(gòu)�����。對于組織來講�,要實現(xiàn)零信任架構(gòu)的成功部署就需要進(jìn)行諸多戰(zhàn)略投資,其中之一便是對組織之間傳輸?shù)娜縿討B(tài)數(shù)據(jù)(包括數(shù)據(jù)中心�����、云和多云環(huán)境)實現(xiàn)完整、準(zhǔn)確以及及時的網(wǎng)絡(luò)可視化�。
對NIST零信任架構(gòu)抽象定義的理解
作為零信任的一個方面,實現(xiàn)動態(tài)數(shù)據(jù)的可視化被劃入SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中活動日志邏輯組件的范疇����,如下圖所示:
核心零信任邏輯組件
在SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中, “網(wǎng)絡(luò)和系統(tǒng)活動日志”組件的定義為:
“這是一個企業(yè)系統(tǒng)���,它聚合了資產(chǎn)日志�、網(wǎng)絡(luò)流量��、資源訪問操作和其他事件���,這些事件提供關(guān)于企業(yè)信息系統(tǒng)安全態(tài)勢的實時(或接近實時)反饋�����。”
此外�����,許多聯(lián)邦機構(gòu)也采用了更多可為零信任架構(gòu)帶來價值的技術(shù)����,包括身份和訪問管理(IAM)���、端點檢測和響應(yīng)(EDR)以及安全信息和事件管理(SIEM)等���。
但是,鑒于組織越來越傾向于采用更加成熟的零信任架構(gòu)�����,即使這些組織已經(jīng)部署了以上技術(shù)�����,其在安全方面仍然存在缺失���。例如�����,物聯(lián)網(wǎng)(IoT)設(shè)備等特定節(jié)點可能與EDR軟件不兼容����,主機的日志可能會被狡詐的網(wǎng)絡(luò)犯罪分子所操縱等�����。
在這種情況下,如果存在一種可擴展并且集中化的網(wǎng)絡(luò)可視化方法���,我們就可以借此降低風(fēng)險水平��。另外����,如果我們可以部署某個領(lǐng)先的網(wǎng)絡(luò)可視化平臺��,通過濾除那些安全工具分析所需要的流量中的噪聲和重復(fù)數(shù)據(jù)��,我們就可以進(jìn)一步優(yōu)化零信任架構(gòu)的效率和擴展性���。
對組織中流動的動態(tài)數(shù)據(jù)(包括東西向流量)實現(xiàn)全面可視化���,對于部署零信任架構(gòu),緩解IAM, EDR以及SIEM部署帶來的風(fēng)險至關(guān)重要��,如果深挖的話�����,我們認(rèn)為存在兩個關(guān)鍵原因。請注意��,這里的東西向流量指的是數(shù)據(jù)中心和/或云服務(wù)提供商(CSP)內(nèi)部的節(jié)點之間的數(shù)據(jù)流���,而實現(xiàn)對這些東西向流量的監(jiān)測,有助于組織檢測并響應(yīng)網(wǎng)絡(luò)犯罪分子從最初的突破點向高價值資產(chǎn)橫向移動的嘗試��。
原因之一:網(wǎng)絡(luò)數(shù)據(jù)在零信任架構(gòu)中扮演著核心角色��,而實現(xiàn)動態(tài)數(shù)據(jù)的可視化是理解網(wǎng)絡(luò)運行狀態(tài)的一個關(guān)鍵方面�����。
NIST SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案明確指出:了解網(wǎng)絡(luò)運行狀態(tài)已經(jīng)成為零信任架構(gòu)的一個重要原則���,具體內(nèi)容如下:
“原則七:企業(yè)盡可能收集有關(guān)資產(chǎn)�、網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和通信現(xiàn)狀的信息��,并利用這些信息改善其安全態(tài)勢��。企業(yè)應(yīng)該收集有關(guān)資產(chǎn)安全態(tài)勢�����、網(wǎng)絡(luò)流量和訪問請求的數(shù)據(jù),處理這些數(shù)據(jù)��,然后使用獲得的情報來改進(jìn)策略的創(chuàng)建和實施��。此數(shù)據(jù)還可用于為來自主體的訪問請求提供上下文�����。”
如何獲取這些狀態(tài)信息��,對于組織來說主要就是收集網(wǎng)絡(luò)流量(包括訪問請求)并對其加以分析����。為了解決《零信任架構(gòu)》標(biāo)準(zhǔn)草案中的活動日志組件的問題,我們需要部署一套先進(jìn)的網(wǎng)絡(luò)可視化平臺��,這個平臺能夠以較高的網(wǎng)速向策略引擎提供有關(guān)網(wǎng)絡(luò)活動的海量信息��,并最終做出數(shù)據(jù)訪問決策����。
此外,對網(wǎng)絡(luò)流量數(shù)據(jù)的分析可以補充或者用來驗證數(shù)據(jù)類型的完整性�,這些數(shù)據(jù)會被發(fā)送至策略引擎�,同時還要滿足除零信任架構(gòu)之外的其他的已經(jīng)存在或者正在形成的聯(lián)邦政府安全要求�。
原因之二:網(wǎng)絡(luò)可視化可以緩解那些EDR所無法解決的風(fēng)險,同時對EDR遙測技術(shù)進(jìn)行驗證�����。
基于主機的安全產(chǎn)品(如EDR)在零信任架構(gòu)中發(fā)揮著重要作用�。但另一方面�,并不是所有端點都能部署EDR,明白這一點非常重要���。這一現(xiàn)狀會為用戶帶來安全漏洞��,需要采取更多措施加以緩解����。
物聯(lián)網(wǎng)(loT)節(jié)點等特殊設(shè)備可能無法運行EDR代理��。類似地�����,運營技術(shù)(OT)和工業(yè)控制系統(tǒng)(ICS)環(huán)境中通常會運行專有或老舊操作系統(tǒng)的主機�,這些操作系統(tǒng)不能運行EDR代理,也無法持續(xù)打安全補丁。另外����,未經(jīng)授權(quán)的“影子IT”節(jié)點和“惡意IT”實例(如惡意軟件衍生的流氓虛機和微服務(wù)),也將在沒有EDR的情況下運行�����。因此��,對網(wǎng)絡(luò)流量進(jìn)行檢測�����,以發(fā)現(xiàn)是否存在安全威脅��,正變得越來越重要�����。
不過���,即便是主機上可以安裝EDR軟件��,風(fēng)險也將繼續(xù)存在��。誠然�����,設(shè)計EDR產(chǎn)品的初衷就是抵御篡改��,但老謀深算的網(wǎng)絡(luò)犯罪分子在利用漏洞方面道行深厚����,他們有能力利用運行EDR軟件的操作系統(tǒng)中的漏洞,以及低于操作系統(tǒng)級別的固件和硬件��,發(fā)動攻擊��。
在對SolarWinds事件進(jìn)行總結(jié)時����,威脅情報和咨詢公司Mandiant, Inc.發(fā)現(xiàn)�����,一旦攻擊者侵入了特定節(jié)點�,他們就會采取行動繞過或刪除基于主機的日志機制:
“Mandiant調(diào)查到這些攻擊者通過Microsoft Remote Desktop,在禁用了受害者計算機上的SysInternals Sysmon和Splunk轉(zhuǎn)發(fā)器的同時清除了Windows事件日志����。”
技術(shù)供應(yīng)商Ubiquiti, Inc.遭遇內(nèi)部攻擊時攻擊者也使用了類似的技術(shù)�。根據(jù)安全記者Brian Krebs的發(fā)現(xiàn)����,一般內(nèi)線會一邊采取行動控制日志記錄,一邊指責(zé)公司向媒體泄露了信息:
“在這些新聞報道中����,有一種說法是,Ubiquiti沒有保存訪問日志�����,而這些日志可以讓公司了解入侵的整個過程�。起訴書稱,實際上Sharp將Ubiquiti系統(tǒng)在AWS中保存用戶活動日志的時間縮短到了一天��。”
借助網(wǎng)絡(luò)可視化數(shù)據(jù)來優(yōu)化網(wǎng)絡(luò)檢測和響應(yīng)(NDR)以及SIEM功能�,對基于主機的安全技術(shù)進(jìn)行增強,是降低這些風(fēng)險的最佳方式�����。例如�����,對一個沒有被EDR記錄的針對主機的網(wǎng)絡(luò)活動進(jìn)行觀察,便是一個強有力的IOC��,表明網(wǎng)絡(luò)犯罪分子正試圖隱藏C2流量����。另外,除了作為一個額外的驗證點�,網(wǎng)絡(luò)可視化數(shù)據(jù)一般都是在特定主機之外生成,網(wǎng)絡(luò)犯罪分子很難對這種流量發(fā)動攻擊�。
