2021年5月,美國發(fā)布了關于改善國家網(wǎng)絡安全的14028號總統(tǒng)令,指示聯(lián)邦機構在對網(wǎng)絡安全進行現(xiàn)代化改造并向云遷移時,必須實現(xiàn)向零信任架構(Zero Trust Architecture, ZTA)的過渡。美國國家標準與技術研究院(The National Institute of Standards and Technology, NIST)在其發(fā)布的SP800-207《零信任架構》標準草案中,給出了向零信任架構過渡的詳細指導。此外,美國管理和預算辦公室 (Office of Management and Budget, OMB)也出臺了針對零信任行動的指導方針。
盡管總統(tǒng)令只針對聯(lián)邦機構,但它所包含的原則同樣適用于企業(yè)和政府機構。對于組織來講,要實現(xiàn)零信任架構的成功部署就需要進行諸多戰(zhàn)略投資,其中之一便是對組織之間傳輸?shù)娜縿討B(tài)數(shù)據(jù)(包括數(shù)據(jù)中心、云和多云環(huán)境)實現(xiàn)完整、準確以及及時的網(wǎng)絡可視化。
對NIST零信任架構抽象定義的理解
作為零信任的一個方面,實現(xiàn)動態(tài)數(shù)據(jù)的可視化被劃入SP800-207《零信任架構》標準草案中活動日志邏輯組件的范疇,如下圖所示:
核心零信任邏輯組件
在SP800-207《零信任架構》標準草案中, “網(wǎng)絡和系統(tǒng)活動日志”組件的定義為:
“這是一個企業(yè)系統(tǒng),它聚合了資產(chǎn)日志、網(wǎng)絡流量、資源訪問操作和其他事件,這些事件提供關于企業(yè)信息系統(tǒng)安全態(tài)勢的實時(或接近實時)反饋。”
此外,許多聯(lián)邦機構也采用了更多可為零信任架構帶來價值的技術,包括身份和訪問管理(IAM)、端點檢測和響應(EDR)以及安全信息和事件管理(SIEM)等。
但是,鑒于組織越來越傾向于采用更加成熟的零信任架構,即使這些組織已經(jīng)部署了以上技術,其在安全方面仍然存在缺失。例如,物聯(lián)網(wǎng)(IoT)設備等特定節(jié)點可能與EDR軟件不兼容,主機的日志可能會被狡詐的網(wǎng)絡犯罪分子所操縱等。
在這種情況下,如果存在一種可擴展并且集中化的網(wǎng)絡可視化方法,我們就可以借此降低風險水平。另外,如果我們可以部署某個領先的網(wǎng)絡可視化平臺,通過濾除那些安全工具分析所需要的流量中的噪聲和重復數(shù)據(jù),我們就可以進一步優(yōu)化零信任架構的效率和擴展性。
對組織中流動的動態(tài)數(shù)據(jù)(包括東西向流量)實現(xiàn)全面可視化,對于部署零信任架構,緩解IAM, EDR以及SIEM部署帶來的風險至關重要,如果深挖的話,我們認為存在兩個關鍵原因。請注意,這里的東西向流量指的是數(shù)據(jù)中心和/或云服務提供商(CSP)內部的節(jié)點之間的數(shù)據(jù)流,而實現(xiàn)對這些東西向流量的監(jiān)測,有助于組織檢測并響應網(wǎng)絡犯罪分子從最初的突破點向高價值資產(chǎn)橫向移動的嘗試。
原因之一:網(wǎng)絡數(shù)據(jù)在零信任架構中扮演著核心角色,而實現(xiàn)動態(tài)數(shù)據(jù)的可視化是理解網(wǎng)絡運行狀態(tài)的一個關鍵方面。
NIST SP800-207《零信任架構》標準草案明確指出:了解網(wǎng)絡運行狀態(tài)已經(jīng)成為零信任架構的一個重要原則,具體內容如下:
“原則七:企業(yè)盡可能收集有關資產(chǎn)、網(wǎng)絡基礎架構和通信現(xiàn)狀的信息,并利用這些信息改善其安全態(tài)勢。企業(yè)應該收集有關資產(chǎn)安全態(tài)勢、網(wǎng)絡流量和訪問請求的數(shù)據(jù),處理這些數(shù)據(jù),然后使用獲得的情報來改進策略的創(chuàng)建和實施。此數(shù)據(jù)還可用于為來自主體的訪問請求提供上下文。”
如何獲取這些狀態(tài)信息,對于組織來說主要就是收集網(wǎng)絡流量(包括訪問請求)并對其加以分析。為了解決《零信任架構》標準草案中的活動日志組件的問題,我們需要部署一套先進的網(wǎng)絡可視化平臺,這個平臺能夠以較高的網(wǎng)速向策略引擎提供有關網(wǎng)絡活動的海量信息,并最終做出數(shù)據(jù)訪問決策。
此外,對網(wǎng)絡流量數(shù)據(jù)的分析可以補充或者用來驗證數(shù)據(jù)類型的完整性,這些數(shù)據(jù)會被發(fā)送至策略引擎,同時還要滿足除零信任架構之外的其他的已經(jīng)存在或者正在形成的聯(lián)邦政府安全要求。
原因之二:網(wǎng)絡可視化可以緩解那些EDR所無法解決的風險,同時對EDR遙測技術進行驗證。
基于主機的安全產(chǎn)品(如EDR)在零信任架構中發(fā)揮著重要作用。但另一方面,并不是所有端點都能部署EDR,明白這一點非常重要。這一現(xiàn)狀會為用戶帶來安全漏洞,需要采取更多措施加以緩解。
物聯(lián)網(wǎng)(loT)節(jié)點等特殊設備可能無法運行EDR代理。類似地,運營技術(OT)和工業(yè)控制系統(tǒng)(ICS)環(huán)境中通常會運行專有或老舊操作系統(tǒng)的主機,這些操作系統(tǒng)不能運行EDR代理,也無法持續(xù)打安全補丁。另外,未經(jīng)授權的“影子IT”節(jié)點和“惡意IT”實例(如惡意軟件衍生的流氓虛機和微服務),也將在沒有EDR的情況下運行。因此,對網(wǎng)絡流量進行檢測,以發(fā)現(xiàn)是否存在安全威脅,正變得越來越重要。
不過,即便是主機上可以安裝EDR軟件,風險也將繼續(xù)存在。誠然,設計EDR產(chǎn)品的初衷就是抵御篡改,但老謀深算的網(wǎng)絡犯罪分子在利用漏洞方面道行深厚,他們有能力利用運行EDR軟件的操作系統(tǒng)中的漏洞,以及低于操作系統(tǒng)級別的固件和硬件,發(fā)動攻擊。
在對SolarWinds事件進行總結時,威脅情報和咨詢公司Mandiant, Inc.發(fā)現(xiàn),一旦攻擊者侵入了特定節(jié)點,他們就會采取行動繞過或刪除基于主機的日志機制:
“Mandiant調查到這些攻擊者通過Microsoft Remote Desktop,在禁用了受害者計算機上的SysInternals Sysmon和Splunk轉發(fā)器的同時清除了Windows事件日志。”
技術供應商Ubiquiti, Inc.遭遇內部攻擊時攻擊者也使用了類似的技術。根據(jù)安全記者Brian Krebs的發(fā)現(xiàn),一般內線會一邊采取行動控制日志記錄,一邊指責公司向媒體泄露了信息:
“在這些新聞報道中,有一種說法是,Ubiquiti沒有保存訪問日志,而這些日志可以讓公司了解入侵的整個過程。起訴書稱,實際上Sharp將Ubiquiti系統(tǒng)在AWS中保存用戶活動日志的時間縮短到了一天。”
借助網(wǎng)絡可視化數(shù)據(jù)來優(yōu)化網(wǎng)絡檢測和響應(NDR)以及SIEM功能,對基于主機的安全技術進行增強,是降低這些風險的最佳方式。例如,對一個沒有被EDR記錄的針對主機的網(wǎng)絡活動進行觀察,便是一個強有力的IOC,表明網(wǎng)絡犯罪分子正試圖隱藏C2流量。另外,除了作為一個額外的驗證點,網(wǎng)絡可視化數(shù)據(jù)一般都是在特定主機之外生成,網(wǎng)絡犯罪分子很難對這種流量發(fā)動攻擊。
友情鏈接
總部/北區(qū)
地址:北京市海淀區(qū)高梁橋斜街42號院1號樓融匯國際大廈-3A層信亦宏達
電話:400-650-6601(9:00-18:00)
服務熱線:13522376611(7*24h)
傳真:+86 010-62260557-666
Email: service@sinynet.com
售前咨詢熱線 400-650-6601
關注信亦宏達
微信
微博
2012-2020 版權所有?信亦宏達網(wǎng)絡存儲技術(北京)有限公司 京ICP備09114115號-1