2021年5月,美國發(fā)布了關于改善國家網(wǎng)絡安全的14028號總統(tǒng)令�����,指示聯(lián)邦機構在對網(wǎng)絡安全進行現(xiàn)代化改造并向云遷移時�,必須實現(xiàn)向零信任架構(Zero Trust Architecture, ZTA)的過渡���。美國國家標準與技術研究院(The National Institute of Standards and Technology, NIST)在其發(fā)布的SP800-207《零信任架構》標準草案中����,給出了向零信任架構過渡的詳細指導。此外�����,美國管理和預算辦公室 (Office of Management and Budget, OMB)也出臺了針對零信任行動的指導方針���。
盡管總統(tǒng)令只針對聯(lián)邦機構����,但它所包含的原則同樣適用于企業(yè)和政府機構���。對于組織來講���,要實現(xiàn)零信任架構的成功部署就需要進行諸多戰(zhàn)略投資,其中之一便是對組織之間傳輸?shù)娜縿討B(tài)數(shù)據(jù)(包括數(shù)據(jù)中心�、云和多云環(huán)境)實現(xiàn)完整、準確以及及時的網(wǎng)絡可視化����。
對NIST零信任架構抽象定義的理解
作為零信任的一個方面,實現(xiàn)動態(tài)數(shù)據(jù)的可視化被劃入SP800-207《零信任架構》標準草案中活動日志邏輯組件的范疇����,如下圖所示:
核心零信任邏輯組件
在SP800-207《零信任架構》標準草案中����, “網(wǎng)絡和系統(tǒng)活動日志”組件的定義為:
“這是一個企業(yè)系統(tǒng)��,它聚合了資產(chǎn)日志����、網(wǎng)絡流量、資源訪問操作和其他事件�,這些事件提供關于企業(yè)信息系統(tǒng)安全態(tài)勢的實時(或接近實時)反饋。”
此外���,許多聯(lián)邦機構也采用了更多可為零信任架構帶來價值的技術�,包括身份和訪問管理(IAM)��、端點檢測和響應(EDR)以及安全信息和事件管理(SIEM)等�。
但是,鑒于組織越來越傾向于采用更加成熟的零信任架構����,即使這些組織已經(jīng)部署了以上技術,其在安全方面仍然存在缺失。例如�����,物聯(lián)網(wǎng)(IoT)設備等特定節(jié)點可能與EDR軟件不兼容����,主機的日志可能會被狡詐的網(wǎng)絡犯罪分子所操縱等�。
在這種情況下,如果存在一種可擴展并且集中化的網(wǎng)絡可視化方法���,我們就可以借此降低風險水平�����。另外�����,如果我們可以部署某個領先的網(wǎng)絡可視化平臺���,通過濾除那些安全工具分析所需要的流量中的噪聲和重復數(shù)據(jù),我們就可以進一步優(yōu)化零信任架構的效率和擴展性���。
對組織中流動的動態(tài)數(shù)據(jù)(包括東西向流量)實現(xiàn)全面可視化�,對于部署零信任架構,緩解IAM, EDR以及SIEM部署帶來的風險至關重要���,如果深挖的話���,我們認為存在兩個關鍵原因。請注意����,這里的東西向流量指的是數(shù)據(jù)中心和/或云服務提供商(CSP)內部的節(jié)點之間的數(shù)據(jù)流,而實現(xiàn)對這些東西向流量的監(jiān)測���,有助于組織檢測并響應網(wǎng)絡犯罪分子從最初的突破點向高價值資產(chǎn)橫向移動的嘗試�����。
原因之一:網(wǎng)絡數(shù)據(jù)在零信任架構中扮演著核心角色���,而實現(xiàn)動態(tài)數(shù)據(jù)的可視化是理解網(wǎng)絡運行狀態(tài)的一個關鍵方面。
NIST SP800-207《零信任架構》標準草案明確指出:了解網(wǎng)絡運行狀態(tài)已經(jīng)成為零信任架構的一個重要原則����,具體內容如下:
“原則七:企業(yè)盡可能收集有關資產(chǎn)�����、網(wǎng)絡基礎架構和通信現(xiàn)狀的信息�,并利用這些信息改善其安全態(tài)勢�。企業(yè)應該收集有關資產(chǎn)安全態(tài)勢���、網(wǎng)絡流量和訪問請求的數(shù)據(jù)��,處理這些數(shù)據(jù)����,然后使用獲得的情報來改進策略的創(chuàng)建和實施�。此數(shù)據(jù)還可用于為來自主體的訪問請求提供上下文。”
如何獲取這些狀態(tài)信息����,對于組織來說主要就是收集網(wǎng)絡流量(包括訪問請求)并對其加以分析。為了解決《零信任架構》標準草案中的活動日志組件的問題�,我們需要部署一套先進的網(wǎng)絡可視化平臺,這個平臺能夠以較高的網(wǎng)速向策略引擎提供有關網(wǎng)絡活動的海量信息����,并最終做出數(shù)據(jù)訪問決策��。
此外�,對網(wǎng)絡流量數(shù)據(jù)的分析可以補充或者用來驗證數(shù)據(jù)類型的完整性�����,這些數(shù)據(jù)會被發(fā)送至策略引擎����,同時還要滿足除零信任架構之外的其他的已經(jīng)存在或者正在形成的聯(lián)邦政府安全要求。
原因之二:網(wǎng)絡可視化可以緩解那些EDR所無法解決的風險����,同時對EDR遙測技術進行驗證。
基于主機的安全產(chǎn)品(如EDR)在零信任架構中發(fā)揮著重要作用�����。但另一方面�,并不是所有端點都能部署EDR,明白這一點非常重要���。這一現(xiàn)狀會為用戶帶來安全漏洞��,需要采取更多措施加以緩解���。
物聯(lián)網(wǎng)(loT)節(jié)點等特殊設備可能無法運行EDR代理�����。類似地����,運營技術(OT)和工業(yè)控制系統(tǒng)(ICS)環(huán)境中通常會運行專有或老舊操作系統(tǒng)的主機�����,這些操作系統(tǒng)不能運行EDR代理�,也無法持續(xù)打安全補丁�����。另外����,未經(jīng)授權的“影子IT”節(jié)點和“惡意IT”實例(如惡意軟件衍生的流氓虛機和微服務),也將在沒有EDR的情況下運行�����。因此,對網(wǎng)絡流量進行檢測��,以發(fā)現(xiàn)是否存在安全威脅�,正變得越來越重要。
不過�����,即便是主機上可以安裝EDR軟件�,風險也將繼續(xù)存在。誠然����,設計EDR產(chǎn)品的初衷就是抵御篡改,但老謀深算的網(wǎng)絡犯罪分子在利用漏洞方面道行深厚�����,他們有能力利用運行EDR軟件的操作系統(tǒng)中的漏洞����,以及低于操作系統(tǒng)級別的固件和硬件,發(fā)動攻擊�。
在對SolarWinds事件進行總結時,威脅情報和咨詢公司Mandiant, Inc.發(fā)現(xiàn)�����,一旦攻擊者侵入了特定節(jié)點,他們就會采取行動繞過或刪除基于主機的日志機制:
“Mandiant調查到這些攻擊者通過Microsoft Remote Desktop����,在禁用了受害者計算機上的SysInternals Sysmon和Splunk轉發(fā)器的同時清除了Windows事件日志。”
技術供應商Ubiquiti, Inc.遭遇內部攻擊時攻擊者也使用了類似的技術�����。根據(jù)安全記者Brian Krebs的發(fā)現(xiàn)����,一般內線會一邊采取行動控制日志記錄�����,一邊指責公司向媒體泄露了信息:
“在這些新聞報道中�,有一種說法是,Ubiquiti沒有保存訪問日志����,而這些日志可以讓公司了解入侵的整個過程。起訴書稱��,實際上Sharp將Ubiquiti系統(tǒng)在AWS中保存用戶活動日志的時間縮短到了一天。”
借助網(wǎng)絡可視化數(shù)據(jù)來優(yōu)化網(wǎng)絡檢測和響應(NDR)以及SIEM功能�����,對基于主機的安全技術進行增強����,是降低這些風險的最佳方式�。例如,對一個沒有被EDR記錄的針對主機的網(wǎng)絡活動進行觀察���,便是一個強有力的IOC����,表明網(wǎng)絡犯罪分子正試圖隱藏C2流量�。另外�����,除了作為一個額外的驗證點�,網(wǎng)絡可視化數(shù)據(jù)一般都是在特定主機之外生成,網(wǎng)絡犯罪分子很難對這種流量發(fā)動攻擊。
