2021年5月,美國發(fā)布了關(guān)于改善國家網(wǎng)絡(luò)安全的14028號總統(tǒng)令,指示聯(lián)邦機構(gòu)在對網(wǎng)絡(luò)安全進(jìn)行現(xiàn)代化改造并向云遷移時,必須實現(xiàn)向零信任架構(gòu)(Zero Trust Architecture, ZTA)的過渡。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(The National Institute of Standards and Technology, NIST)在其發(fā)布的SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中,給出了向零信任架構(gòu)過渡的詳細(xì)指導(dǎo)。此外,美國管理和預(yù)算辦公室 (Office of Management and Budget, OMB)也出臺了針對零信任行動的指導(dǎo)方針。
盡管總統(tǒng)令只針對聯(lián)邦機構(gòu),但它所包含的原則同樣適用于企業(yè)和政府機構(gòu)。對于組織來講,要實現(xiàn)零信任架構(gòu)的成功部署就需要進(jìn)行諸多戰(zhàn)略投資,其中之一便是對組織之間傳輸?shù)娜縿討B(tài)數(shù)據(jù)(包括數(shù)據(jù)中心、云和多云環(huán)境)實現(xiàn)完整、準(zhǔn)確以及及時的網(wǎng)絡(luò)可視化。
對NIST零信任架構(gòu)抽象定義的理解
作為零信任的一個方面,實現(xiàn)動態(tài)數(shù)據(jù)的可視化被劃入SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中活動日志邏輯組件的范疇,如下圖所示:
核心零信任邏輯組件
在SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中, “網(wǎng)絡(luò)和系統(tǒng)活動日志”組件的定義為:
“這是一個企業(yè)系統(tǒng),它聚合了資產(chǎn)日志、網(wǎng)絡(luò)流量、資源訪問操作和其他事件,這些事件提供關(guān)于企業(yè)信息系統(tǒng)安全態(tài)勢的實時(或接近實時)反饋。”
此外,許多聯(lián)邦機構(gòu)也采用了更多可為零信任架構(gòu)帶來價值的技術(shù),包括身份和訪問管理(IAM)、端點檢測和響應(yīng)(EDR)以及安全信息和事件管理(SIEM)等。
但是,鑒于組織越來越傾向于采用更加成熟的零信任架構(gòu),即使這些組織已經(jīng)部署了以上技術(shù),其在安全方面仍然存在缺失。例如,物聯(lián)網(wǎng)(IoT)設(shè)備等特定節(jié)點可能與EDR軟件不兼容,主機的日志可能會被狡詐的網(wǎng)絡(luò)犯罪分子所操縱等。
在這種情況下,如果存在一種可擴展并且集中化的網(wǎng)絡(luò)可視化方法,我們就可以借此降低風(fēng)險水平。另外,如果我們可以部署某個領(lǐng)先的網(wǎng)絡(luò)可視化平臺,通過濾除那些安全工具分析所需要的流量中的噪聲和重復(fù)數(shù)據(jù),我們就可以進(jìn)一步優(yōu)化零信任架構(gòu)的效率和擴展性。
對組織中流動的動態(tài)數(shù)據(jù)(包括東西向流量)實現(xiàn)全面可視化,對于部署零信任架構(gòu),緩解IAM, EDR以及SIEM部署帶來的風(fēng)險至關(guān)重要,如果深挖的話,我們認(rèn)為存在兩個關(guān)鍵原因。請注意,這里的東西向流量指的是數(shù)據(jù)中心和/或云服務(wù)提供商(CSP)內(nèi)部的節(jié)點之間的數(shù)據(jù)流,而實現(xiàn)對這些東西向流量的監(jiān)測,有助于組織檢測并響應(yīng)網(wǎng)絡(luò)犯罪分子從最初的突破點向高價值資產(chǎn)橫向移動的嘗試。
原因之一:網(wǎng)絡(luò)數(shù)據(jù)在零信任架構(gòu)中扮演著核心角色,而實現(xiàn)動態(tài)數(shù)據(jù)的可視化是理解網(wǎng)絡(luò)運行狀態(tài)的一個關(guān)鍵方面。
NIST SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案明確指出:了解網(wǎng)絡(luò)運行狀態(tài)已經(jīng)成為零信任架構(gòu)的一個重要原則,具體內(nèi)容如下:
“原則七:企業(yè)盡可能收集有關(guān)資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和通信現(xiàn)狀的信息,并利用這些信息改善其安全態(tài)勢。企業(yè)應(yīng)該收集有關(guān)資產(chǎn)安全態(tài)勢、網(wǎng)絡(luò)流量和訪問請求的數(shù)據(jù),處理這些數(shù)據(jù),然后使用獲得的情報來改進(jìn)策略的創(chuàng)建和實施。此數(shù)據(jù)還可用于為來自主體的訪問請求提供上下文。”
如何獲取這些狀態(tài)信息,對于組織來說主要就是收集網(wǎng)絡(luò)流量(包括訪問請求)并對其加以分析。為了解決《零信任架構(gòu)》標(biāo)準(zhǔn)草案中的活動日志組件的問題,我們需要部署一套先進(jìn)的網(wǎng)絡(luò)可視化平臺,這個平臺能夠以較高的網(wǎng)速向策略引擎提供有關(guān)網(wǎng)絡(luò)活動的海量信息,并最終做出數(shù)據(jù)訪問決策。
此外,對網(wǎng)絡(luò)流量數(shù)據(jù)的分析可以補充或者用來驗證數(shù)據(jù)類型的完整性,這些數(shù)據(jù)會被發(fā)送至策略引擎,同時還要滿足除零信任架構(gòu)之外的其他的已經(jīng)存在或者正在形成的聯(lián)邦政府安全要求。
原因之二:網(wǎng)絡(luò)可視化可以緩解那些EDR所無法解決的風(fēng)險,同時對EDR遙測技術(shù)進(jìn)行驗證。
基于主機的安全產(chǎn)品(如EDR)在零信任架構(gòu)中發(fā)揮著重要作用。但另一方面,并不是所有端點都能部署EDR,明白這一點非常重要。這一現(xiàn)狀會為用戶帶來安全漏洞,需要采取更多措施加以緩解。
物聯(lián)網(wǎng)(loT)節(jié)點等特殊設(shè)備可能無法運行EDR代理。類似地,運營技術(shù)(OT)和工業(yè)控制系統(tǒng)(ICS)環(huán)境中通常會運行專有或老舊操作系統(tǒng)的主機,這些操作系統(tǒng)不能運行EDR代理,也無法持續(xù)打安全補丁。另外,未經(jīng)授權(quán)的“影子IT”節(jié)點和“惡意IT”實例(如惡意軟件衍生的流氓虛機和微服務(wù)),也將在沒有EDR的情況下運行。因此,對網(wǎng)絡(luò)流量進(jìn)行檢測,以發(fā)現(xiàn)是否存在安全威脅,正變得越來越重要。
不過,即便是主機上可以安裝EDR軟件,風(fēng)險也將繼續(xù)存在。誠然,設(shè)計EDR產(chǎn)品的初衷就是抵御篡改,但老謀深算的網(wǎng)絡(luò)犯罪分子在利用漏洞方面道行深厚,他們有能力利用運行EDR軟件的操作系統(tǒng)中的漏洞,以及低于操作系統(tǒng)級別的固件和硬件,發(fā)動攻擊。
在對SolarWinds事件進(jìn)行總結(jié)時,威脅情報和咨詢公司Mandiant, Inc.發(fā)現(xiàn),一旦攻擊者侵入了特定節(jié)點,他們就會采取行動繞過或刪除基于主機的日志機制:
“Mandiant調(diào)查到這些攻擊者通過Microsoft Remote Desktop,在禁用了受害者計算機上的SysInternals Sysmon和Splunk轉(zhuǎn)發(fā)器的同時清除了Windows事件日志。”
技術(shù)供應(yīng)商Ubiquiti, Inc.遭遇內(nèi)部攻擊時攻擊者也使用了類似的技術(shù)。根據(jù)安全記者Brian Krebs的發(fā)現(xiàn),一般內(nèi)線會一邊采取行動控制日志記錄,一邊指責(zé)公司向媒體泄露了信息:
“在這些新聞報道中,有一種說法是,Ubiquiti沒有保存訪問日志,而這些日志可以讓公司了解入侵的整個過程。起訴書稱,實際上Sharp將Ubiquiti系統(tǒng)在AWS中保存用戶活動日志的時間縮短到了一天。”
借助網(wǎng)絡(luò)可視化數(shù)據(jù)來優(yōu)化網(wǎng)絡(luò)檢測和響應(yīng)(NDR)以及SIEM功能,對基于主機的安全技術(shù)進(jìn)行增強,是降低這些風(fēng)險的最佳方式。例如,對一個沒有被EDR記錄的針對主機的網(wǎng)絡(luò)活動進(jìn)行觀察,便是一個強有力的IOC,表明網(wǎng)絡(luò)犯罪分子正試圖隱藏C2流量。另外,除了作為一個額外的驗證點,網(wǎng)絡(luò)可視化數(shù)據(jù)一般都是在特定主機之外生成,網(wǎng)絡(luò)犯罪分子很難對這種流量發(fā)動攻擊。
友情鏈接
總部/北區(qū)
地址:北京市海淀區(qū)高梁橋斜街42號院1號樓融匯國際大廈-3A層信亦宏達(dá)
電話:400-650-6601(9:00-18:00)
服務(wù)熱線:13522376611(7*24h)
傳真:+86 010-62260557-666
Email: service@sinynet.com
售前咨詢熱線 400-650-6601
關(guān)注信亦宏達(dá)
微信
微博
2012-2020 版權(quán)所有?信亦宏達(dá)網(wǎng)絡(luò)存儲技術(shù)(北京)有限公司 京ICP備09114115號-1