使用“零信任”,不惧“内部威胁”!
内部人员是指被授予系统访问权限以执行某些任务的员工和其他人员。内部人员的定义可以扩展到非雇员,例如顾问,客户,供应商和第三方,他们同样在组织中具有确定的身份并可以访问各种系统。
什么是内部威胁?
内部人员有权访问系统以执行与其工作职责相关的任务。他们拥有的所有信息的组合最终可能对组织造成内部威胁,并且无论内部人员的行为是故意的还是恶意的,或者是由于错误,事故和疏忽造成的,都可能对组织造成损害,这也可能会导致黑客通过各种手段破坏他们的访问凭证。内部威胁包括身份盗用和欺诈,知识产权盗用以及数据完整性和系统可用性降低。
组织可以减轻内部威胁的一种方法是通过“零信任”模型,该模型强调了不要盲目信任任何试图访问系统或发起交易的人,即使是那些已经被授予访问权限的个人也不应该盲目信任。
零信任的简史
零信任策略的概念是由 Forrester 研究院的一位专家于 2010 年首次提出。这个概念一段时间之后才被各行各业所接受,Google 是最早宣布采取零信任政策的公司之一。Google 采用它之后,这个概念作为一种可接受的 IT 安全模型开始流行,并被许多组织采用。
零信任是如何运作的?
零信任架构是一种威胁管理模型,该模型不会假定网络中运行的人员和系统在没有重复验证的情况下有权享有所有权限。
传统的 IT 基础架构使组织外部的任何人都难以访问私有资源,但是,它忽略了内部人员带来的安全风险。实际上,员工故意或不经意地造成机密数据泄露,导致数百万美元损失的案例不计其数。
每个人都需要验证
零信任政策要求对所有人(无论是内部人员还是外部人员)进行验证。默认情况下,无论是在网络内部还是外部,零信任模型都不会信任任何人。许多网络安全专家认为,这种简单的额外安全层可以防止数据泄露。
数据泄露的后果
IBM 的一项研究显示,一次数据泄露可能会使一家公司损失 300 多万美元。在数据泄露案件中,个人客户数据的丢失可能会带来许多后果,包括对企业声誉的损害。许多受影响的客户将选择到别处开展业务,这意味着收入减少。行业专家和研究报告提出的内部威胁统计数据和后果令人痛心,许多组织选择正确采用零信任策略来应对内部威胁。
组织应如何采用零信任政策
建议采取并慢慢实施零信任策略以最大程度地降低风险。首先,您应该分析组织面临的风险。定义范围,并考虑您的资源、优先级和时间表创建一个零信任实施计划。您可以决定使用内部资源或聘请专家来帮助您实施。
接下来,您需要实现身份验证协议,通过控制身份及其访问来保护您的系统和敏感资产。您应该使用多因素身份验证和分层访问授权模型来保护所有资产,以使任何人一旦进入系统,都不会不受限制地访问数据。这可以保护您的组织免于因一名不道德的员工而彻底破产。
基本上,在允许任何人进入网络或进行交易之前,您将部署和批准身份验证过程。这可以保护您免受可能导致公司倒闭的昂贵数据的泄露。内部威胁的主要危险之一是,黑客可以访问特权帐户来执行其计划。这就是为什么绝对有必要谨慎管理特权账户的原因。
基于零信任模型的监控
一旦确定了实施零信任框架的范围、选定的技术和实现的过程,就需要建立一个监视过程来查找网络上的恶意活动。一旦检测到可疑活动,就必须对其进行标记和解决。如果勤奋地执行此过程,监控内部特权访问(也可能被外部人员泄露)会取得回报。
最后,您将实现一个基于粒度属性的访问控制模型。ABAC 是一种访问控制模型,被认为是基于角色的访问控制模型演变而来的下一代访问管理模型。ABAC 基于建立一组属性,例如:
主题或用户特征,例如部门,职位和 IP 地址,
对象或系统以及数据特性,如灵敏度水平,
环境特征,如时间和地点。
主要思想是从中心策略的角度定义将使用哪些特性或属性组合来控制访问。每个系统的属性可能不同。
通常,制定有效的零信任策略的关键是仔细检查所有活动,以识别和阻止尽可能多的未经授权的活动,特别是特权帐户持有人发起的高风险交易。
跨设备持续验证
零信任框架在实践中使用了五个关键领域,分别是:
用户信任
设备信任
传输/会话信任
数据信任
应用程序信任
为了使零信任计划有效,请通过包括作用域,技术和流程在内的逐步过程,对五个关键领域实施验证,以提高安全性。随着您继续评估风险,该项目可以从小规模开始不断发展。要想成功,您将希望以这样的方式实现它,使其提供最大程度的安全性,同时对操作的影响最小。您可以通过内部安全威胁的处理和管理降低数据泄露和未经授权访问或交易的风险。
建立零信任计划的 10 个步骤
请参考以下步骤来创建和实施零信任安全程序:
完成风险评估
定义您的范围—系统,数据,人员,设备
制定业务计划并将其推广到组织
确定您的预算和资源
制定零信任实施计划
定义信任标准和界限
部署多步骤和多因素身份验证技术
注意关键应用程序,数据库和设备上的特权帐户
实施适当的访问控制模型,例如基于属性的访问控制模型
根据您的信任标准监视跨系统的访问和活动
结论
零信任模型仔细检查了每个请求访问系统和资源的个人或设备,无论请求者是内部人员还是外部人员。最终,零信任背后的目标是解决安全性中最薄弱的环节,即受信任的实体并具有访问权限的人员(和设备)。尽管内部人员提供了宝贵的服务,但是他们已建立的访问权限可能会给组织带来巨大的安全风险,必须对其进行不断的验证,确认和批准,以保护您的公司和最有价值的资产免受潜在的内部人员威胁。
文章来源:https://www.identitymanagementinstitute.org/managing-insider-threats-with-zero-trust-model/
关于我们
「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。
「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统,助力企业或政府拥抱 (Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!从而实现 「数字化转型」 及 「软件行业工业化生产」 !
主打产品:ArkOS 方舟操作系统:一个企业级办公自动化操作系统 ,结合自研低代码应用开发平台,构建产业生态,专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括:ArkID 统一身份认证,ArkIDE,ArkPlatform,App Store 等产品。截至目前,公司已经获得 15 个 软件著作权、2 个发明专利,并与 2020 年 11 月份,获得北京海淀区中关村国家高新技术企业认定。
相关链接:
官网:<https://www.longguikeji.com/>
文档:<https://docs.arkid.longguikeji.com/>
开源代码仓库地址:
<https://github.com/longguikeji>
<https://gitee.com/longguikeji>
历史文章
评论