注意!零信任有5大盲区无法保护

随着零信任的日益普及,关注整个行业中所有可能出现的盲点对CISO来说尤为重要,无论是不受监控的物联网设备还是第三方系统,CISO必须确保攻击者无法找到漏洞。
2023-09-15 07:26:32  |   作者:开源爱好者  |   来源:

注意!零信任有5大盲区无法保护

随着零信任的日益普及,关注整个行业中所有可能出现的盲点对CISO来说尤为重要,无论是不受监控的物联网设备还是第三方系统,CISO必须确保攻击者无法找到漏洞。
2023-09-15 07:26:32
作者:开源爱好者
来源:

随着零信任的日益普及,关注整个行业中所有可能出现的盲点对CISO来说尤为重要,无论是不受监控的物联网设备还是第三方系统,CISO必须确保攻击者无法找到漏洞。

 20230915-1.jpg

采用零信任网络对于防范网络攻击来说并不是万无一失的,攻击者一直在寻找绕过零信任的新方法,这种情况经常发生,因为在构建零信任网络时并不能把整体环境中的所有情况都考虑,被忽视的风险包括遗留系统、不受监控的物联网设备和特权访问的滥用。

零信任是一种网络安全模式,即除非得到证明,否则任何用户、设备、消息都被认为是不可信的。这是对传统基于边界方法的替代方案,在传统方法中,外部的东西是不可信的,而公司网络内部的东西则自动被认为是可信的。

然而在一个边界无处不在的时代,员工可能在家里,也可能在办公室,计算资源分散在多个数据中心、云和其他第三方中,旧的方法不再有效,这使得零信任成为最新的解决方案。根据Okta 2022年对700家公司进行的的调查,55%的公司已经实施了零信任计划,高于2021年的24%,97%的公司计划在未来12至18个月内实施零信任计划。

但是零信任也不是万能灵药。据Gartner称,到2026年,超过一半的网络攻击将针对零信任无法覆盖和无法防范的领域。“零信任有两个大问题。一个是范围,比如遗留技术或影子IT。第二是有些攻击绕过了零信任控制,”Gartner分析师John Watts表示。

根据今年3月发布的一项针对美国400名IT和网络安全专业人士的调查显示,只有19%的公司已经实施了零信任。与此同时,30%的人表示项目正在进行中,38%的人表示仍处于规划阶段。而事实远没有如此乐观,根据Gartner的数据,只有不到1%的组织拥有成熟的、可衡量的零信任计划,到2026年,只有10%的组织将拥有这样的计划。

即使推出了零信任,也并不意味着所有的安全问题都得到了解决。零信任有几个盲点,包括不是为零信任设计的遗留系统、不受监控的物联网设备、特权用户的越权操作、第三方系统服务,以及持续变更的新技术及应用。

1. 遗留系统

并非所有系统和应用程序都可以轻松地升级到零信任架构。例如,许多遗留系统根本不具备所需的条件。保险经纪公司PIB Group成立于7年前,但自那以来,它已收购了92家其他公司,其中大多数是其他保险公司。员工从12人增加到3500人。首席信息安全官Jason Ozin表示,“我们收购了很多平台,但编写这些平台代码的人多数已经离职,导致无法对它们进行升级。

Ozin说,即使是其自己公司目前的人力资源系统也无法支持零信任,甚至都不能支持双重身份验证。该系统只支持用户名、密码和IP白名单,但是,当人们在家或其他远程位置工作时,IP白名单就不起作用了。

所以公司不得不转换到一个新的人力资源系统,但还有很多其他系统并没有那么快被取代。作为过渡阶段,Ozin想到了一个变通的办法。“我们能做的就是为它打造一个零信任的外壳使其身份得到验证,之后再将数据传递到遗留系统。例如,当前的人力资源系统将检查IP地址,以确保它来自零信任平台。Ozin说,但仍然会存在一些非常落后的遗留系统无法使用这一方案。

疫情和公司的快速增长是转向零信任的主要动力,尽管在PIB开始推出零信任时,疫情已经结束。Ozin表示,虽然公司希望能够替换掉现有的所有遗留系统,但这并不现实,因为这些升级需要大量的资源和金钱,所以目前只能从某些高风险项目开始。

2. 物联网设备

Ozin说:“公司里有很多物联网设备,有些甚至是我都不知道的。比如,一个地方办公室在没有事先与任何人商量的情况下就决定安装门禁系统,过程中安装人员说,这里的Wi-Fi密码是多少?这时有人可能就会给他们,这就会造成问题。”

由于所有Wi-Fi网关都不支持零信任,该公司正在使用一种变通的方法,即为无法访问任何公司数据的未经批准的设备提供一个单独的网络。PIB还提供了一些工具,可以让他们进行审核,以确保只有经过批准的设备连接到主网络。

Gartner的Watts也认为,物联网和多地点操作会给企业带来安全挑战。“对这些设备和系统实施零信任更加困难。他们对身份的保证更少。”他说,“如果没有用户,就没有用户账户,没有好的方法来验证某些东西是否应该在网络上。这变成了一个很难解决的问题。”

一些公司将物联网和多地点操作排除在零信任范围之外,因为他们无法解决这个问题,Watts表示,市场上的确有一些供应商提供这类的系统安全服务,他说。事实上,Gartner已经发布了一份保护物联网系统的市场指南,其中包括Armis、Claroty和Dragos。但一旦用户采用了这些技术,就意味着必须更加信任供应商。如果供应商有自己的漏洞,攻击者就会找到并进行攻击。 

3. 访问权限

内部威胁是所有公司都面临的问题。对于公司内部拥有访问敏感资源特权的人,零信任的限制将不起作用。

Ozin说,有些技术可以降低此类风险。比如“有些人可能拥有所有特权,但他们会在凌晨3点突然上网吗?”用户可以把行为分析与零信任结合来对系统操作加以控制。我们将其作为EDR(端点检测和响应)和登录判定的一部分。

Gartner的Watts也表示,在实施零信任控制后,内部威胁是主要的残余风险。此外,受信任的内部人员可能会被欺骗,对所谓的朋友泄露数据或允许攻击者进入系统。他表示:“在一个完全零信任的世界里,内部威胁和账户接管攻击是两大风险。”

还有商业邮件泄露,公司财务人员被骗将资金转给骗子。Watts说:“商业电子邮件攻击可能是一个深度骗局,比如,打电话给公司财务,要求他们把钱汇到另一个账户。这些实际上都没有触发用户的零信任控制。”

为了解决这个问题,公司应该限制用户的访问权限,这样如果他们被入侵,损失就会降到最低。他说:“但对于一个特权账户来说,很难实现。”用户和实际行为分析可以帮助检测内部威胁和账户接管攻击。关键是要智能地部署这项技术,这样误报就不会妨碍人们完全完成工作。

例如,异常活动可能触发自适应控制,如将访问权限更改为只读,或阻止对最敏感应用程序的访问。公司需要确保他们不会给太多的用户过大的访问权限。“这不仅仅是一个技术问题。你还要有支持它的人员和流程,” Watts说。

根据对网络安全内部人士的调查,47%的人表示,在部署零信任时,员工访问权限过大是最大的挑战。此外,10%的公司表示所有用户的访问权限都超过了他们的需求,79%的公司表示部分或少数用户这样做,只有9%的公司表示没有用户拥有过多的访问权限。Dimensional Research为BeyondTrust进行的一项研究发现,63%的公司报告称,在过去18个月里,发生过与特权用户或凭证直接相关的身份问题。

4. 第三方服务

CloudFactory是一家人工智能数据公司,拥有600名员工和8000名兼职的“云工作者”。该公司的安全运营主管Shayne Green表示,公司已经完全采用了零信任。“我们必须这么做,因为我们支持的用户数量太庞大。”

Green说,“远程工作人员使用谷歌认证登录,公司可以通过该认证应用其安全政策,但这是一个空白。一些关键的第三方服务提供商不支持单点登录或安全断言置标语言。他说,这样一来,员工就可以用自己的用户名和密码在未经批准的设备上登录。那就没有什么能阻止他们脱离零信任的控制来进行操作了。技术供应商虽然也意识了到这个问题,但目前还没有找到合适的办法来解决。”

CloudFactory并不是唯一一家在这方面产生问题的公司,但供应商的安全问题不仅仅是供应商使用的身份验证机制引起的。例如,许多公司通过API向第三方公开其系统。而在确定零信任部署的范围时,API很容易被忽略。

对此Watts表示,用户可以采用零信任原则并将其应用于API。这可以带来更好的安全控制,但也只是在一定程度上的。用户只能控制公开的接口供第三方可以使用,但如果第三方没有很好的控制,用户对此也毫无办法。当第三方创建一个允许其用户访问数据的应用程序时,客户端的身份验证将是一个问题,有可能因此产生安全漏洞。

公司可以审核他们的第三方供应商,但是审核通常是一次性的,或者是在临时的基础上进行的。另一个选择是部署分析,它可以提供检测某些事情是否未被批准,具有检测异常事件的能力。Watts说,这样被利用的API漏洞可能就会被分析判定为异常事件。

5. 新技术及应用

根据Beyond Identity今年对美国500多名网络安全专业人士的调查,48%的受访者表示,处理新应用程序是实现零信任的第三大挑战。而还并不是唯一的问题,AArete全球咨询公司的技术解决方案部经理John Carey表示,一些公司一直在努力改进流程,改善沟通的流畅性。但这与数据信任的概念不一致,导致数据信任控制成为数据自由流动的障碍。

Carey说,这意味着如果没有正确地实现或构建零信任,生产力可能会受到影响。可能发生这种情况的一个领域是人工智能项目。公司有越来越多的选择来创建定制的、针对其业务进行微调的人工智能模型,包括最近的生成式人工智能。

AI拥有的信息越多,它就越有用。Star技术咨询公司的技术总监Martin Fix说,“对于人工智能,用户希望它能够访问所有东西。这是人工智能的目的,但如果出问题了,它可能会披露用户不想要的东西,这就是一个问题。”

Fix说,有一种新的攻击媒介,叫做“即时黑客攻击”,恶意用户试图通过巧妙地措辞来欺骗人工智能,让它告诉他们更多的信息。他说,对于此类问题的一个解决方案是,避免训练通用的人工智能处理敏感信息,并将这些数据单独保存,使用访问控制系统检查询问问题的用户是否被允许访问这些数据。但结果可能不如不受控制的人工智能好,因为这需要更多的资源和管理。

毕马威美国零信任负责人Deepak Mathur表示,这里的根本问题是,零信任改变了公司的运作方式。“供应商们说这很容易,只要在你的人进来的地方加些安全措施,但实际上这并不容易,而零信任的复杂性才刚刚开始显现。”这是零信任永远不会谈及的一个重大缺陷。当公司实施零信任技术时,必须进行流程更改。然而,人们常常想当然地认为这些工作已经完成,但实际却没有实施。

由此可见,零信任的改进仍然任重道远,期待我们能尽快拥有更加完善的零信任系统!