为了提高工作效率和灵活性,现代企业允许各种类型的终端设备连接并访问企业的应用程序和数据资源,为企业网络带来了巨大的安全挑战。作为零信任安全能力建设中的薄弱环节,组织必须全面了解连接到网络的设备,并采取一系列安全措施,以确保只有健康合规的设备才能访问组织资源,保护企业的敏感数据和资源免受潜在的安全威胁。
本文主要从设备相关的安全能力建设入手,讨论资产和供应链的风险管理、设备合规监控、资源访问授权和终端威胁保护等问题。
关键字:零信任;威胁保护;风险管理;安全合规
一、零信任设备安全
随着IT基础设施的演变发展,风险面也随着访问点数量的增加而扩大,与以往任何时候相比,业务系统的访问者(包括员工、承包商、合作伙伴和供应商等)使用了更多的设备和位置,访问存储在本地和云端的更多资源和数据。更为严重的是,这些访问点正以惊人的速度被攻击者利用,特别是设备安全缺陷已经成为身份攻击和数据泄露的主要原因。
从直观上看,组织直接管理的PC、平板电脑和智能手机都属于设备,但安全人员还需要考虑第三方设备(例如,BYOD、客户或合作伙伴使用的设备)和接入点、物联网设备和基础设施组件(例如,服务器、交换机,及其固/软件)。在零信任安全体系中,设备也是正在寻求资源访问权限的实体,它们代表着潜在的暴露点,也需要被纳入零信任安全框架。
可见,“设备”是零信任安全能力框架中的一个复杂领域,涵盖了连接到网络(资源)上的所有资产,如服务器、台式机、笔记本电脑、打印机、智能手机、物联网设备、网络设备等,以及各类资产的硬件、软件和固件。按管理归属的实体划分,大多数组织的设备可分为以下三类:
员工使用的企业设备,主要由组织管理;
员工使用的个人设备,主要由员工管理;
第三方使用的非托管设备(例如,承包商、合规审计员),由第三方管理。
在识别、判断设备的安全态势时,由于组织对不同类型的设备存在不同控制力度,也导致这些设备面临着不同的安全风险。在图1中,Gartner给出了不同BYOPC策略下,控制能力和安全风险的关系。
图1不同BYOPC策略下控制和风险的关系
由组织管理的设备往往最易控制。这些设备可能安装了设备或终端管控软件,能够通过序列号记录和跟踪设备,并对设备安全设置进行锁定和持续审查。从IT安全的角度来看,这些设备状态处于良好状态,能够根据需要进行控制,在可疑情况下,管理员可以采取立即行动。
对于员工使用的个人设备,控制要少得多。在移动化、分布式的工作环境中,几乎不可避免BYOD设备。虽然一些组织要求用户安装特定软件才能访问公司资源,但这并非强制性要求,而是鼓励性措施。
最后,第三方使用的非托管设备通常是未知的,组织无法看到这些设备,也几乎没有控制权。管理员对这些设备存在大量的隐性信任,主要依赖身份授权来确定其访问权限。
二、设备安全的关键能力
设备安全能力在零信任领域中主要包括设备管理追踪、安全配置管理、漏洞补丁管理、访问控制、安全监控和威胁检测等措施,以保护企业网络免受设备相关的安全威胁和风险。
图2设备安全解决方案应具备的主要能力
1.设备资产与风险管理
资产管理涉及对企业所有设备的准确定位、分类和跟踪。体系化的零信任安全能力需要准确了解企业中的设备,建立并维护所有资产的动态清单、配置信息及相关漏洞。通过使用自动化工具和设备识别技术,实时监控和管理设备的状态、配置和访问权限,从而降低潜在的风险。
市场上与企业设备管理相关的工具,大都具备对设备的描述和跟踪能力。例如,统一设备管理(UDM)、企业设备管理(EDM)、移动设备管理(MDM)、IT资产管理(ITAM)等。通常,这些工具的设备资产清单需要解决并明确回答以下问题:
哪些用户设备(包括公司设备、BYOD,以及其他人为控制的设备)可以访问企业资源?
哪些非人为控制的物联网或其他设备可以访问企业资源?
哪些类型/型号的BYOD设备可以访问企业资源?
这些设备在什么位置(包括地理位置、网络接入位置)?
哪些设备已经被过期淘汰、销毁?
供应链风险管理是零信任设备安全中的另一个重要考虑因素。通常,企业中使用的设备来自各种供应商和合作伙伴,可能存在潜在的漏洞、后门或恶意代码。因此,企业需要实施供应链风险管理措施,包括对供应商进行严格的筛选和评估,确保其设备的安全性和合规性。
此外,建立合同和协议中的安全要求和监控机制,进行供应链审计和监督,以确保供应链中的所有环节都符合零信任安全策略。
2.设备卫生与安全监控
设备卫生是指组织需要掌握设备的当前状态,并采取基本的安全措施来保护设备,其中涵盖了一系列与设备相关的因素,包括设备归属,安全状态、接入方式,风险数据采集等。从更高的层面上看,可以将设备卫生视为与安全合规和风险状态相关的核心属性,以确保设备符合企业定义的安全标准和政策。
对于不同类别的设备来说,“安全”或“可信”的实施可能具有不同的含义,试图使用各种安全工具建立一致的设备信任视图也不太现实。一般来说,组织管理的设备可以通过设备管理工具或数字证书等安全机制实现最高级别的安全和信任,但个人和第三方设备比较棘手。
首先,各种安全工具可能在不同平台上具有不一致的功能集,有些工具(如EDR)可能只涵盖桌面而非移动设备,也可能只支持单一平台。虽然可以通过高度定制来解决该问题,但这也意味着IT管理的更高复杂性和成本。
其次,这些安全工具存在于用户身份系统之外,将设备上下文与用户身份连接起来,以实现访问控制极具挑战性。从设备提取大量的安全数据后,仍然需要进行大量额外工作才能将这些数据与最终用户的身份关联起来。
再次,对于个人或第三方设备来说,有些安全工具可能无法实施,移动办公和员工流动使得企业的MDM策略也难以奏效。
因此,许多组织转而使用设备姿态检查,来提供一定的安全监控覆盖。但即便如此,由于设备和资源在大多数环境中的复杂多样性,很难对设备姿态要求进行标准化的统一管理,例如,由于各个操作系统平台在安全实现方法上的细微差别,导致不同的版本补丁更新和密码强度等策略也会存在差异。
3.安全姿态与动态访问
由于失陷设备可以作为针对其他资源的攻击媒介,零信任访问策略将设备姿态检查(DPC)作为访问决策的部分依据。DPC评估设备的当前状态和潜在漏洞。为了支持零信任的动态访问策略,设备监控组件需要定义在DPC中评估的设备状态要素,主要包括:
操作系统版本;
反病毒软件的版本和更新状态;
屏幕锁定状态;
防火墙状态;
存储加密状态;
数字证书;
设备名称和ID;
管理软件的客户端版本;
补丁状态与最后更新时间;
已安装的特定应用程序。
对于所有类型的设备来说,都应通过评估安全姿态来生成信任评级,无论是公司设备、个人设备,还是第三方所有的设备,也包括服务器和相关的物联网(IoT)设备。
更重要的是,要通过安全评估和动态访问控制,确保设备及其用户不会以任何方式使敏感数据受到损害。设备注册是一种典型的方法,将设备指纹及安全姿态存储在基于风险的访问数据库中,实现访问时的动态信任评估,控制各种潜在威胁(如勒索软件)的攻击半径。
4.威胁检测与保护响应
目前,典型的终端保护工具包括终端检测和响应(EDR)和终端保护平台(EPP),尽管在术语概念上存在一些差异,但它们对设备的保护能力是通用的。
威胁检测通过先进的安全监测和识别技术,如实时监控、行为分析、异常检测和威胁情报等,来辨识可能存在的安全风险或恶意活动。这种持续的监测和检测帮助组织及时发现并应对潜在的安全威胁,保护企业的资产和敏感数据。
一旦威胁被检测到,保护响应措施会被启动,以减轻影响并防止进一步的损害。这些措施可以包括隔离风险设备或用户、阻止可疑的网络流量、实施访问控制、应用补丁或安全更新,或触发事件响应程序等。
简单来说,终端保护通过连接上述相关功能来加固设备以抵御攻击,主要包括:
根据威胁情报和模式分析,预测终端何时可能受到攻击;
如果可能,防止终端受到攻击;
在攻击发生时,进行实时检测并响应。
威胁检测与保护响应通常采用基于云的平台进行功能交付,以支持无处不在的连接和实时更新。另外,这些保护功能还应该能与其他的零信任支柱(例如,零信任网络技术)进行无缝连接,在实现随时随地的用户访问的基础上,对由人员控制和非人员控制的设备强制执行统一的访问策略,确保安全策略的一致性。
三、设备安全的最佳实践
为了创建零信任安全环境,组织需要制定一个设备安全战略,以满足业务需求并实现有效的风险管理。但实施构建零信任的设备安全能力时,组织将会面临各种障碍和挑战。
业务的快速发展以及不断涌现的新设备和服务,可能导致各类服务器、笔记本电脑等设备频繁上线和下线,难以准确地清点和记录网络上的所有设备。另外,用户或业务部门可能存在未经批准而上线的新设备和服务(影子IT),导致对这些设备缺乏足够的可见性和控制,使得难以对其进行注册、跟踪和监控。
要实施有效的零信任设备安全能力,组织需要采取一种全面的方法来克服这些障碍。这包括定期审查和更新策略和程序,标准化上线新设备和服务的方式,以及实施强大的设备管理系统,能够准确跟踪和监控网络上的所有设备。
1.建立设备清单
开发设备清单是实施零信任设备安全的重要步骤。如果没有对所有设备进行全面清查,就不可能准确地跟踪、监控或识别可能导致安全漏洞的恶意设备。
过去,IT团队使用电子表格手动跟踪设备非常普遍。如今,设备跟踪必须完全自动化,包括扫描、监控、更新,以及为安全运营团队自动生成警报。
需要注意的是,零信任安全体系中的设备清单超越了传统的资产管理,一些非企业拥有的设备(如BYOD、合作伙伴拥有的设备)也需纳管,安全团队必须为所有访问终端建立一个完全自动化的设备清单,包括非传统设备,如传感器、摄像头和其他物联网或OT设备。
零信任设备管理还需要为各种设备及使用行为,建立适当的处理流程和分类系统,包括确保所有设备都已注册,并为报废设备制定全面的报废计划,以安全地处置物理设备以及该设备具有的任何访问权限。
2.持续动态授权
了解设备的运行状况和合规性是实施零信任设备安全的关键步骤,这意味着需要对设备状态进行持续监控评估,而不仅仅依赖于一次性的时间点评估。持续监控的优势在于:
及早发现安全事件;
设定安全检查基线;
检测未经授权的登录;
能够检测错误配置;
有利于实现主动防御。
通常,组织会主动保护PC免受漏洞和攻击,而移动设备通常不受监控且没有保护措施。为了帮助限制风险暴露,需要监控每个端点以确保其具有可信身份、应用了安全策略,并且恶意软件或数据泄露等风险级别已经过评估、修复或被认为是可接受的。例如,如果个人设备存在软件漏洞,可以阻止其访问网络或业务,以确保企业应用程序不会暴露于已知漏洞。
通过全面的可见性和分析监控设备的状态和上下文,组织可以确保根据实时数据驱动的上下文来保护目标业务和数据,而不是依赖于静态策略,这样可以更及时地应对快速发展的威胁。
3.实施响应保护
作为正常业务过程的一部分,用户必须能够通过设备访问应用和数据。在受感染设备上,合法用户也可能有意/无意执行一些攻击行为(例如,窃听、DDoS、数据泄露等),最好的设备安全性是让数据远离设备。
但除此之外,在设备受到安全威胁时,还可以通过快速响应行动将威胁影响降至最低,例如,将设备与网络进行隔离,限制其影响半径。通常在制定终端安全的应急响应计划时,应考虑以下内容:
终端数据发生了什么?是否被加密、删除、泄露?
动态访问权限应该做什么调整?
如何处理受影响的设备?
四、结语
终端安全能力是构建零信任体系化安全能力的关键要素之一。在零信任架构中,终端设备作为接入组织资源的关键节点,需要具备一系列安全能力来保护数据和系统免受威胁,包括设备认证(身份领域)、安全姿态评估、动态访问控制、威胁检测响应和数据防泄漏(数据领域)等能力。然而,成功实施身份能力需要综合考虑多个因素,并与其他能力和跨域能力相互配合。企业应制定全面的设备安全治理策略,并采取逐步实施的方法,以确保有效的零信任安全环境的建立。
发表评论
您还未登录,请先登录。
登录