您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

深度探讨:零信任已死?

时间:2023-03-21 13:29:16  来源:今日头条  作者:老李讲安全

零信任,作为近年来网络安全领域最为火热的技术之一,它的存在为组织网络架构和安全建设提供了新的思路和方向,“持续验证、永不信任”的零信任正在成为开拓新一代组织网络安全建设的核心。不少甲方企业在使用过零信任之后,对于零信任技术解决当下企业安全中的如身份权限管理混乱、终端安全及安全运营等主要问题表达了充分的认可。然而,也有不少企业表示,中国零信任市场混乱,产品标准不一,质量参差不齐,不少厂商挂羊头卖狗肉;在使用体验方面,有些企业认为零信任相较于过去的安全架构有些过度防御,更有甚者甚至提出了零信任已死这骇人听闻的观点。

当下的零信任正在饱受争议,市场评价两极分化,质疑声不断。零信任产品如何选择?甲方企业在应用零信任的时候要注意哪些?中国零信任产业当下处于何种状态?带着这些疑问,安在采访了身处零信任产业的几位专家,以他们的亲身经历来寻找答案。

 

一、运营是实现零信任架构的核心

零信任不是一个黑盒子,或者是单独的一套解决方案,而是一个概念。企业落地零信任不要期望一蹴而就,而是要做好长期运营的准备。“零信任架构与其他安全架构的最大区别是强调运营的重要性。”乐信集团信息安全中心总监刘志诚在采访中说道。

据他介绍,乐信集团在2020年开始尝试落地零信任,当时,乐信在无线网络管控方面发现了问题。乐信在PC设备上的准入策略主要集中于内网,在无线网络方面未能部署相关策略,这导致无线网络成为威胁企业安全的主要漏洞。发现这个问题后,刘志诚开始寻求能够进一步管控设备和账号的解决方案。

另一方面,作为互联网企业,乐信的主要业务是ToC的,对外开放的。但是在运营的过程中,ToC的管控手段不能和业务一样对外开放,这就需要将运营系统内网化。在这个场景下,企业的运营系统需要验证网络、终端、策略等等,这种验证模式和零信任架构的管控模式高度相似,同时基于零信任对身份和账号具有细粒度的管控能力,刘志诚决定在这两个场景下尝试落地零信任架构。

在进一步的实践和探索中,乐信集团认可了零信任架构,并将自身安全体系进行了全面的升级。目前,乐信集团的整个信息安全体系均已采用零信任的架构。在总部及各分支机构的网络架构中,乐信采用了内外网隔离,任何对象在发起访问时都要经过终端安全策略的管控、验证以及对账号的管控。在资源访问方面,乐信采用了基于零信任架构的动态资源访问策略,无论是在远程办公场景、内网办公场景、移动办公场景还是在分支机构都实施了一致的安全策略。

当然,落地零信任势必会将固有的网络安全架构进行迭代和升级,但这种升级不是完全的对立,而是要长期保持以零信任和基于边界的混合模式运营。刘志诚表示,零信任目前更多聚焦于应用层的安全管控,那么就要调整过去在网络层面的管控策略。

“零信任使用体验不佳的根源是网络层和应用层管控策略的冲突。”刘志诚表示,在应用零信任架构后,组织如果未及时对网络层的管控进行调整,就会导致员工在使用的过程中先经过网络层验证,又经过应用层验证。这种层层验证带来的不良体验感不是零信任产品、解决方案及厂商造成的,而是组织运营团队带来的问题。

然而,调整网络层策略并不是完全舍弃内网管控,无论是过去还是现在,基于边界的防护理念始终保持着防护效果,存在即合理,不要因为上了零信任而将边界防护体系完全抛弃,反而要常态化保持零信任和边界防御兼具的安全架构。

因此,在层层验证方面,刘志诚建议可以采用直连网关的概念,通过复用网络准入层的安全策略来解决这个问题,换言之就是在兼容传统网络边界安全管控的前提下落实零信任管控策略。

从上述可以看出,组织落地零信任不能完全依靠厂商,而是需要将精细化管控,同时,零信任架构也会进一步细化企业的安全管理。据刘志诚介绍,自应用零信任架构后,安全部门对于企业整体安全状况的管控能力大大加强,管控的细粒度也得到了增长。

过去基于边界的防护模式会对内网默认信任,而这种信任在当下面对横向移动等内部攻击手段面前是具备非常大的风险,在加入零信任后,就可以内部访问管理加上安全控制的节点,通过这种控制策略可以实现资源、用户、设备三元关系的确认。通过这三元验证机制可以保障组织在网络层、应用层的安全,从安全管控的视角来看,这是一个较为理想的方案。

刘志诚再一次强调,零信任不是一蹴而就的,而是需要常态化运营来最大实现零信任策略的价值。零信任不是建设之后就结束了,它是基于动态策略之上的,建立策略、优化策略、调整策略的核心就是运营。只做建设不做运营,零信任就会变得形同虚设,整体使用体验也就无从谈起。

二、零信任还需要更进一步

关于零信任的体验感,零信任产业的另一端也发表了看法。易安联案营销总监张晓东表示,由于零信任是从过去静态的、基于网络边界转移到动态的,关注用户、资产和资源的主动防御模式。访问控制是零信任架构实现的关键,这导致上到公司老板,下到前台行政,每一位员工都成为了组织安全的参与者。

另外,零信任有时也在替其他安全产品背锅。张晓东举例道,有的企业会将零信任与现有的数据源的接口、短信验证码接口以及应用门户等等第三方产品相结合,当第三方产品出现问题时,企业很可能将问题归咎于零信任。对此,张晓东建议到,在落地零信任解决方案时,需要增加一个全面的监控,对零信任及第三方进行状态检测,并进行全景化视图。当客户出现问题时,可以快速定位和分析故障来源,确保零信任解决方案的正常运转。

除此之外,碎片化的市场也是让用户质疑零信任的主要原因。据中国信通院《零信任发展洞察报告(2022年)》统计,当前中国的零信任市场是以问题为导向的,网络攻击不是全盘攻击,攻击者往往只需要突破一个点,就能够达成攻击结果。因此,基于零信任展开的安全防护不再像过去拥有一套完备的顶层架构,而是针对包括网络环境安全、终端安全、应用安全和负载、数据安全及安全管理等各个问题进行延伸。这导致整个零信任市场非常分散,竞争压力较大。

“很多厂商做零信任都是在过去擅长的领域延伸,过去做网关的厂商,其零信任产品在网关方面比较强,同理,过去做终端的厂商其零信任产品在终端方面比较强。”张晓东表示,在这种情况下,单独的厂商是无法支撑一个涉及终端、网络、应用、数据、身份等多个环节的全面的零信任体系。大多数厂商在落地零信任时,都会偏向从擅长的环节开始建设,其他环节虽然能够提供,但最终呈现的效果往往不尽人意,从而使用户认为零信任市场名不符实,空中楼阁。

换言之,零信任缺乏进一步的标准。张晓东认为,当下无论是国家针对零信任提出的标准,还是其他行业或安全厂商牵头提出的标准,它都是从零信任本身的安全能力维度去制定的,较为通用,但无法体现价值。他认为,当下零信任缺少的是在特定应用场景中或是特定行业领域中的零信任落地标准。当存在这种标准时,用户才能拥有一个可参考的范本,才能对零信任树立信心,并对厂商提出更高的要求。

刘志诚表示,单靠标准也不能完全推动零信任产业发展,因为很少有标准能够放之四海而皆准的。因此,乐信集团在建设零信任的过程中,对其供应商提出了很多修改意见,通过不断地磨合和整改,最终实现了整体的零信任架构。他表示,业界对于零信任理念是一致的,但在产品实现和落地方面,往往会因为设计或具体场景的不同产生偏差,这就需要通过运营来使供应商的零信任进一步贴合企业的需求。

除此之外,零信任还需要发展的时间。作为一种概念和思想,零信任的起源其实很早。早在2004年,零信任概念就在耶利哥论坛上提出,当时该论坛成立的目的是定义无边界趋势下的网络安全问题并寻求解决方案。2010年,Forrester的分析师约翰·金德维格首次提出了零信任安全的概念,其核心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。此后,在谷歌的实践和推广下,零信任开始全面在市场普及。

国内零信任产业起步虽然较晚,但发展速度很快。2017年,Gartner在安全与风险管理峰会上发布CARTA模型(持续自适应风险与信任评估)并提出零信任是实现CARTA宏图的初始步骤。与此同时,国内不少安全厂商注意到了这一点,很多厂商将零信任视为新的增长点,将零信任概念纳入到传统安全产品中。2020年,美国国家标准与技术研究院NIST发布《零信任架构标准》正式版。同年,国内零信任开始迅猛增长。2019RSA大会上,零信任厂商仅有39家,到了2020年,RSA大会上的零信任厂商多达91家,仅仅一年时间,零信任行业的发展速度就增加了133%。

“零信任的步子迈的太快了”金融科技信息安全专家蔚晨在采访中提到。他认为,零信任发展的时间太短,步伐太快,使整个产业过于浮躁。当下愈发激烈的网络安全环境逼迫着企业寻求零信任这种更细粒度的安全策略,同时,厂商为了寻求新的增长点,开始朝着零信任布局。看似一拍即合的双方,却因为对零信任的认知不同以及过度碎片化的市场导致质疑声不断。

除此之外,近年来推出的AI安全、算法安全乃至机器语言安全都表明了信息安全一直在外延和扩展。如此广泛的领域让很多大的概念在提出时没有一个确切的落脚点,零信任就是一个大的概念。蔚晨表示,零信任现在就处于盲人摸象的阶段,每一个参与者都在凭借自己的认知和经验来定义零信任,因此,零信任想要成熟还需要一个大浪淘沙的过程,这也是每一个安全技术发展的必经之路。

三、零信任已死?

从当前阶段看来,零信任已死这句话有些夸张。据Gartner预测,中国的零信任市场成熟度即将迎来攀升期。对此张晓东表示,此前的疫情对甲方和乙方都有很大的影响,各个行业的预算都有一定的削减,同时,零信任产品的迭代和规划也不得不放缓。但现在,疫情已经消散,市场正在逐步的复苏,无论是甲方还是乙方都能够进行面对面的沟通和交流,同时,很多搁置的项目也会再一次启动,整个零信任产业也必将迎来新一轮的发展。

但是,趋势不代表现实,零信任目前缺乏标准,也缺乏实践,想要脱离空中楼阁,那么就必须要先打好地基。什么是地基?张晓东认为零信任的地基来自于厂商将零信任真正的安全价值发挥出来。“不要让零信任的领先性只局限于理念。”他表示,现在需要有大量的从业者花费大量的精力去企业中,认真发掘零信任产品和架构在落地时有哪些问题。只有当所有厂商都在为这一件事情努力时,才能让零信任在更多的行业和场景落地,才能实现真正的价值。

刘志诚表示,零信任需要进一步的开放和兼容,将其从紧耦合的状态拆解成一个个原子能力,形成类似于云原生的微服务解决方案。企业通过与供应商的磨合,将零信任的一个个原子能力适配到各个场景的具体需求,并通过精细化的运营来使其完全发挥出价值。“对于企业来说,通过运营来实现零信任才是一个较为理想的结构。”

蔚晨表示,零信任产业的发展也不能单单依靠厂商,而是产业上的每一环节的每一个参与者一起努力,共同挖掘和实现零信任的价值。“零信任需要的是脚踏实地的实践者,而不是站在山头上喊口号。”

回过头来看,2023年或许是零信任产业发展的转折点,在越来越多的实践案例促进下,零信任产业或许能够在每一位参与者励精图治中,让舆论调头,让价值提升。

 

来源:安在



Tags:零信任   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
如何在零信任世界中实现API安全性?
随着传统网络边界的不断变化,零信任架构(Zero Trust architecture, ZTA)已经从一个讨论话题,转变为许多企业组织积极推进采用的切实计划。然而,在许多企业所制定的ZTA应用计划中,...【详细内容】
2023-11-17  Search: 零信任  点击:(165)  评论:(0)  加入收藏
零信任未来研究的八个领域
2023年3月1日美国发布《国家网络安全战略》,拜登政府承诺通过实施零信任架构(ZTA)战略以及信息技术(IT)和运营技术(OT)基础设施的现代化来改善联邦网络安全。美国卡内基梅隆大学对...【详细内容】
2023-10-25  Search: 零信任  点击:(202)  评论:(0)  加入收藏
零信任网络基础设施的五个关键步骤
在网络安全领域,“零信任”概念(即设备在默认情况下从不信任且始终经过验证)并不新鲜。 然而,随着不断发展的数字环境为日益增加的网络威胁创造了环境,零信任对于澳大利亚的组...【详细内容】
2023-10-13  Search: 零信任  点击:(360)  评论:(0)  加入收藏
为什么CISO需要将零信任作为应对勒索软件的强有力的策略
今年有望成为勒索软件攻击成本第二高的一年,威胁参与者依赖于新的欺骗性社交工程方法和武器化的AI。最近的米高梅泄密事件始于攻击者研究服务台员工的社交媒体个人资料,然后打...【详细内容】
2023-09-27  Search: 零信任  点击:(344)  评论:(0)  加入收藏
零信任时代的网络安全:mTLS的重要性
让我们深入探讨一下SSL、TLS和mTLS等一系列重要的通信安全协议。尽管从整体系统设计的角度来看,这个主题可能并不是至关重要,但仍然值得我们深入了解。1. SSL协议SSL,即安全套...【详细内容】
2023-09-20  Search: 零信任  点击:(305)  评论:(0)  加入收藏
零信任不仅仅关乎安全,还是数字化转型的基础
来自Zscaler的研究表明,“大多数IT领导者已经制定了零信任安全策略,或正在规划中”,但只有不到22%的人有信心充分利用它的潜力。该企业警告称,这表明企业需要“扩大他们的视角”...【详细内容】
2023-09-20  Search: 零信任  点击:(237)  评论:(0)  加入收藏
利用边缘计算克服零信任挑战
根据最近的数据显示,97%的企业表示已经开始实施零信任倡议,到2027年,全球零信任产品的价值将达到约600亿美元。很快,不接受零信任可能会导致竞争劣势,因为潜在客户可能只信任实施...【详细内容】
2023-07-28  Search: 零信任  点击:(164)  评论:(0)  加入收藏
零信任网络架构与实现技术的研究与思考
目前,国外已有较多有关零信任网络的研究与实践,包括谷歌的 BeyondCorp、BeyondProd,软件定义边界(Software Defined Perimeter,SDP) 及盖特提出的“持续自适应风险与信任评估”等...【详细内容】
2023-07-12  Search: 零信任  点击:(176)  评论:(0)  加入收藏
CISA零信任成熟模型2.0完整解读
2021年5月,拜登签署E.O. 14028“提高国家网络安全防御能力”,要求政府所有部门必须在60天内给出实现零信任架构的计划。为此,网络安全和基础设施安全局(CISA)在2021年9月发布了零...【详细内容】
2023-07-04  Search: 零信任  点击:(264)  评论:(0)  加入收藏
深度探讨:零信任已死?
零信任,作为近年来网络安全领域最为火热的技术之一,它的存在为组织网络架构和安全建设提供了新的思路和方向,“持续验证、永不信任”的零信任正在成为开拓新一代组织网络安全建...【详细内容】
2023-03-21  Search: 零信任  点击:(126)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(2)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(55)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(134)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(83)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(105)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(140)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(176)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(161)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(220)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条