零信任 creator talks about implementation, misconceptions, strategy

十分之秒前,约翰·尼德格格概述了零信任安全模型。作为Forrester Research安全和风险团队的VP和首席分析师,他花了多年的初级研究,结果是一个新的信任模式,一种新的网络安全方法,以及旨在阻止安装数据漏洞的安全策略。

康复零信任

在中期年份,零信任获得了许多追认者和支持者,并具有充分的理由:移动设备的广泛采用,BYOD,物联网,云计算,远程工作(以及远程访问公司资源)已经制作了单一企业范围的周边过去的一件事并拓宽了组织’攻击表面大大。因此,抗辩必须侧重于用户,资产和资源。

零信任: Does it work?

作为比尔·哈洛德,联邦首席技术官在Mobileton,最近简洁地 概述,“零信任模型强制执行,只有合适的人员或资源都具有正确访问权限,从右侧设备, 在适当的情况下。“

例如,当Hackers违反了企业建立安全启动Verkada并发出它听起来他们在CloudFlare办公室的Verkada相机获得的访问可能已经被用来损害CloudFlare首席执行官’S笔记本电脑和(通过它)公司网络,公司’S CTO迅速消除了那个概念。

“[…]我们不相信公司网络;我们使用我们的产品,如CloudFlare访问,以控制对资源的访问。攻击者可以访问公司网络内部的机器的事实并不比他们与我们的公司WiFi网络连接的访问​​权限更好。网络是’t important, it’■重要的访问控制,” he 解释.

“当然,如果我们正在使用公司网络的旧城堡和Moat风格(在公司网络上的任何人和任何人都有自然信任)的情况下,结果可能不同。这就是为什么零信任是如此强大的原因。它允许我们在家庭上工作,因为Covid-19,这意味着进入办公室网络的攻击者没有进一步。”

作为模型的有效性的进一步证明,Windervag表示,零信任策略广泛地部署在世界上一些最安全的环境中,这就是我们看到NSA为什么提供零信任的指导 从他们的角度来看 最近。

那’并不是说零信任策略仅对大型组织至关重要的策略。他说,它可以由世界上最大的最大和世界上最小的组织实施,并可以帮助您防止今天’S最可怕的网络祸害:赎金软件攻击和数据泄露。

“因为Zero Trust专注于受保护的内容,因此它停止流量不会陷入粒状 Kipling方法政策陈述。这意味着向C的出站流量&C节点,这是勒索软件和数据exfiltration(实际漏洞)工作,将自动停止。恶意软件尝试ping a c&C节点在Internet上,控制系统中没有规则,允许设置会话。因此,数据无法被灭绝,并且勒索软件无法交换键,” he explained.

实施零信任

作为当前在ON2IT的网络安全策略的高级VP,在所有大小的组织中更轻松地访问零步信,Windervag建议组织通过这五个部署步骤来构建零信任网络:

1. 定义保护表面:您需要保护什么?
2. 地图交易流程:系统如何共同努力?
3. 建筑物环境:将控件尽可能接近保护表面,以便您可以定义微观周长
4. 创建零信任策略 (通过使用kiping方法,即通过回答谁,什么,何时,在哪里,为什么以及您的网络和策略的方式和方式。
5. 监控并维护环境:收集遥测,执行机器学习和分析,并在政策中自动执行答复

“自从我创建原始概念以来,零信任的战略概念没有改变,通过我已经改进了一些术语,”他讲述了帮助净安全。

“我曾经说过五步部署模型的第一步是‘Define Your Data.’现在我说第一步是‘定义保护表面。’我对保护表面中心的想法,了解攻击表面是巨大的,并且始终增长和扩展,这使得这是一个不可提供的问题。我倒了攻击表面的想法以形成保护表面,这是较小且易于清楚的数量级。”

在陷阱中,选择实施零信任模型的组织应该尽量避免他单打:认为归零信任是二进制(任何一切都是零信任,或者都是),而没有策略部署产品(从而创造虚假的安全感)。

“零信任是增量。它是一次建造一个保护表面,以便以迭代和非中断的方式完成,” he explained.

他还向首先创建零信任/关键保护表面的零信任网络开始建议(学习,练习和制造较少的破坏性错误),然后慢慢地工作’为越来越大的信任来实现零信任的方式。

在设计零信任网络时,组织应该专注于业务结果,确保从内部开放并正确确定谁需要访问资源,并检查和记录第7层的所有流量,以便第7层策略他补充说明可以定义声明。

消除误解

误解康涅狄格州渴望消除零信任使系统“可信赖”,并且它只是关于身份和多因素认证(MFA.)。

零信任 eliminates trust from digital systems, because trust is a vulnerability that can be exploited, he says.

“Zero Trust消耗在第7层策略中使用MFA验证的身份属性。如果Zero Trust等于MFA(以及许多供应商索赔),那么雪登和曼宁违规者都不会发生。它们具有非常强大的MFA和身份解决方案,但没有人查看他们的数据包认证。”

最后,他强调,即使许多供应商都重新定义了零信任的含义,以满足其产品的局限性,也没有“Zero Trust products.”

“有些产品在零信任环境中运行良好,但如果供应商进入销售他们‘Zero Trust’产品,这是一个非常好的迹象,他们不明白这个概念,” he noted.

“And, if you’重新希望聘请托管服务提供商来帮助您实现,询问它们如何定义零信任:‘它是一种产品还是策略?’然后确保他们问你的第一个问题‘你想保护什么?’”

分享这个