零信任已经变得如此普遍,以至于它已经失去了一些制动力
仅根据过去几年涌现的网络安全公司的数量,不难看出我们正处于高度焦虑的时刻。一些组织处于戒备状态,因为他们知道其网络已经成为国家资助的黑客的目标,另一些组织知道他们的高管正在成为欺诈者的目标,还有一些组织担心内部威胁和知识产权盗窃。
焦虑的种类取决于组织,其解决方案取决于他们正在与之交谈的网络安全公司:一些处理改进威胁响应,而另一些则解决特定问题,例如检测和修复恶意软件攻击。
虽然意识和警惕性并不是当今最大的担忧,但我们现在面临的真正问题是,一旦出现攻击迹象,所有这些安全公司都专注于事后处理安全问题。到那时,损害已经造成;IBM 最新的年度数据泄露成本报告发现,数据泄露的平均成本已达到创纪录的 435 万美元,这还不包括网络攻击后对声誉和其他无形资产造成的所有损害。
因此,在网络安全方面,一盎司的预防绝对值得一磅的治疗。公司需要更加重视预防,就像他们现在致力于检测和响应一样。为了在网络安全方面有所作为,而不是在事件已经发生后进行处理,防御者需要预防它们;对抗疾病,而不是症状。
许多公司已经将零信任架构作为一种预防工具,但零信任已经变得如此普遍,以至于它已经失去了一些阻止能力。现在每个人对什么是零信任对他们的组织都有不同的定义,而坏人正在寻找绕过证书握手和验证的方法,使其工作。
零信任已经脱离了预防的范畴。如果您的安全性的出发点是拒绝访问所有内容并努力达到必要的访问权限,那么事情就会变得难以管理。您以安全感换取无休止的配置和维护。这就像对排除饮食的治疗:一次添加一种东西的无休止过程,直到患者生病以确定问题所在。
显然,将攻击者拒之门外是至关重要的,但我们如何确保这种情况不会再次发生?很少有安全公司或软件工具采用这种主动方法。这就是网络安全行业的问题:投资者将资金投入到许多没有解决预防问题的工具上。就好像我们通过投资化学疗法和放射疗法来寻找治愈癌症的方法,而不是研究实际上使癌细胞发生突变的原因。
大多数安全人员每天都在监视警报、追踪和修补软件漏洞以及重置可疑凭据。我们需要让他们变得更加积极主动,以便他们能够专注于预防,而此时由于网络安全人才短缺,安全运营中心 (SOC) 的工作人员已经很少。
由于组织使用的大多数业务和生产力工具现在都可以通过 Web 浏览器访问,因此它已成为网络的网关和不良行为者的目标。一种已经存在了一段时间的技术是远程浏览器隔离或 RBI。它在云中执行 Web 应用程序,因此攻击只会影响临时浏览实例,一旦用户关闭它就会终止。这种方法可确保任何恶意软件都不会影响公司的系统,并且攻击者无法了解有关其 IT 攻击面的任何信息,因为他们只能看到隔离的会话。
由于 RBI 对用户本质上是透明的,因此它不依赖于他们高度警惕或始终做出正确的安全决策。这也意味着安全团队可以停止将所有时间花在用户培训和使端点防弹上,而可以专注于其他工作以在网络内部增加深度防御。
同时,更加强调威胁情报可以满足预防重点。我们知道,威胁行为者正在不断地改变他们的战术和技术,就像侵略性的癌症一样。知道要寻找什么是在攻击出现在您的网络之前阻止攻击的第一步。
有许多优秀的研究人员和研究组织不断致力于识别和宣传威胁。借助用于解析数据的先进网络监控工具和算法,研究人员正在越来越多地产生更好、更可操作的情报,以了解坏人是谁以及他们如何运作。此外,他们能够识别属于威胁参与者的基础设施,有时甚至在他们使用它之前。由于这种情报可以被许多安全产品使用,它可以在帮助组织主动阻止和减轻威胁方面发挥重要作用。
但大多数情况下,我们需要改变我们对安全性的看法。零信任是处理安全的好方法,但我们需要改变范式以防止威胁,而不仅仅是检测它们。这样我们才能取得更大的进步。