据Gartner称,到 2024 年底,全球 75% 的人口的个人数据将受到隐私法规的保护。在他们最新的信息安全和风险管理研究中,Gartner 将零信任网络访问 (ZTNA) 确定为增长最快的网络安全领域,预计到 2023 年将增长 31%,这主要得益于远程工作者的增加。混合工作是生活中的一个事实,预计主要由 ZTNA 而非 VPN 服务提供服务。
合规性和 ZTNA 正在推动加密进入组织网络和企业的各个方面,反过来,迫使我们改变我们对保护环境的看法。
意想不到的后果
ZTNA 在一方面非常适合安全性,随着原子化网络的不断发展以及应用程序和人员无处不在,它可以更好地控制移动和访问。零信任不是验证一次然后获得对网络上资源和设备的相对开放的访问权限,而是关于验证和接收一组权限和授权以进行显式访问。然而,ZTNA 使用加密来保护所有连接,无论它们位于基础设施的哪个位置,这在安全的另一个方面造成了巨大的问题。正如我之前所讨论的,加密使我们传统上用于企业保护的许多网络可见性和安全工具变得盲目。
决定使用安全访问服务边缘 (SASE) 平台来管理 ZTNA 的组织也会为了身份验证和加密而牺牲一定程度的可见性。使用 SASE,当用户连接到其供应商的专用云时,身份验证和授权得到管理。从用户的角度来看,体验相当无缝,但安全团队告诉我们他们没有完成工作所需的东西。通常,他们只能查看身份验证日志和访问日志,因此他们无法实时查看整个云环境中发生的情况。
即使组织不走零信任路线,因为它可能对他们的环境造成过大的伤害,他们仍然出于数据隐私和保护的原因实施加密。使用最高级别的加密——不仅用于面向互联网的主机,而且在内部也用于保护静态和传输中的数据。
风险悖论
随着加密变得普遍,组织正在增加安全团队执行故障排除和威胁搜寻等工作的复杂性。加密和网络原子化的综合影响正在弃用许多使用深度数据包检测 (DPI) 和数据包捕获技术的传统工具,使它们的部署和管理变得更加昂贵和复杂。
传统的思维过程是,为了检测和响应,我们必须看到一切,这意味着我们必须解密一切。当然,解密是可能的,但它不再具有扩展性。在没有定义边界的分散且短暂的环境中,将设备放在中间进行解密变得越来越难。我们有更多的流量需要解密,有更多的证书需要管理,而我们为了检测和响应而破坏加密的任何一点都是我们可能暴露敏感数据的另一个点。为了确保我们的网络安全,我们正在提升我们的风险状况。
不破解解密的网络安全
现在是重新构想我们的网络安全方法的时候了,这样我们就可以看到正在发生的事情并检测和响应威胁,而不会引入额外的风险。
许多机器上都安装了端点检测响应 (EDR) 代理,可提供对网络主机和本地进程的可见性。然而,并非环境中的每个联网设备都能够支持代理,并且 EDR 不提供对网络流量的实时可见性。这就是流数据形式的元数据的用武之地。无需捕获和检查每个数据包即可查看和监控网络流量以进行检测和响应。元数据在您的多云、内部部署和混合环境中广泛可用,并且当通过上下文进行丰富时,可以提供对原子化网络中流量的高级实时可见性。
总的来说,EDR 和元数据可以很好地描述网络上的内容、正在做的事情以及发生的事情,并且可以在不破坏加密的情况下检测大多数攻击。如果我们看到需要更深入研究的异常行为,我们可以缩小我们正在查看的范围并缩小解密范围。通过将程序更改为仅在必要时解密,我们可以相应地降低风险状况,同时最大限度地降低成本和复杂性。
事实证明,加密和零信任并没有破坏密钥保护。相反,他们正在迫使不可避免的改变使之变得更好。组织可以摆脱100%解密(不再扩展并引入风险),享受 ZTNA 和加密的好处,并且仍然获得保护其原子化网络所需的全面可见性和覆盖范围。