散文網(wǎng) » 科技 »學習 » 零信任體系化能力建設（2）：設備風險與安全監(jiān)控

零信任體系化能力建設（2）：設備風險與安全監(jiān)控

2023-08-07 17:18 作者:易安聯(lián) 0人讀過 | 我要投稿

前言：為了提高工作效率和靈活性，現(xiàn)代企業(yè)允許各種類型的終端設備連接并訪問企業(yè)的應用程序和數(shù)據(jù)資源，為企業(yè)網(wǎng)絡帶來了巨大的安全挑戰(zhàn)。作為零信任安全能力建設中的薄弱環(huán)節(jié)，組織必須全面了解連接到網(wǎng)絡的設備，并采取一系列安全措施，以確保只有健康合規(guī)的設備才能訪問組織資源，保護企業(yè)的敏感數(shù)據(jù)和資源免受潛在的安全威脅。本文主要從設備相關的安全能力建設入手，討論資產(chǎn)和供應鏈的風險管理、設備合規(guī)監(jiān)控、資源訪問授權和終端威脅保護等問題。

關鍵字：零信任；威脅保護；風險管理；安全合規(guī)

一

零信任設備安全

隨著IT基礎設施的演變發(fā)展，風險面也隨著訪問點數(shù)量的增加而擴大，與以往任何時候相比，業(yè)務系統(tǒng)的訪問者（包括員工、承包商、合作伙伴和供應商等）使用了更多的設備和位置，訪問存儲在本地和云端的更多資源和數(shù)據(jù)。更為嚴重的是，這些訪問點正以驚人的速度被攻擊者利用，特別是設備安全缺陷已經(jīng)成為身份攻擊和數(shù)據(jù)泄露的主要原因。
從直觀上看，組織直接管理的PC、平板電腦和智能手機都屬于設備，但安全人員還需要考慮第三方設備（例如，BYOD、客戶或合作伙伴使用的設備）和接入點、物聯(lián)網(wǎng)設備和基礎設施組件（例如，服務器、交換機，及其固/軟件）。在零信任安全體系中，設備也是正在尋求資源訪問權限的實體，它們代表著潛在的暴露點，也需要被納入零信任安全框架。
可見，“設備”是零信任安全能力框架中的一個復雜領域，涵蓋了連接到網(wǎng)絡（資源）上的所有資產(chǎn)，如服務器、臺式機、筆記本電腦、打印機、智能手機、物聯(lián)網(wǎng)設備、網(wǎng)絡設備等，以及各類資產(chǎn)的硬件、軟件和固件。按管理歸屬的實體劃分，大多數(shù)組織的設備可分為以下三類：
● 員工使用的企業(yè)設備，主要由組織管理；● 員工使用的個人設備，主要由員工管理；● 第三方使用的非托管設備（例如，承包商、合規(guī)審計員），由第三方管理。
在識別、判斷設備的安全態(tài)勢時，由于組織對不同類型的設備存在不同控制力度，也導致這些設備面臨著不同的安全風險。在圖1中，Gartner給出了不同BYOPC策略下，控制能力和安全風險的關系。

圖1 不同BYOPC策略下控制和風險的關系
由組織管理的設備往往最易控制。這些設備可能安裝了設備或終端管控軟件，能夠通過序列號記錄和跟蹤設備，并對設備安全設置進行鎖定和持續(xù)審查。從IT安全的角度來看，這些設備狀態(tài)處于良好狀態(tài)，能夠根據(jù)需要進行控制，在可疑情況下，管理員可以采取立即行動。
對于員工使用的個人設備，控制要少得多。在移動化、分布式的工作環(huán)境中，幾乎不可避免BYOD設備。雖然一些組織要求用戶安裝特定軟件才能訪問公司資源，但這并非強制性要求，而是鼓勵性措施。
最后，第三方使用的非托管設備通常是未知的，組織無法看到這些設備，也幾乎沒有控制權。管理員對這些設備存在大量的隱性信任，主要依賴身份授權來確定其訪問權限。

二

設備安全的關鍵能力

設備安全能力在零信任領域中主要包括設備管理追蹤、安全配置管理、漏洞補丁管理、訪問控制、安全監(jiān)控和威脅檢測等措施，以保護企業(yè)網(wǎng)絡免受設備相關的安全威脅和風險。

圖2 設備安全解決方案應具備的主要能力

1

設備資產(chǎn)與風險管理

資產(chǎn)管理涉及對企業(yè)所有設備的準確定位、分類和跟蹤。體系化的零信任安全能力需要準確了解企業(yè)中的設備，建立并維護所有資產(chǎn)的動態(tài)清單、配置信息及相關漏洞。通過使用自動化工具和設備識別技術，實時監(jiān)控和管理設備的狀態(tài)、配置和訪問權限，從而降低潛在的風險。
市場上與企業(yè)設備管理相關的工具，大都具備對設備的描述和跟蹤能力。例如，統(tǒng)一設備管理（UDM）、企業(yè)設備管理（EDM）、移動設備管理（MDM）、IT資產(chǎn)管理（ITAM）等。通常，這些工具的設備資產(chǎn)清單需要解決并明確回答以下問題：
● 哪些用戶設備（包括公司設備、BYOD，以及其他人為控制的設備）可以訪問企業(yè)資源？● 哪些非人為控制的物聯(lián)網(wǎng)或其他設備可以訪問企業(yè)資源？● 哪些類型/型號的BYOD設備可以訪問企業(yè)資源？● 這些設備在什么位置（包括地理位置、網(wǎng)絡接入位置）？● 哪些設備已經(jīng)被過期淘汰、銷毀？
供應鏈風險管理是零信任設備安全中的另一個重要考慮因素。通常，企業(yè)中使用的設備來自各種供應商和合作伙伴，可能存在潛在的漏洞、后門或惡意代碼。因此，企業(yè)需要實施供應鏈風險管理措施，包括對供應商進行嚴格的篩選和評估，確保其設備的安全性和合規(guī)性。
此外，建立合同和協(xié)議中的安全要求和監(jiān)控機制，進行供應鏈審計和監(jiān)督，以確保供應鏈中的所有環(huán)節(jié)都符合零信任安全策略。

2

設備衛(wèi)生與安全監(jiān)控

設備衛(wèi)生是指組織需要掌握設備的當前狀態(tài)，并采取基本的安全措施來保護設備，其中涵蓋了一系列與設備相關的因素，包括設備歸屬，安全狀態(tài)、接入方式，風險數(shù)據(jù)采集等。從更高的層面上看，可以將設備衛(wèi)生視為與安全合規(guī)和風險狀態(tài)相關的核心屬性，以確保設備符合企業(yè)定義的安全標準和政策。
對于不同類別的設備來說，“安全”或“可信”的實施可能具有不同的含義，試圖使用各種安全工具建立一致的設備信任視圖也不太現(xiàn)實。一般來說，組織管理的設備可以通過設備管理工具或數(shù)字證書等安全機制實現(xiàn)最高級別的安全和信任，但個人和第三方設備比較棘手。
首先，各種安全工具可能在不同平臺上具有不一致的功能集，有些工具（如EDR）可能只涵蓋桌面而非移動設備，也可能只支持單一平臺。雖然可以通過高度定制來解決該問題，但這也意味著IT管理的更高復雜性和成本。
其次，這些安全工具存在于用戶身份系統(tǒng)之外，將設備上下文與用戶身份連接起來，以實現(xiàn)訪問控制極具挑戰(zhàn)性。從設備提取大量的安全數(shù)據(jù)后，仍然需要進行大量額外工作才能將這些數(shù)據(jù)與最終用戶的身份關聯(lián)起來。
再次，對于個人或第三方設備來說，有些安全工具可能無法實施，移動辦公和員工流動使得企業(yè)的MDM策略也難以奏效。
因此，許多組織轉(zhuǎn)而使用設備姿態(tài)檢查，來提供一定的安全監(jiān)控覆蓋。但即便如此，由于設備和資源在大多數(shù)環(huán)境中的復雜多樣性，很難對設備姿態(tài)要求進行標準化的統(tǒng)一管理，例如，由于各個操作系統(tǒng)平臺在安全實現(xiàn)方法上的細微差別，導致不同的版本補丁更新和密碼強度等策略也會存在差異。

3

安全姿態(tài)與動態(tài)訪問

由于失陷設備可以作為針對其他資源的攻擊媒介，零信任訪問策略將設備姿態(tài)檢查（DPC）作為訪問決策的部分依據(jù)。DPC評估設備的當前狀態(tài)和潛在漏洞。為了支持零信任的動態(tài)訪問策略，設備監(jiān)控組件需要定義在DPC中評估的設備狀態(tài)要素，主要包括：
● 操作系統(tǒng)版本；● 反病毒軟件的版本和更新狀態(tài)；● 屏幕鎖定狀態(tài)；● 防火墻狀態(tài)；● 存儲加密狀態(tài)；● 數(shù)字證書；● 設備名稱和ID；● 管理軟件的客戶端版本；● 補丁狀態(tài)與最后更新時間；● 已安裝的特定應用程序。
對于所有類型的設備來說，都應通過評估安全姿態(tài)來生成信任評級，無論是公司設備、個人設備，還是第三方所有的設備，也包括服務器和相關的物聯(lián)網(wǎng)（IoT）設備。
更重要的是，要通過安全評估和動態(tài)訪問控制，確保設備及其用戶不會以任何方式使敏感數(shù)據(jù)受到損害。設備注冊是一種典型的方法，將設備指紋及安全姿態(tài)存儲在基于風險的訪問數(shù)據(jù)庫中，實現(xiàn)訪問時的動態(tài)信任評估，控制各種潛在威脅（如勒索軟件）的攻擊半徑。

4

威脅檢測與保護響應

目前，典型的終端保護工具包括終端檢測和響應（EDR）和終端保護平臺（EPP），盡管在術語概念上存在一些差異，但它們對設備的保護能力是通用的。
威脅檢測通過先進的安全監(jiān)測和識別技術，如實時監(jiān)控、行為分析、異常檢測和威脅情報等，來辨識可能存在的安全風險或惡意活動。這種持續(xù)的監(jiān)測和檢測幫助組織及時發(fā)現(xiàn)并應對潛在的安全威脅，保護企業(yè)的資產(chǎn)和敏感數(shù)據(jù)。
一旦威脅被檢測到，保護響應措施會被啟動，以減輕影響并防止進一步的損害。這些措施可以包括隔離風險設備或用戶、阻止可疑的網(wǎng)絡流量、實施訪問控制、應用補丁或安全更新，或觸發(fā)事件響應程序等。
簡單來說，終端保護通過連接上述相關功能來加固設備以抵御攻擊，主要包括：
● 根據(jù)威脅情報和模式分析，預測終端何時可能受到攻擊；● 如果可能，防止終端受到攻擊；● 在攻擊發(fā)生時，進行實時檢測并響應。
威脅檢測與保護響應通常采用基于云的平臺進行功能交付，以支持無處不在的連接和實時更新。另外，這些保護功能還應該能與其他的零信任支柱（例如，零信任網(wǎng)絡技術）進行無縫連接，在實現(xiàn)隨時隨地的用戶訪問的基礎上，對由人員控制和非人員控制的設備強制執(zhí)行統(tǒng)一的訪問策略，確保安全策略的一致性。

三

設備安全的最佳實踐

為了創(chuàng)建零信任安全環(huán)境，組織需要制定一個設備安全戰(zhàn)略，以滿足業(yè)務需求并實現(xiàn)有效的風險管理。但實施構(gòu)建零信任的設備安全能力時，組織將會面臨各種障礙和挑戰(zhàn)。
業(yè)務的快速發(fā)展以及不斷涌現(xiàn)的新設備和服務，可能導致各類服務器、筆記本電腦等設備頻繁上線和下線，難以準確地清點和記錄網(wǎng)絡上的所有設備。另外，用戶或業(yè)務部門可能存在未經(jīng)批準而上線的新設備和服務（影子IT），導致對這些設備缺乏足夠的可見性和控制，使得難以對其進行注冊、跟蹤和監(jiān)控。
要實施有效的零信任設備安全能力，組織需要采取一種全面的方法來克服這些障礙。這包括定期審查和更新策略和程序，標準化上線新設備和服務的方式，以及實施強大的設備管理系統(tǒng)，能夠準確跟蹤和監(jiān)控網(wǎng)絡上的所有設備。

1

建立設備清單

開發(fā)設備清單是實施零信任設備安全的重要步驟。如果沒有對所有設備進行全面清查，就不可能準確地跟蹤、監(jiān)控或識別可能導致安全漏洞的惡意設備。
過去，IT團隊使用電子表格手動跟蹤設備非常普遍。如今，設備跟蹤必須完全自動化，包括掃描、監(jiān)控、更新，以及為安全運營團隊自動生成警報。
需要注意的是，零信任安全體系中的設備清單超越了傳統(tǒng)的資產(chǎn)管理，一些非企業(yè)擁有的設備（如BYOD、合作伙伴擁有的設備）也需納管，安全團隊必須為所有訪問終端建立一個完全自動化的設備清單，包括非傳統(tǒng)設備，如傳感器、攝像頭和其他物聯(lián)網(wǎng)或OT設備。
零信任設備管理還需要為各種設備及使用行為，建立適當?shù)奶幚砹鞒毯头诸愊到y(tǒng)，包括確保所有設備都已注冊，并為報廢設備制定全面的報廢計劃，以安全地處置物理設備以及該設備具有的任何訪問權限。

2

持續(xù)動態(tài)授權

了解設備的運行狀況和合規(guī)性是實施零信任設備安全的關鍵步驟，這意味著需要對設備狀態(tài)進行持續(xù)監(jiān)控評估，而不僅僅依賴于一次性的時間點評估。持續(xù)監(jiān)控的優(yōu)勢在于：
● 及早發(fā)現(xiàn)安全事件；● 設定安全檢查基線；● 檢測未經(jīng)授權的登錄；● 能夠檢測錯誤配置；● 有利于實現(xiàn)主動防御。
通常，組織會主動保護PC免受漏洞和攻擊，而移動設備通常不受監(jiān)控且沒有保護措施。為了幫助限制風險暴露，需要監(jiān)控每個端點以確保其具有可信身份、應用了安全策略，并且惡意軟件或數(shù)據(jù)泄露等風險級別已經(jīng)過評估、修復或被認為是可接受的。例如，如果個人設備存在軟件漏洞，可以阻止其訪問網(wǎng)絡或業(yè)務，以確保企業(yè)應用程序不會暴露于已知漏洞。
通過全面的可見性和分析監(jiān)控設備的狀態(tài)和上下文，組織可以確保根據(jù)實時數(shù)據(jù)驅(qū)動的上下文來保護目標業(yè)務和數(shù)據(jù)，而不是依賴于靜態(tài)策略，這樣可以更及時地應對快速發(fā)展的威脅。

3

實施響應保護

作為正常業(yè)務過程的一部分，用戶必須能夠通過設備訪問應用和數(shù)據(jù)。在受感染設備上，合法用戶也可能有意/無意執(zhí)行一些攻擊行為（例如，竊聽、DDoS、數(shù)據(jù)泄露等），最好的設備安全性是讓數(shù)據(jù)遠離設備。
但除此之外，在設備受到安全威脅時，還可以通過快速響應行動將威脅影響降至最低，例如，將設備與網(wǎng)絡進行隔離，限制其影響半徑。通常在制定終端安全的應急響應計劃時，應考慮以下內(nèi)容：
● 終端數(shù)據(jù)發(fā)生了什么？是否被加密、刪除、泄露？● 動態(tài)訪問權限應該做什么調(diào)整？● 如何處理受影響的設備？

四

結(jié)語

終端安全能力是構(gòu)建零信任體系化安全能力的關鍵要素之一。在零信任架構(gòu)中，終端設備作為接入組織資源的關鍵節(jié)點，需要具備一系列安全能力來保護數(shù)據(jù)和系統(tǒng)免受威脅，包括設備認證（身份領域）、安全姿態(tài)評估、動態(tài)訪問控制、威脅檢測響應和數(shù)據(jù)防泄漏（數(shù)據(jù)領域）等能力。然而，成功實施身份能力需要綜合考慮多個因素，并與其他能力和跨域能力相互配合。企業(yè)應制定全面的設備安全治理策略，并采取逐步實施的方法，以確保有效的零信任安全環(huán)境的建立。

隨著網(wǎng)絡威脅日益復雜和企業(yè)信息安全風險的增加，實施零信任架構(gòu)已成為保護企業(yè)關鍵資產(chǎn)和數(shù)據(jù)的有效策略。易安聯(lián)“權說安全”公眾號近期擬發(fā)布系列研究成果，基于不同廠商、組織所提出的零信任成熟度模型和典型解決方案，從身份、設備、網(wǎng)絡、應用與工作負載、數(shù)據(jù)等不同領域分析零信任能力建設的內(nèi)容、方法和趨勢，討論零信任的安全能力組成和最佳實踐，幫助企業(yè)規(guī)劃、構(gòu)建和實施零信任戰(zhàn)略。

THE AUTHORS

本文作者

本文由易安聯(lián)

紅岸實驗室寫作

專注網(wǎng)安行業(yè)發(fā)展方向

解讀熱門產(chǎn)品技術趨勢

歡迎技術大咖學習交流

https://mp.weixin.qq.com/s/dXkv99RRPCtPNJ6AxqYcvQ

標簽：設備安全零信任易安聯(lián)

零信任體系化能力建設（2）：設備風險與安全監(jiān)控的評論 (共條)

愛情散文傷感散文哲理散文優(yōu)美生活隨筆親情唯美句子傷感的句子現(xiàn)代詩歌空間日志經(jīng)典語句愛情句子作文大全

国产精品天干天干,亚洲毛片在线,日韩gay小鲜肉啪啪18禁,女同Gay自慰喷水

零信任體系化能力建設（2）：設備風險與安全監(jiān)控

零信任體系化能力建設（2）：設備風險與安全監(jiān)控的評論 (共條)

你可能也喜歡這些文章

最新發(fā)布的文章

国产精品天干天干,亚洲毛片在线,日韩gay小鲜肉啪啪18禁,女同Gay自慰喷水

零信任體系化能力建設（2）：設備風險與安全監(jiān)控

本文作者的其他文章

零信任體系化能力建設（2）：設備風險與安全監(jiān)控的評論 (共 條)

你可能也喜歡這些文章

最新發(fā)布的文章

零信任體系化能力建設（2）：設備風險與安全監(jiān)控的評論 (共條)