CISO 从 NSA 零信任指南中获得的 6 个要点

CISO 从 NSA 零信任指南中获得的 6 个要点

时间戳记:15年2024月8日上午25:XNUMX

对于公司来说,网络安全的现实是,对手总是会破坏系统和网络,即使管理良好的漏洞预防程序也常常不得不应对其范围内的攻击者。

5 月 XNUMX 日,国家安全局继续向联邦机构提供最佳实践建议,发布了关于其零信任框架的网络和环境支柱的最新网络安全信息表 (CIS)。美国国家安全局文件建议组织对其网络进行分段,以限制未经授权的用户通过分段访问敏感信息。这是因为强大的网络安全措施可以通过限制所有用户访问他们没有合法角色的网络区域来阻止妥协演变成全面的破坏。 

NSA 的指导 还允许安全团队向管理层提出更强有力的业务案例以实现安全保护,但 CISO 需要设定期望,因为实施是一个分层且复杂的过程。

互联网服务巨头 Akamai 的顾问首席信息安全官 Steve Winterfeld 表示,虽然该文件针对的是与国防相关的政府组织和行业,但更广泛的商业世界可以从零信任指导中受益。

“现实不是你是否发生未经授权的访问事件,而是你是否能在它们成为违规行为之前将其捕获,”他说。 “关键是微分段可以提供的‘上下文可见性’,并具有快速隔离恶意行为的能力。”

公司有 采取零信任举措 使他们的数据、系统和网络更难受到损害,并且当它们受到损害时,可以减缓攻击者的速度。数据安全和零信任提供商 Rubrik 的首席信息安全官 Mike Mestrovich 表示,该框架是一套关于如何进行的可靠指南,但实施起来并不容易。

“大多数网络都随着时间的推移而发展,很难在保持业务运行的同时回去重新构建它们,”他说。 “这是可行的,但在时间和金钱方面可能会付出高昂的代价。”

以下是美国国家安全局指南的六点要点。

1.了解零信任的全部七个支柱

美国国家安全局的最新文件深入探讨了零信任七大支柱中的第五大支柱:网络和环境。然而,其他六大支柱也同样重要,它们表明“零信任策略要取得成功,必须具有多么广泛的范围和变革性”,自动化端点和漏洞管理公司 Syxsense 的首席执行官阿什利·伦纳德 (Ashley Leonard) 表示。

美国国家安全局零信任的七大支柱

“网络和环境”是国家安全局零信任七大支柱中的第五大支柱。资料来源:美国国家安全局

“对于希望开始零信任的公司,我强烈鼓励他们查看 NSA 关于用户和设备支柱的信息表——分别是零信任的第一和第二支柱,”他说。 “如果一家公司刚刚起步,那么考虑这个网络和环境支柱就有点本末倒置了。”

2. 预计攻击者会突破您的边界

美国国家安全局零信任计划的网络和环境支柱就是试图阻止攻击者在破坏系统后扩大漏洞。美国国家安全局的指导方针指出 目标突破 2013 - 没有明确命名该公司 - 因为攻击者通过该公司第三方 HVAC 系统中的漏洞进入,但随后能够通过网络移动并用恶意软件感染销售点设备。

公司应该假设他们会受到损害,并找到限制或减缓攻击者的方法, 美国国家安全局网络安全总监罗布·乔伊斯在一份声明中表示 宣布发布 NSA 文件。

他说:“组织需要以这样一种心态来运作:威胁存在于其系统范围之内。” “本指南旨在为网络所有者和运营商提供所需的流程,以警惕地抵制、检测和响应利用其企业架构中的弱点或差距的威胁。”

3. 映射数据流以开始

美国国家安全局的指南是一个分层模型,公司应该从基础开始:映射网络中的数据流,以了解谁在访问什么。虽然其他零信任方法已被记录,例如 NIST 的 SP 800-207 零信任架构Akamai 的 Winterfeld 表示,NSA 的支柱为组织提供了一种考虑其安全控制的方法。

“了解数据流主要提供对潜在风险的位置和内容的态势感知,”他说。 “记住,你无法保护你不知道的东西。”

4.转向宏观细分

在解决了任何其他基本支柱之后,公司应该通过细分网络来开始进军网络和环境支柱——也许一开始是广泛的,但随着粒度的增加。主要功能领域包括企业对企业(B2B)细分市场、面向消费者(B2C)细分市场、物联网等运营技术、销售点网络和开发网络。

Rubrik 的梅斯特罗维奇表示,在对网络进行高层次细分后,公司应该致力于进一步细化细分。

“如果您可以定义这些功能操作区域,那么您就可以开始对网络进行分段,以便这些区域中任何一个区域中的经过身份验证的实体都无法访问,除非对任何其他区域进行额外的身份验证操作,”他说。 “在很多方面,你会发现在一个区域运行的用户、设备和工作负载实际上很可能不需要其他区域的任何操作权限或资源。”

5.软件定义网络的成熟

零信任网络要求公司有能力对潜在攻击做出快速反应,这使得软件定义网络 (SDN) 成为不仅实现微分段,而且在潜在危害期间锁定网络的关键方法。

不过,Akamai 的 Winterfeld 表示,SDN 并不是唯一的方法。

“SDN 更多的是围绕运营治理,但取决于您的基础设施可能不是最佳解决方案,”他说。 “也就是说,无论您如何构建环境,您都确实需要 SDN 提供的各种优势。”

6.认识到进步将是迭代的

最后,任何零信任举措都不是一次性项目,而是一项持续的举措。组织不仅需要在部署技术时保持耐心和毅力,而且安全团队需要在面临并克服挑战时重新审视计划并进行修改。

“当考虑开始零信任之旅时,他们从绘制数据流开始然后对其进行分段的指导是正确的,”温特费尔德说,“但我想补充一点,这通常是迭代的,因为你将有一段发现时期,需要更新计划。”

时间戳记:

更多来自 暗读