国产精品无码一区二区三区太,亚洲一线产区二线产区区别,欧美A区,人妻jealousvue人妻

×

2020-7-10周五 網(wǎng)安資訊

分類:互聯(lián)網(wǎng)熱點(diǎn) 編輯:互聯(lián)網(wǎng)觀察 瀏覽量:260
2020-07-10 11:21:32
杭州美創(chuàng)科技有限公司總經(jīng)理 柳遵梁零信任架構(gòu)是美創(chuàng)數(shù)據(jù)安全實(shí)踐的核心遵循思想。美創(chuàng)從數(shù)據(jù)不應(yīng)該自動信任任何人的基本觀點(diǎn)開始,從2010年開始實(shí)踐,在2015年左右正式形成了零信任架構(gòu)1.0版本,在美創(chuàng)科技的每個數(shù)據(jù)安全產(chǎn)品中無縫落地。在經(jīng)過5年的成熟實(shí)踐之后,近期美創(chuàng)科技零信任架構(gòu)即將升級為2.0版本,以更好的滿足數(shù)據(jù)安全和網(wǎng)絡(luò)安全的訴求。零信任架構(gòu)1.0包含四大基本原則和六大實(shí)踐原則,具體內(nèi)容如上圖所示。在本文中講六大實(shí)踐原則,六大實(shí)踐原則是四大基本原則的具體落地措施,其中知白守黑已經(jīng)在上篇中做過講解,不再重復(fù)。1. 從保護(hù)目標(biāo)開始當(dāng)你連自己的保護(hù)目標(biāo)是誰,在哪兒都不清楚的時候,很難想象施加的保護(hù)措施會是有效的。保護(hù)和防御總是從理解目標(biāo)、懂得目標(biāo)開始,我們需要保護(hù)的目標(biāo)是資產(chǎn)。在數(shù)據(jù)安全中,數(shù)據(jù)或者敏感數(shù)據(jù)就是最顯而易見的資產(chǎn)。我們要知道數(shù)據(jù)在哪里,數(shù)據(jù)是什么,做數(shù)據(jù)認(rèn)責(zé),確定數(shù)據(jù)的責(zé)任人,做敏感數(shù)據(jù)發(fā)現(xiàn)和識別,做敏感數(shù)據(jù)分級分類。2. 由內(nèi)而外進(jìn)行保護(hù)而不是由外而內(nèi)防御當(dāng)我們具有明確的保護(hù)目標(biāo)并清晰的認(rèn)知它,我們就開始圍繞著資產(chǎn)進(jìn)行保護(hù)。越靠近保護(hù)目標(biāo)的措施就越有力,這是個人人都懂的常識。顯然,在零信任架構(gòu)中,首先構(gòu)建緊貼數(shù)據(jù)的保護(hù)措施,然后逐步由內(nèi)而外構(gòu)建防御體系是一種自然選擇。3. 以身份為基礎(chǔ)而不是以賬戶為基礎(chǔ)賬戶可以說是IT基礎(chǔ)架構(gòu)的基礎(chǔ),無論是操作系統(tǒng),數(shù)據(jù)庫還是各種業(yè)務(wù)系統(tǒng)都依賴于賬戶體系生存。但是賬戶在網(wǎng)絡(luò)環(huán)境中具有高度的不確定性,天生可以被冒名、盜用、碰撞、密碼的管理復(fù)雜度等弱點(diǎn)。特別是賬戶共享機(jī)制直接剝奪了賬戶的私密性,使其完全不具有確定性。從nist宣布實(shí)踐了40多年的復(fù)雜密碼體系破產(chǎn)可以看出賬戶管理體系的復(fù)雜性和高風(fēng)險度。在零信任架構(gòu)中,網(wǎng)絡(luò)中充滿著不確定性,除了明晃晃的資產(chǎn)可以被信任之外,包括傳統(tǒng)網(wǎng)絡(luò)中的位置和賬戶都存在天生的不可信任性。零信任架構(gòu)或者安全的本質(zhì)就是在不可信任的網(wǎng)絡(luò)環(huán)境掌控可以信任的因素,生活中的人顯然是一個可以確定的因素。如果可以把生活中的人映射到網(wǎng)絡(luò)中,就可以成為一個相對確定性的因素。我們把人在網(wǎng)絡(luò)中的映射表述為身份,人和身份之間的映射確定程度則體現(xiàn)為身份的確定性程度。4. 特權(quán)管理和三權(quán)分立在生活中,大部分情況下每個人對于自己擁有的東西具有絕對的處置權(quán)。我們的信息化系統(tǒng)的訪問控制體系也是基本按照這個體系建立起來的,這個體系被表述為自主訪問控制體系。操作系統(tǒng),數(shù)據(jù)庫,中間件以及各種業(yè)務(wù)系統(tǒng),基本都遵循這個體系來構(gòu)建訪問控制。隨著信息化的不斷普及以及數(shù)據(jù)價值的不斷提高,自主訪問控制體系中必然存在的超級賬戶這個幽靈的威脅在不斷放大又無能為力。生活中除了完全自由處置權(quán)之外,事實(shí)上還運(yùn)行著另一套機(jī)制:三權(quán)分立機(jī)制。當(dāng)涉及到大眾利益或者重要權(quán)力的時候,往往是需要多方?jīng)Q策制衡,一致同意才可以完成。甚至于重要的私人物品,比如文物孤品,收藏家未必具有完全的處置權(quán),比如私有林場,林場主未必有自由砍伐權(quán)。非常遺憾的是,生活中的三權(quán)分立機(jī)制并沒有被廣泛引入到網(wǎng)絡(luò)世界的基礎(chǔ)設(shè)施中。比如操作系統(tǒng),數(shù)據(jù)庫等基礎(chǔ)設(shè)施都采用自主訪問控制體系,充斥著超級賬戶和特權(quán)賬戶。正是因為如此,特權(quán)賬戶會成為網(wǎng)絡(luò)世界中的最大威脅之一。零信任架構(gòu)的保護(hù)目標(biāo)都是高價值目標(biāo),必須以做到消除特權(quán)賬戶,實(shí)現(xiàn)三權(quán)分立為基礎(chǔ)。如果無法做到三權(quán)分立,要實(shí)現(xiàn)零信任架構(gòu)是存在悖論的,或者是無法達(dá)成的。5. 基于訪問鏈的動態(tài)驗證零信任架構(gòu)的高價值的目標(biāo),比較傳統(tǒng)網(wǎng)絡(luò)安全對于確定性的要求要高出很多。美創(chuàng)零信任架構(gòu)通過資產(chǎn)的確認(rèn)和身份的認(rèn)知,建立了在不確定網(wǎng)絡(luò)中兩個確定性支點(diǎn)。但是客觀來說,再確定性的身份都會存在被脅迫、劫持、冒用和盜用的風(fēng)險,也就是說身份的不確定性始終是存在的。為了可以進(jìn)一步提升資產(chǎn)訪問的確定性,需要對身份在訪問生命周期進(jìn)行持續(xù)的動態(tài)驗證,不斷通過附加因素來增強(qiáng)其確定性,比如環(huán)境上下文,比如時空上下文,比如操作上下文,比如路徑依賴等等。我們不僅要看其相貌,還要觀其言,察其行,才可以最終確定是否真正是我想要的那個人。訪問鏈?zhǔn)敲绖?chuàng)零信任架構(gòu)的一個重要的概念,其承載了兩個基本事實(shí):一是貫穿全局(訪問生命周期)的身份,二是當(dāng)上下文發(fā)生明顯變化的時候持續(xù)對身份進(jìn)行驗證,動態(tài)增加或者降低身份的信任程度。6. 知白守黑知白守黑不僅是美創(chuàng)零信任架構(gòu)的實(shí)踐指南,也是美創(chuàng)零信任架構(gòu)的四大基本原則之一。知白守黑已經(jīng)在前文中做過詳細(xì)說明,這里不再展開。

工控安全漫談 今天

本文介紹ACT-IAC(美國技術(shù)委員會-工業(yè)咨詢委員會)于2019年4月18日發(fā)布的《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢》(《Zero Trust Cybersecurity Current Trends》)報告的主要內(nèi)容。
該報告的目錄如下:執(zhí)行摘要項目背景何為零信任建立信任是基礎(chǔ)零信任的好處部署零信任的建議步驟聯(lián)邦政府中對零信任的挑戰(zhàn)最后結(jié)論筆者之前介紹了美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)和美國國防部國防創(chuàng)新委員會(DIB)對零信任的認(rèn)識。DIB可以視為美國軍方的代表;NIST可以視為美國標(biāo)準(zhǔn)(或美國民間)的代表;ACT-IAC這一篇可以視為美國聯(lián)邦政府的代表。從不同的角度看看,也是蠻有意義的。筆者計劃,在介紹完《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢》這個報告之后,再次放出對NIST《零信任架構(gòu)》草案的詳細(xì)介紹(之前的介紹只是非常概要的)。原本是想等到NIST放出正式標(biāo)準(zhǔn)后,再全文翻譯的。可是,日子只會溜走,等待只會遺憾。相比《零信任網(wǎng)絡(luò)》一書,上述這些材料雖然薄了點(diǎn),但也算是美國比較官方的零信任材料,還是非常值得學(xué)習(xí)借鑒的。若不細(xì)看上幾遍,不那么容易領(lǐng)會精髓。項目背景美國技術(shù)委員會(ACT)是一個非營利性的教育組織,旨在建立一個更加高效和創(chuàng)新的政府。ACT-IAC(美國技術(shù)委員會-工業(yè)咨詢委員會)提供了一個獨(dú)特的、客觀的、值得信賴的論壇,政府和行業(yè)高管正在共同努力,通過使用技術(shù)來改進(jìn)公共服務(wù)和代理業(yè)務(wù)。本報告所載的調(diào)查結(jié)果和建議是以協(xié)商一致為基礎(chǔ)的,并不代表任何特定個人或組織的意見。為了保持其合作過程的客觀性和完整性,ACT-IAC不接受政府資助。2017年5月,總統(tǒng)成立了美國技術(shù)委員會(ATC),以促進(jìn)聯(lián)邦政府安全有效地使用IT,并指示它編寫一份關(guān)于聯(lián)邦I(lǐng)T現(xiàn)代化的報告。2017年晚些時候發(fā)布的IT現(xiàn)代化報告和相關(guān)的行政命令2,將使機(jī)構(gòu)“……從保護(hù)他們的網(wǎng)絡(luò)邊界和管理傳統(tǒng)的物理部署,到保護(hù)聯(lián)邦數(shù)據(jù)和云優(yōu)化部署”。它承認(rèn),這項工作的成功需要新的方法和戰(zhàn)略。2018年5月,聯(lián)邦首席信息官理事會服務(wù)、戰(zhàn)略和基礎(chǔ)設(shè)施委員會要求ACT-IAC承擔(dān)一項與零信任(ZT)和潛在聯(lián)邦機(jī)構(gòu)采用有關(guān)的項目。與此同時,聯(lián)邦機(jī)構(gòu)將從2023年3月開始,將網(wǎng)絡(luò)服務(wù)從目前的總務(wù)管理局(GSA)合同轉(zhuǎn)到新的企業(yè)基礎(chǔ)設(shè)施解決方案(EIS)合同。聯(lián)邦政府有一個獨(dú)特的機(jī)會,來利用IT現(xiàn)代化和EIS過渡的匯合,以深刻變革機(jī)構(gòu)的網(wǎng)絡(luò)服務(wù)交付和數(shù)據(jù)保護(hù)。ACT-IAC建立了政府和工業(yè)志愿者的項目團(tuán)隊,主要來自其網(wǎng)絡(luò)、電信和網(wǎng)絡(luò)安全社區(qū)。他們的工作被設(shè)計為評估ZT技術(shù)和服務(wù)的技術(shù)成熟度和可用性,并識別和解決與潛在的聯(lián)邦機(jī)構(gòu)采用相關(guān)的其他重要問題。該項目側(cè)重于兩個工作流程:第一個工作流程:評估了市場上支持ZT的實(shí)際工具,并確定了尚未實(shí)現(xiàn)的概念化能力。市場研究側(cè)重于評估技術(shù)成熟度和準(zhǔn)備度、適合性、可擴(kuò)展性和基于實(shí)際實(shí)現(xiàn)的可承受性。這包括六家公司(Cisco, Duo, Palo Alto, Zscaler, Fortinet, Cyxtera)的展示和演示,他們已經(jīng)向商業(yè)和公共部門提供了其產(chǎn)品和服務(wù)中的ZT元素。第二個工作流程:主要集中在信任算法上。這些動態(tài)算法用于生成信任分?jǐn)?shù),這對于全面的ZT解決方案是必不可少的。信任分?jǐn)?shù)用于根據(jù)定義的標(biāo)準(zhǔn)授予、限制或拒絕訪問。項目團(tuán)隊開發(fā)了對現(xiàn)有信任算法工作的理解,以向聯(lián)邦機(jī)構(gòu)提供關(guān)于這個主題的建議。執(zhí)行摘要今天的系統(tǒng)正在擴(kuò)展和演變?yōu)橐苿雍驮频沫h(huán)境,將傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全方法擴(kuò)展到了臨界點(diǎn)。一種稱為“零信任(ZT)”的新方法,可能大幅改變和提高機(jī)構(gòu)保護(hù)他們的系統(tǒng)和數(shù)據(jù)的能力。ZT是一個安全概念,其基礎(chǔ)是組織需要主動控制人員、數(shù)據(jù)和信息系統(tǒng)之間的所有交互,以將安全風(fēng)險降低到可接受的水平。ACT-IAC被聯(lián)邦CIO理事會要求評估ZT技術(shù)的成熟度,它們的準(zhǔn)備性和在政府中的適用性,以及如果他們選擇使用ZT,機(jī)構(gòu)將面臨的問題。本報告提供了該評估的結(jié)果?,F(xiàn)代IT安全解決方案需要結(jié)合幾個最小特性:在信任框架內(nèi)隔離用戶、設(shè)備、數(shù)據(jù)和服務(wù),以確保每一個訪問請求都被驗證并故意允許或不批準(zhǔn);能抵抗攻擊和對攻擊有彈性,而沒有大的管理負(fù)擔(dān);能夠容易、快速地(如果不是自動地)適應(yīng)不斷變化的服務(wù)環(huán)境,也沒有很大的管理負(fù)擔(dān)。ZT通過處理所有用戶、設(shè)備、數(shù)據(jù)和服務(wù)請求,來滿足這些特性。ZT本質(zhì):它從一個組織中所有資產(chǎn)都是開放和可訪問的傳統(tǒng)安全策略,轉(zhuǎn)變?yōu)樾枰掷m(xù)的身份驗證和授權(quán)才能訪問任何資產(chǎn)。這個根本的變化是ZT的本質(zhì)。ZT不是你要買的東西,它是一個安全概念、策略和架構(gòu)設(shè)計方法。ZT解決方案現(xiàn)狀:ZT解決方案是廣泛可用的,目前正在私營部門使用。市場上也存在著良性競爭。目前沒有一家供應(yīng)商提供單一的、整體的ZT解決方案。要獲得一個全面的解決方案,需要集成多個供應(yīng)商的產(chǎn)品和服務(wù)。一些不同的ZT架構(gòu)方法可供機(jī)構(gòu)選擇。實(shí)施ZT的條件:實(shí)施ZT不需要大規(guī)模更換現(xiàn)有網(wǎng)絡(luò)或大量獲取新技術(shù)。ZT應(yīng)該增加其他現(xiàn)有的網(wǎng)絡(luò)安全實(shí)踐和工具。許多聯(lián)邦機(jī)構(gòu)已經(jīng)在其基礎(chǔ)設(shè)施中擁有ZT的元素,并遵循在日常運(yùn)作中支持它的實(shí)踐。諸如身份憑證和訪問管理(ICAM)、基于信任算法的訪問標(biāo)準(zhǔn)、自動策略決策和連續(xù)監(jiān)視等元素,是成功的ZT的關(guān)鍵補(bǔ)充。ZT采用的是漸進(jìn)式方法。它在規(guī)模、步調(diào)、風(fēng)險偏好和最終實(shí)現(xiàn)程度上給機(jī)構(gòu)提供了很大的自由度。然而,在開始實(shí)施ZT之前,組織必須牢牢把握他們的用戶和他們的角色、他們的數(shù)據(jù)和他們的技術(shù)資產(chǎn)。實(shí)施ZT需要“整個機(jī)構(gòu)”的努力。由于ZT可以影響任務(wù)計劃系統(tǒng)的安全性、風(fēng)險性和性能,機(jī)構(gòu)負(fù)責(zé)人和受影響的項目負(fù)責(zé)人必須與IT人員一起合作設(shè)計和實(shí)施ZT。ZT需要由任務(wù)驅(qū)動,而不是只為了自己的利益而由IT驅(qū)動。何為零信任2004年,零信任作為一個安全設(shè)計的概念,由Jericho論壇引入, Jericho論壇是一個總部設(shè)在英國的首席信息安全官(CISO)群體。他們看到由于云和移動計算的加速使用,導(dǎo)致訪問和授權(quán)的方式改變之后,這個有遠(yuǎn)見的團(tuán)體假設(shè)了一個安全模型,這個模型對于傳統(tǒng)的邊界正在消失或變得不相關(guān)的世界是正確的,工作流正在移動到云,而移動端點(diǎn)對于應(yīng)用程序訪問正成為規(guī)范。近年來,我們看到了這一加速,因為向健壯、快速的5G網(wǎng)絡(luò)移動,導(dǎo)致一些組織懷疑他們是否應(yīng)該提供網(wǎng)絡(luò)服務(wù)。2010年, John Kindervag(約翰德金瓦格)在Forrester進(jìn)行研究時,創(chuàng)造了“零信任”或“零信任網(wǎng)絡(luò)”這一術(shù)語,以解決Jericho論壇提出的問題。從那時起,零信任的興趣增加,作為解決溶解或不斷移動邊界的潛在安全方法。大多數(shù)現(xiàn)有的企業(yè)網(wǎng)絡(luò)都是扁平的,即數(shù)據(jù)和用戶網(wǎng)絡(luò)之間幾乎沒有分離。傳統(tǒng)的中心輻射網(wǎng)絡(luò)模型的弱點(diǎn)在于其架構(gòu)。通過防火墻跨越信任與不信任之間的鴻溝,從本質(zhì)上說是危險的。相反,零信任不再區(qū)分“內(nèi)部”和“外部”網(wǎng)絡(luò)周邊。一般來說,零信任:提供用戶從任何地方以任何方式訪問任何地方的數(shù)據(jù)的一致性安全策略;在訪問服務(wù)和/或數(shù)據(jù)時,采取“從不信任并始終驗證”的立場;無論源于何處的請求位置,都需要持續(xù)授權(quán);增加整網(wǎng)可視性和分析性。此外,零信任依賴于五個基本斷言:網(wǎng)絡(luò)總是被認(rèn)為是懷有敵意的;網(wǎng)絡(luò)外部和內(nèi)部威脅始終存在;網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)中的信任;每個設(shè)備、用戶和網(wǎng)絡(luò)流都經(jīng)過認(rèn)證和授權(quán);策略必須是動態(tài)的,并根據(jù)盡可能多的數(shù)據(jù)來源進(jìn)行計算。零信任概念安全模型的六大支柱零信任可以被認(rèn)為是一項戰(zhàn)略舉措,與組織框架一起,使決策者和安全領(lǐng)導(dǎo)人能夠達(dá)成務(wù)實(shí)和有效的安全實(shí)現(xiàn)。( 1 )零信任的支柱概念安全模型有助于理解和組織這些組件。零信任安全模型見下圖:任務(wù)焦點(diǎn)IT能力存在于組織內(nèi),是為了使任務(wù)得以實(shí)現(xiàn),而不是為了自身目的而存在。這種邏輯可以擴(kuò)展到零信任。信息保護(hù)的需求應(yīng)該由任務(wù)驅(qū)動,由IT組織來完成。IT組織應(yīng)該與任務(wù)和高層領(lǐng)導(dǎo)一起工作以獲得支持,并為創(chuàng)建對于零信任的組織需求而奮斗。數(shù)據(jù)基礎(chǔ)零信任架構(gòu)的目的是保護(hù)數(shù)據(jù)。對一個組織的數(shù)據(jù)資產(chǎn)的清晰理解,是成功實(shí)現(xiàn)零信任架構(gòu)的關(guān)鍵。組織需要根據(jù)任務(wù)關(guān)鍵性,來分類他們的數(shù)據(jù)資產(chǎn),并使用這些信息來開發(fā)數(shù)據(jù)管理策略作為其整體ZT方法的一部分。支柱1-用戶:人員/身份安全可信用戶的持續(xù)身份驗證對ZT至關(guān)重要。這包括使用身份、憑證和訪問管理(ICAM)和多因素認(rèn)證(MFA)等技術(shù),并持續(xù)監(jiān)測和驗證用戶可信度,以管理其訪問和權(quán)限。防護(hù)和保護(hù)用戶交互的技術(shù),如傳統(tǒng)的Web網(wǎng)關(guān)解決方案,也很重要。支柱2-設(shè)備:設(shè)備安全實(shí)時的網(wǎng)絡(luò)安全態(tài)勢和設(shè)備的可信性是ZT方法的基本屬性。一些“記錄系統(tǒng)”解決方案(如移動設(shè)備管理器)提供可用于設(shè)備信任評估的數(shù)據(jù)。此外,對每個訪問請求應(yīng)進(jìn)行其他評估(例如,入侵狀態(tài)的檢查、軟件版本、保護(hù)狀態(tài)、加密啟用等) 。支柱3-網(wǎng)絡(luò):網(wǎng)絡(luò)安全有人認(rèn)為,邊界保護(hù)對于網(wǎng)絡(luò)、工作流、工具和操作變得越來越不重要。這不是由于單一的技術(shù)或用例,而是許多新技術(shù)和服務(wù)的匯聚,允許用戶以新的方式工作和通信。零信任網(wǎng)絡(luò)有時被描述為“無邊界”,這有點(diǎn)誤入歧途。零信任網(wǎng)絡(luò)實(shí)際上試圖從網(wǎng)絡(luò)邊緣和片段中移動邊界,并將關(guān)鍵數(shù)據(jù)與其他數(shù)據(jù)隔離。周界仍然是一個現(xiàn)實(shí),盡管是以更細(xì)粒度的方式。傳統(tǒng)的基礎(chǔ)設(shè)施防火墻邊界“城堡和護(hù)城河”的做法是不夠的。邊界必須更接近于數(shù)據(jù)與微分段,以加強(qiáng)保護(hù)和控制。隨著代理將其網(wǎng)絡(luò)部分或完全過渡到軟件定義網(wǎng)絡(luò)(SDN)、軟件定義的廣域網(wǎng)(SD-WAN)和基于Internet的技術(shù),網(wǎng)絡(luò)安全正在擴(kuò)展。關(guān)鍵是:(a)控制特權(quán)網(wǎng)絡(luò)訪問;(b)管理內(nèi)部和外部數(shù)據(jù)流;(c)防止網(wǎng)絡(luò)中的橫向移動;(d)具有可視性,以便對網(wǎng)絡(luò)和數(shù)據(jù)流量進(jìn)行動態(tài)策略和信任決策。分段、隔離和控制網(wǎng)絡(luò)的能力,仍然是零信任網(wǎng)絡(luò)安全的關(guān)鍵點(diǎn)。支柱4-應(yīng)用:應(yīng)用程序和工作負(fù)載安全確保和適當(dāng)?shù)毓芾響?yīng)用層以及計算容器和虛擬機(jī)是ZT采用的核心。具有識別和控制技術(shù)堆棧的能力,有助于更細(xì)粒度和準(zhǔn)確的訪問決策。毫無疑問,多因素身份驗證(MFA)是在ZT環(huán)境中為應(yīng)用程序提供適當(dāng)訪問控制的一個日益關(guān)鍵的部分。支柱5-自動化:安全自動化和編排和諧、成本高效的ZT充分利用安全自動化響應(yīng)工具,通過工作流自動化跨產(chǎn)品的任務(wù),同時允許最終用戶的監(jiān)督和交互。安全操作中心(SOC)通常使用其他自動化工具進(jìn)行安全信息和事件管理(SIEM)以及用戶和實(shí)體行為分析(UEBA)。安全編排連接這些安全工具,并協(xié)助管理不同的安全系統(tǒng)。這些工具可以以集成的方式工作,大大減少體力勞動和事件反應(yīng)時間,并降低成本。支柱6-分析:安全可見性和分析你不能對抗一個你看不見或無法理解的威脅。ZT利用諸如安全信息管理、高級安全分析平臺、安全用戶行為分析和其他分析系統(tǒng)這樣的工具,使安全專家能夠?qū)崟r地觀察正在發(fā)生的事情和更智能地定向防御。對網(wǎng)絡(luò)相關(guān)事件數(shù)據(jù)的分析,有助于在實(shí)際事件發(fā)生之前制定主動安全措施。( 2 )其他零信任安全模型其它幾種模型可用于幫助組織理解概念并指導(dǎo)他們在其環(huán)境中引入零信任的努力:零信任擴(kuò)展( ZTX )生態(tài)系統(tǒng)框架:由Forrester開發(fā),該框架被描述為一個安全架構(gòu)和運(yùn)行手冊。持續(xù)適應(yīng)性風(fēng)險和信任評估(CARTA)模型:來自Gartner,CARTA被描述為一種在高級威脅環(huán)境中支持?jǐn)?shù)字業(yè)務(wù)轉(zhuǎn)型的方法,這種環(huán)境需要一種新的安全方法。零信任可以是整個CARTA安全方法的子組件。( 3 )隱私關(guān)注將隱私集成到ZT架構(gòu)設(shè)計和生命周期過程中是非常重要的。隨著我們將計算推向“邊緣”,導(dǎo)致日益復(fù)雜的IT信息系統(tǒng)和設(shè)備的世界,圍繞IT投資的隱私問題也在增加。將隱私控制到安全控制目錄的完全集成,是下一代NIST SP 800-53(Rev 5)安全和隱私控制標(biāo)準(zhǔn)的主要目標(biāo)。ZT實(shí)施可能有新的和不同的方法,來監(jiān)視用戶行為和/或跟蹤用戶身份。ZT從業(yè)者需要確保他們遵守適用的隱私法律、法規(guī)、標(biāo)準(zhǔn)和政策。通過與機(jī)構(gòu)隱私官員密切協(xié)調(diào)設(shè)計和開發(fā)工作,這一領(lǐng)域的成功是可以實(shí)現(xiàn)的。特別重要的是,根據(jù)20026電子政務(wù)法第208條的要求,確保所有的ZT實(shí)施在機(jī)構(gòu)隱私影響評估(PIA)中有適當(dāng)?shù)呐丁? 4 )谷歌“BeyondCorp”模型谷歌“BeyondCorp”模型是關(guān)于零信任實(shí)現(xiàn)的最早討論和文檔化的例子。BeyondCorp提供了一個實(shí)際的零信任實(shí)現(xiàn)的例子。雖然Google是一家商業(yè)企業(yè),但其許多內(nèi)部組件應(yīng)該是任何企業(yè)都熟悉的。BeyondCorp基于原始零信任前提:傳統(tǒng)的基于邊界的安全不足以保護(hù)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)。此外,谷歌認(rèn)識并促進(jìn)云技術(shù)的發(fā)展,并將應(yīng)用程序從本地數(shù)據(jù)中心移動到云提供的應(yīng)用程序和服務(wù)。BeyondCorp零信任支柱:從特定網(wǎng)絡(luò)的連接,不得確定您可以訪問哪些服務(wù);到服務(wù)的訪問權(quán)限,基于我們對您和您的設(shè)備的了解授予。所有到服務(wù)的訪問,必須經(jīng)過認(rèn)證、授權(quán)、加密。BeyondCorp組件:可以映射到上述零信任支柱的以下組件:單點(diǎn)登錄訪問代理訪問控制引擎用戶清單設(shè)備清單安全策略信任知識庫組件交付方式:這些組件是作為Google云平臺的一部分交付的,許多組件是由Google集成訪問代理交付的。由于這是一個只通過云的交付策略,所以使用基于虛擬軟件的解決方案,來配合軟件定義邊界的使用是必要的。應(yīng)用程序被遷移到云中,在云中可以交付細(xì)粒度的訪問控制。這消除了授權(quán)應(yīng)用程序訪問谷歌Intranet的必要性。Google使用一種基于代理的方法作為強(qiáng)制點(diǎn),來控制對在Google云平臺上交付的托管應(yīng)用程序的訪問。該代理方法已被改進(jìn),并作為云身份感知代理產(chǎn)品交付,它控制了零信任的基本支柱。建立信任是基礎(chǔ)作為一個框架,零信任意味著天生的不信任(“ 默認(rèn)拒絕”),需要一種強(qiáng)調(diào) 持續(xù)監(jiān)測和評估的 自適應(yīng)部署模型。問題一:在這種 以信任為中心的轉(zhuǎn)變中,首要的問題之一是“我們?nèi)绾未_定某事物的 可信度?”許多安全組織很難回答這個問題。傳統(tǒng)程序:假定所有數(shù)據(jù)和事務(wù)都是可信的,而實(shí)際上,入侵、數(shù)據(jù)丟失、惡意參與者等都會降低信任。零信任:則是按動了 信任計算,通過假設(shè)所有數(shù)據(jù)和事務(wù)從一開始就不受信任。問題二:新的問題是“我們?nèi)绾潍@得 足夠的信任?“雖然一些關(guān)鍵概念和組件可以應(yīng)用于所有部署,但沒有可應(yīng)用于每個組織的 固定公式。信任會隨著組織的需要和關(guān)注而改變。( 1 )零信任三角零信任環(huán)境集成了數(shù)據(jù)、用戶、設(shè)備、應(yīng)用程序的控制,以管理所有事務(wù)的可信性。信任引擎:是一種用于通過賦予 信任分?jǐn)?shù)來動態(tài)評估網(wǎng)絡(luò)中的用戶、設(shè)備或應(yīng)用程序的總體信任的技術(shù)。信任引擎使用計算出的信任分?jǐn)?shù),為每個事務(wù)請求做出基于策略的授權(quán)決策。信任分?jǐn)?shù):是由組織預(yù)先定義或選擇的因素和條件計算出的值,用于確定給定用戶、設(shè)備或應(yīng)用程序的可信性。諸如位置、時間、訪問時長和采取的行動等信息,是確定信任分?jǐn)?shù)的潛在因素的例子。微分段:是一種安全技術(shù),能夠?qū)⒓?xì)粒度安全策略分配給數(shù)據(jù)中心應(yīng)用程序, 粒度可以降到工作負(fù)載級別和設(shè)備層面。這意味著安全策略可以與虛擬網(wǎng)絡(luò)、虛擬機(jī)、操作系統(tǒng)或其他虛擬安全目標(biāo)進(jìn)行同步。在零信任三角內(nèi),信任引擎通過使用信任分?jǐn)?shù)來評估進(jìn)入網(wǎng)絡(luò)的任何代理的可信性。代理(或“網(wǎng)絡(luò)代理” ):是指在網(wǎng)絡(luò)請求中已知的關(guān)于參與者的 數(shù)據(jù)組合的術(shù)語,通常包含用戶、應(yīng)用程序、設(shè)備。該數(shù)據(jù)組合,根據(jù)需求實(shí)時地查詢,以提供情境上下文以使最佳授權(quán)決策成為可能。在計算出信任分?jǐn)?shù)之后, 用戶、應(yīng)用、設(shè)備、分?jǐn)?shù)被綁定以形成代理。然后, 策略可以應(yīng)用到代理上,以授權(quán)請求。( 2 )零信任架構(gòu)中的控制和數(shù)據(jù)平面零信任架構(gòu)基于控制平面/數(shù)據(jù)平面模型(見下圖):控制平面:由 接收和處理來自希望訪問(或準(zhǔn)許訪問)網(wǎng)絡(luò)資源的 數(shù)據(jù)平面設(shè)備請求的組件組成??刂破矫鎱f(xié)調(diào)和配置數(shù)據(jù)平面。數(shù)據(jù)平面:零信任架構(gòu)中的幾乎所有其他事物都被稱為數(shù)據(jù)平面。數(shù)據(jù)平面包含所有應(yīng)用程序、防火墻、代理、路由器,它們直接處理網(wǎng)絡(luò)上的所有流量。圖中所示的架構(gòu),支持訪問受保護(hù)資源的請求,該請求首先通過控制平面發(fā)出,其中設(shè)備和用戶都必須經(jīng)過身份認(rèn)證和授權(quán)。細(xì)粒度策略可以應(yīng)用于該層,可能基于組織中的角色、一天中的時間、或設(shè)備類型。訪問更安全的資源,還可以要求更強(qiáng)的身份驗證。一旦控制平面決定允許請求,它將 動態(tài)配置數(shù)據(jù)平面,以接受來自該客戶端(并且僅限于該客戶端)的流量。此外,它還可以協(xié)調(diào)請求者和資源之間 加密隧道的細(xì)節(jié)。這可以包括臨時的一次性使用憑據(jù)、密鑰和短暫端口號。雖然可以在這些措施的強(qiáng)度上做出一些折衷,但 基本思想是:一個權(quán)威的來源或可信的第三方,被授予一種能力,即 基于各種輸入,能夠?qū)崟r地認(rèn)證、授權(quán)和協(xié)調(diào)訪問。代理中包含的 富化信息,允許非常靈活但細(xì)粒度的訪問控制,它可以通過在策略中包括評分組件來適應(yīng)不同的條件。如果請求被授權(quán),則控制平面向數(shù)據(jù)平面發(fā)送信號以接受傳入的請求。此操作還可以配置加密詳細(xì)信息。加密可以應(yīng)用于在設(shè)備級、應(yīng)用級或兩者之上的靜止數(shù)據(jù)和移動數(shù)據(jù)。至少需要一個用于保密性。利用這些認(rèn)證和授權(quán)組件,以及在協(xié)調(diào)加密信道的控制平面的幫助下,零信任模型可以 斷言網(wǎng)絡(luò)上的每一個流,都是經(jīng)過認(rèn)證和預(yù)期的。主機(jī)和網(wǎng)絡(luò)設(shè)備可以丟棄尚未應(yīng)用所有這些組件的流量,從而顯著降低敏感數(shù)據(jù)泄漏的可能性。此外,通過記錄每一個控制平面的事件和動作,網(wǎng)絡(luò)流量可以容易地在 逐個流量或 逐個請求的基礎(chǔ)上進(jìn)行審計。零信任的益處當(dāng)對遷移到零信任架構(gòu)進(jìn)行評估時,組織內(nèi)的技術(shù)和業(yè)務(wù)領(lǐng)導(dǎo)者都必須看到潛在的好處。核心ZT成果應(yīng)集中于:創(chuàng)建更安全的網(wǎng)絡(luò),使數(shù)據(jù)更安全,減少違規(guī)帶來的負(fù)面影響,提高合規(guī)性和可視性,實(shí)現(xiàn)更低的網(wǎng)絡(luò)安全成本,并提高組織的整體風(fēng)險態(tài)勢。實(shí)施的好處 取決于部署ZT原則的程度和所使用的操作模型。丟失的或被盜的數(shù)據(jù)、外泄的知識產(chǎn)權(quán)和其他類型的違規(guī)行為,會損害組織的資金和聲譽(yù)。避免這種情況是成功采用ZT的關(guān)鍵。( 1 )更加安全的網(wǎng)絡(luò)實(shí)施一個“從不信任,永遠(yuǎn)驗證”的方法,應(yīng)該加強(qiáng)對網(wǎng)絡(luò)中正在發(fā)生的事情的可見度。新工具可以提供對訪問請求的任何人的用戶、設(shè)備、位置、信譽(yù)的更高可見性。運(yùn)營者很難防止或修復(fù)他們看不見的東西,所以可見性是關(guān)鍵。如果用戶、設(shè)備或行為未被識別或超出用戶基線風(fēng)險評分,它們將被丟棄。ZT還 細(xì)分了內(nèi)部架構(gòu),以限制常與系統(tǒng)滲透漏洞相關(guān)的 用戶“漫游”。傳統(tǒng)上,企業(yè)已經(jīng)部署“內(nèi)部防火墻”作為一種分段方法,但是現(xiàn)在可以使用增強(qiáng)的方法來實(shí)現(xiàn) 微邊界。有了ZT,用戶就不能再登錄并擁有“網(wǎng)絡(luò)旅行”。相反,它們被授權(quán)只能使用與預(yù)先確定的信任級別和訪問相關(guān)聯(lián)的特定的微邊界。( 2 )關(guān)注更安全的數(shù)據(jù)保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲,是任何網(wǎng)絡(luò)價值的主要部分。保護(hù)所有數(shù)據(jù),無論是靜止的還是運(yùn)動的,都是ZT架構(gòu)的主要支柱。有助于這種保護(hù)的關(guān)鍵技術(shù)包括加密、虛擬專用網(wǎng)絡(luò)(VPN)和數(shù)據(jù)防泄漏功能。網(wǎng)絡(luò)運(yùn)營商可以為每種類型的保護(hù)選擇單獨(dú)的工具,也可以選擇提供多種功能的整合工具。與云計算和“物聯(lián)網(wǎng)”設(shè)備的增加相關(guān)的最近趨勢,已經(jīng)拓寬了網(wǎng)絡(luò)的邊緣。這可能為數(shù)據(jù)的操作創(chuàng)造了機(jī)會。因此,當(dāng)數(shù)據(jù)在互連網(wǎng)絡(luò)周圍移動時,對數(shù)據(jù)進(jìn)行保護(hù)是很重要的。ZT方法強(qiáng)調(diào)識別高價值數(shù)據(jù)并優(yōu)先保護(hù)它。通過網(wǎng)絡(luò)分段來保護(hù)數(shù)據(jù),可以幫助避免“磚塊”攻擊(刪除數(shù)據(jù)),并且反過來,可以保持?jǐn)?shù)據(jù)完整性更高,并減少代價昂貴的補(bǔ)救訴訟的可能性。( 3 )改進(jìn)對現(xiàn)有和演化的威脅的保護(hù)傳統(tǒng)上,威脅的演變速度與安全研究人員發(fā)布漏洞修補(bǔ)程序的速度一樣快。隨著時間的推移,前沿企業(yè)了解到,以“漏洞賞金”的形式支付漏洞研究,是一種非常有效的(盈利的)方法,在漏洞被利用之前識別脆弱的系統(tǒng)。事實(shí)上,這會使合法的安全研究人員對抗敵對的“黑客”:他們之間的競爭,繼續(xù)演變?yōu)橥{景觀。然而,盡管漏洞市場對組織是有利的,但國家敵對行為體也發(fā)展了。國家資助的黑客訓(xùn)練有素,資源充足,堅持不懈。有足夠的證據(jù)表明,許多國家有攻擊性的網(wǎng)絡(luò)能力,這是全職工作。使用新的戰(zhàn)術(shù)、技術(shù)和程序,如人工智能和機(jī)器學(xué)習(xí)結(jié)合國家級開發(fā)代碼(例如,永恒之藍(lán)),正在呈指數(shù)增長。這可能會使易受攻擊的組織的安全操作團(tuán)隊無法處理更多的事件。它還可以使攻擊者橫向移動,在一個受損的組織中,以前看不見的速度和準(zhǔn)確性。任何新的安全能力必須適應(yīng)新的現(xiàn)實(shí),并有效地降低外部(互聯(lián)網(wǎng)可發(fā)現(xiàn))和內(nèi)部(內(nèi)部威脅)攻擊面。零信任以類似的、不折不撓的方式解決這兩個問題:未經(jīng)充分認(rèn)證則拒絕對任何服務(wù)或數(shù)據(jù)的訪問。在標(biāo)準(zhǔn)的當(dāng)前網(wǎng)絡(luò)設(shè)計中,網(wǎng)絡(luò)代理通常通過產(chǎn)生一個記憶口令和令牌碼或硬件認(rèn)證器的兩個因素的過程,而被授予訪問權(quán)限。添加ZT組件,與行為信任評分、位置ID和微分段相關(guān)聯(lián),將增強(qiáng)是否允許代理進(jìn)入網(wǎng)絡(luò)的決定。一旦進(jìn)入網(wǎng)絡(luò),它將 阻止漫游到未經(jīng)授權(quán)的區(qū)域。將ZT能力與傳統(tǒng)工具(如下一代防火墻、數(shù)據(jù)防泄露、行為啟發(fā))結(jié)合起來,可以進(jìn)一步加強(qiáng)網(wǎng)絡(luò)。( 4 )減少違規(guī)行為的影響實(shí)施ZT架構(gòu)時,由于網(wǎng)絡(luò)分段以及用戶獲得有限訪問權(quán)限,將減少違規(guī)造成的影響。違規(guī)造成的更小影響,將減少業(yè)務(wù)中斷并保持較低的補(bǔ)救成本。違規(guī)造成的更小影響,可以幫助維持組織的聲譽(yù)和客戶和干系人的信任。分段是限制受到漏洞影響的區(qū)域的關(guān)鍵技術(shù)。將訪問權(quán)限限制為僅允許單個用戶訪問的網(wǎng)絡(luò)區(qū)域,有助于減少違規(guī)的影響。( 5 )提高合規(guī)性和可見度聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)不缺少現(xiàn)有或未決的合規(guī)要求,包括:聯(lián)邦信息安全管理法案、聯(lián)邦風(fēng)險和授權(quán)管理程序(FedRAMP)、可信互聯(lián)網(wǎng)連接(TIC)3.0、國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)出版物。在整個網(wǎng)絡(luò)中應(yīng)用這些要求,可能是一項挑戰(zhàn);但是,通過 分段的方法,合規(guī)性通常可以通過更小、更相關(guān)的審計來解決,從而使機(jī)構(gòu)能夠更快地滿足合規(guī)性要求??芍赜媚0宸椒捎糜诰哂蓄愃铺卣鞯木W(wǎng)絡(luò)分段。關(guān)鍵的好處是合規(guī)的速度。在ZT架構(gòu)中提高可見性也有好處。提高了誰、什么和哪里的可見性,使網(wǎng)絡(luò)運(yùn)營者能夠更密切地記錄行為和活動。從改進(jìn)的可視性處理的分析,進(jìn)一步有利于網(wǎng)絡(luò)運(yùn)營者。( 6 )提高潛在成本縮減更低的成本,可以從更好的集成工具、減少VPN使用、簡化運(yùn)營模式、避免丟失數(shù)據(jù)、訴訟和損壞聲譽(yù)來產(chǎn)生。當(dāng)與ZT架構(gòu)相結(jié)合時,政府組織可能會尋求使用低成本的 商品線路(就風(fēng)險而言)來更新基礎(chǔ)設(shè)施。這些較低成本的直接互聯(lián)網(wǎng)接入線路,也促進(jìn)了更安全的軟件定義廣域網(wǎng)( SD-WAN)連接的附加好處。評估一個機(jī)構(gòu)已經(jīng)部署的(或即將部署的)零信任的各種支柱的組件/元素。這些是沉沒成本,可能不需要包括在新的投資回報率計算或討論中。此外,與現(xiàn)有工具的集成,可以極大地降低操作ZT所需的投資。底線—— 零信任必須簡化而不是復(fù)雜化您的安全策略,以節(jié)省資金部署零信任的建議步驟( 1 )部署零信任的考慮如果計劃在安全策略中包含零信任,則當(dāng)前環(huán)境可能已經(jīng)包含可以利用的ZT工具和組件。例如,一個機(jī)構(gòu)已經(jīng)擁有強(qiáng)大的 ICAM實(shí)現(xiàn),具有 多因素認(rèn)證,則可以利用它來支持零信任“ 用戶支柱”能力。類似地,如果一個機(jī)構(gòu)擁有 移動設(shè)備管理或 系統(tǒng)清單工具,它們可以被用于“ 設(shè)備支柱”組件。在安全架構(gòu)的任何變化中,重要的是考慮已有的投資可以被利用以及新模型如何以及在哪里快速實(shí)現(xiàn)。重要的是要確保在規(guī)劃階段盡早選擇正確的方法。在選擇特定的ZT解決方案時,決策必須平衡安全和成本,并能夠解決 今天和明天的挑戰(zhàn)。零信任可以提供一種成熟的解決方案, 它不需要增加運(yùn)營復(fù)雜性或要求主要的架構(gòu)改變。事實(shí)上,它可以 簡化運(yùn)營,同時提高安全性并保護(hù)關(guān)鍵的高價值資產(chǎn)。查看和驗證誰有權(quán)訪問應(yīng)用程序和數(shù)據(jù),并確保受信任的流量沒有受到損害的能力,至關(guān)重要。解決方案應(yīng)能夠分析活動威脅、惡意軟件、病毒、受損憑據(jù)和受限敏感數(shù)據(jù)的允許通信量。行為分析和自動化可以應(yīng)用于整合日志記錄,以阻止隱藏的不良行為體看起來可信。零信任是一種使用支柱進(jìn)行粒度、受限和驗證的訪問控制。一個共同的框架,將允許這些支柱協(xié)同工作,同時通過整合和戰(zhàn)略伙伴關(guān)系來降低復(fù)雜性。( 2 )零信任成熟度模型
零信任網(wǎng)絡(luò)轉(zhuǎn)換不必一次完成。ZT成熟度模型可以幫助指導(dǎo)組織 踏上零信任之旅。該模型可以幫助組織、跟蹤和溝通正在進(jìn)行的工作。
這些模型可以定制,以說明工作從哪里開始和跟蹤進(jìn)展的主要里程碑。下圖包含了一個成熟度模型的示例:
零信任成熟度模型
階段1:建立用戶信任。
您的組織是否有一個明確的與業(yè)務(wù)需求相一致的 ICAM戰(zhàn)略,導(dǎo)致了由 基于風(fēng)險的策略所支持的 MFA解決方案的全面實(shí)施和集成?
階段2:獲得設(shè)備和活動的可視性。
您的組織是否有一個最新的 資產(chǎn)清單,可區(qū)分 托管和非托管設(shè)備,作為集成IT和安全功能的一部分,對它們進(jìn)行健康檢查?
階段3:確保設(shè)備可信。
您的組織是否有一個受信任的 設(shè)備策略,提示用戶在管理的過程中針對已度量的 漏洞更新其設(shè)備,并報告 策略外設(shè)備?
階段4:實(shí)施自適應(yīng)策略。
您的組織是否通過一個 集中管理的策略來 控制用戶訪問,該策略能識別異常并根據(jù)異常采取行動?
階段5:零信任。
您的組織是否有一個由 架構(gòu)和一組 過程支持的 與業(yè)務(wù)對齊的零信任策略,使用戶能夠無縫訪問 內(nèi)部和云應(yīng)用程序?
( 3 )微分段方法
零信任是Gartner CARTA發(fā)展路線圖上的第一步。大多數(shù)企業(yè)數(shù)據(jù)中心都與公共網(wǎng)絡(luò)隔離,并與最終用戶硬件分離。與最終用戶訪問公共互聯(lián)網(wǎng)一樣,對數(shù)據(jù)中心的訪問是基于信任的,信任通常是通過驗證IP地址建立的。
在數(shù)據(jù)中心,專有的企業(yè)信息和應(yīng)用是 橫向存儲的。這種 扁平的層次結(jié)構(gòu)意味著,如果一個壞角色滲透到數(shù)據(jù)中心,所有信息都有風(fēng)險。
攻擊者在一個服務(wù)器上獲得立足點(diǎn),可以很容易地橫向傳播(東/西)到其他系統(tǒng)?!斑@種 橫向移動是威脅傳播的通用向量——想想近期的Cryptolocker和Petya惡意軟件感染。
微分段可以幫助抵抗橫向移動。
常見的微分段步驟包括:
( 4 )軟件定義邊界 ( SDP ) 方法

另一種選擇是使用SDP來實(shí)現(xiàn)訪問而不犧牲安全性。

有了SDP,用戶無論是在網(wǎng)絡(luò)內(nèi)部還是外部,都可以 直接連接到資源,無論資源位于云中、數(shù)據(jù)中心、互聯(lián)網(wǎng);所有這些都 不需要連接到公司網(wǎng)絡(luò)。
SDP安全軟件在每個用戶的網(wǎng)絡(luò)流量周圍建立一個安全的周界,可以說,創(chuàng)建了 一個人的網(wǎng)絡(luò)。例如,谷歌為自己的員工開發(fā)了名為 BeyondCorp的SDP。
用戶(或SDP主機(jī))不能發(fā)起或接受與另一個SDP主機(jī)的通信,只有在連接到對事務(wù)進(jìn)行授權(quán)的SDP控制器之后才可以。
SDP方法中的一個關(guān)鍵概念:SDP控制器對SDP主機(jī)的指令,消除了DNS信息和端口對“外部”的可見性需求,實(shí)現(xiàn)了有效“隱身”或?qū)ν獠咳藛T創(chuàng)建了一個不可見的“黑暗”網(wǎng)絡(luò)。
SDP代表了一種網(wǎng)絡(luò)安全方法,它圍繞高價值企業(yè)應(yīng)用程序和數(shù)據(jù)訪問,創(chuàng)建了一個保護(hù)屏障。這種技術(shù),以及其他類似的技術(shù),可以保護(hù)應(yīng)用基礎(chǔ)設(shè)施免受現(xiàn)有和新出現(xiàn)的網(wǎng)絡(luò)威脅。
例如,現(xiàn)有的攻擊(如憑據(jù)竊取和服務(wù)器利用被動態(tài)地阻止,因為這些技術(shù)只允許從已注冊到認(rèn)證用戶的設(shè)備訪問,這是一個 關(guān)鍵的零信任元素。
SDP能力可以以不同的方式成功交付,例如通過代理、在線軟件、云服務(wù),甚至場內(nèi)方式。SDP通過維護(hù)每個事務(wù)的默認(rèn)拒絕狀態(tài),來實(shí)現(xiàn)零信任。
策略是由用戶和上下文(通常包括行為分析)定義的,比單獨(dú)的微分段降低了風(fēng)險。未經(jīng)授權(quán)的橫向移動風(fēng)險也被消除,因為所有事務(wù)都以與企業(yè)防火墻內(nèi)部或外部相同的方式進(jìn)行評估。
致力于采用 基于軟件的安全模型,是SDP成功的關(guān)鍵。
評估SDP選項的政府機(jī)構(gòu)必須考慮:
SDP允許經(jīng)過身份驗證的用戶,訪問在任何環(huán)境中運(yùn)行的授權(quán)應(yīng)用程序和數(shù)據(jù),而無需將用戶放進(jìn)網(wǎng)絡(luò)或?qū)⑺接袘?yīng)用程序暴露給互聯(lián)網(wǎng)。
聯(lián)邦政府中應(yīng)用零信任的挑戰(zhàn)
如前所述,零信任是一種安全策略,由當(dāng)今在聯(lián)邦空間中 非常常用的元素組成。然而,在部署和運(yùn)行任何新技術(shù)方面都存在挑戰(zhàn)。還有一些挑戰(zhàn)是特定操作環(huán)境所特有的。
( 1 )網(wǎng)絡(luò)安全成熟度差異很大
在聯(lián)邦政府部署成功的ZT解決方案面臨的最大挑戰(zhàn)是網(wǎng)絡(luò)安全成熟度的普遍缺乏。其中包括普遍缺乏標(biāo)準(zhǔn)化的IT能力和網(wǎng)絡(luò)可見性。
采用ZT成熟度模型的方法,可以幫助解決關(guān)鍵能力,以成功和更快速地解決路障,并將機(jī)構(gòu)移入日益成熟的網(wǎng)絡(luò)安全態(tài)勢。
( 2 )共享的系統(tǒng)和網(wǎng)絡(luò)鏈接成功的零信任部署的另一個挑戰(zhàn)是聯(lián)邦I(lǐng)T中廣泛的系統(tǒng)相互依賴性。幾乎每個聯(lián)邦機(jī)構(gòu)都從其他聯(lián)邦機(jī)構(gòu)接收或提供服務(wù)(例如,計費(fèi)、時間和出勤、旅行、人力資源等)。這可能對大規(guī)模的超級機(jī)構(gòu)的依賴性特別有影響,它們受到高度管制(例如,金融和衛(wèi)生部門)。最后,這些依賴性是雙向的:當(dāng)私營部門的合作伙伴轉(zhuǎn)移到ZT解決方案時,聯(lián)邦機(jī)構(gòu)可能期望支持需求。在所有情況下,及早和經(jīng)常與服務(wù)提供商、合作伙伴和客戶進(jìn)行溝通,將有助于克服這些挑戰(zhàn)。( 3 )遠(yuǎn)離合規(guī)驅(qū)動網(wǎng)絡(luò)安全需求的增長速度超過了解決這些問題的預(yù)算。這導(dǎo)致:關(guān)注于管理風(fēng)險的較少,更多關(guān)注于從鏈條上看到的可報告元素。例如,連續(xù)監(jiān)測是任何有效的網(wǎng)絡(luò)安全計劃的關(guān)鍵方面,但威脅情報和紅隊演習(xí)也是如此:但只有一個報告。將零信任指定為政府范圍內(nèi)的 優(yōu)先事項,可以促進(jìn)更廣泛和更快的采用。( 4 )納入TIC 3.0要求ZT的另一個挑戰(zhàn),是它如何工作或支持新的可信互聯(lián)網(wǎng)連接(TIC)3.0指南。以下是TIC用例表,與TIC 3.0備忘錄一致。DHS計劃這項工作將導(dǎo)致不斷改進(jìn)和發(fā)展更新的TIC用例,用例展示了新興技術(shù)和不斷演變的網(wǎng)絡(luò)威脅。DHS已經(jīng)定義了四個不同的用例,以覆蓋諸如 云應(yīng)用(用例1)、位于機(jī)構(gòu)定義的安全邊界之外的 機(jī)構(gòu)分支辦公室(用例2)、位于機(jī)構(gòu)定義的安全邊界之外的 遠(yuǎn)程用戶(用例3)、未在其它DHS TIC用例中覆蓋的 傳統(tǒng)TIC安全(用例4)。以下DHS定義的TIC用例最適合ZT解決方案方法:用例1:云。這些TIC用例覆蓋了當(dāng)今機(jī)構(gòu)使用的一些最流行的云模型。其中包括:a.基礎(chǔ)設(shè)施即服務(wù)(IaaS)b.軟件即服務(wù)(SaaS)c.電子郵件即服務(wù)(EaaS)d.平臺即服務(wù)(PaaS)用例2:機(jī)構(gòu)分支辦公室。這個用例假設(shè)有一個機(jī)構(gòu)的分支機(jī)構(gòu),與總部分開,但分支機(jī)構(gòu)利用總部的大部分服務(wù)(包括一般的web流量)。這個用例支持那些想要啟用 SD-WAN技術(shù)的機(jī)構(gòu)。到ZT FedRAMP批準(zhǔn)的SaaS云應(yīng)用程序的SD-WAN連接,非常適合這個定義的TIC 3.0用例。用例3:遠(yuǎn)程用戶。這個用例是原始FTO(FedRAMP TIC Overlay )活動的演變。用例演示了遠(yuǎn)程用戶如何使用GFE(政府供應(yīng)設(shè)備)連接到該機(jī)構(gòu)的傳統(tǒng)網(wǎng)絡(luò)、云和因特網(wǎng)。FedRAMP ZT解決方案非常適合這種DHS定義的TIC 3.0情況。( 5 )在聯(lián)邦市場中獲取零信任網(wǎng)絡(luò)的能力現(xiàn)在已經(jīng)了解到 ZT是一個“框架和架構(gòu)”,有很多選擇來采購使能技術(shù)產(chǎn)品和服務(wù)組件。ZT項目很可能涉及服務(wù)和產(chǎn)品,因此建議機(jī)構(gòu)尋求能同時滿足這兩種需求的合同工具。

關(guān)于ZT如何融入一些使用最廣泛的聯(lián)邦合同工具的例子包括:GSA SCHEDULE 70、DHS持續(xù)診斷和緩解(CDM)、GSA企業(yè)基礎(chǔ)設(shè)施解決方案(EIS)等。

結(jié)論
零信任是一個演進(jìn)式的框架,而不是革命性的方法。它建立在現(xiàn)有的安全概念之上,并沒有引入一種全新的網(wǎng)絡(luò)安全方法。與大多數(shù)安全概念一樣,零信任依賴于對組織的服務(wù)、數(shù)據(jù)、用戶、端點(diǎn)的基本理解。關(guān)于前期資源投資, 沒有“免費(fèi)午餐”。策略定義、部署概念、信任確定(和衰退)、執(zhí)行機(jī)制、日志聚合等,都需要在部署解決方案之前考慮。也就是說,許多大型機(jī)構(gòu)(如谷歌、Akamai和Purdue)都已進(jìn)行了投資,顯示出安全投資的真正回報。ZT本身并不是一項技術(shù),而是網(wǎng)絡(luò)安全設(shè)計方法的轉(zhuǎn)變。當(dāng)網(wǎng)絡(luò)設(shè)計將多個供應(yīng)商的產(chǎn)品集成到一個全面的解決方案中時,當(dāng)前的解決方案領(lǐng)域顯示出非常成熟且經(jīng)過驗證的解決方案。無論是尋求零信任網(wǎng)絡(luò)的解決方案是什么,諸如軟件定義的網(wǎng)絡(luò)和身份、憑證和訪問管理(ICAM)等要素,都是成功的長期ZT策略的重要組成部分。ZT可以增強(qiáng)和補(bǔ)充其他網(wǎng)絡(luò)安全工具和實(shí)踐,而不是取代它們。威脅情報、持續(xù)監(jiān)視、紅隊演習(xí)仍然是零信任網(wǎng)絡(luò)環(huán)境和全面安全方法的重要組成部分。毫無疑問,有效的零信任網(wǎng)絡(luò)部署可以顯著改善組織的網(wǎng)絡(luò)安全態(tài)勢。然而,許多聯(lián)邦機(jī)構(gòu)面臨挑戰(zhàn),包括復(fù)雜的數(shù)據(jù)和服務(wù)與其他組織的相互依賴性。在將ZT擴(kuò)展到關(guān)鍵任務(wù)、多組織的工作流之前,必須仔細(xì)考慮這些依賴關(guān)系。ZT是一個成熟的策略,可以提供積極的網(wǎng)絡(luò)安全投資回報,但它可能需要前期投資,這取決于機(jī)構(gòu)有哪些已經(jīng)到位。

關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 今天

Wi-Fi是大家熟悉的一個名詞,但是Wi-Fi6似乎就讓人有些熟悉又陌生了。

2020年3月,中國聯(lián)通聯(lián)合中興通訊正式發(fā)布Wi-Fi6技術(shù)白皮書。Wi-Fi6這一術(shù)語開始進(jìn)入大眾視野。

實(shí)際上,Wi-Fi6是Wi-Fi協(xié)議的一次更新,目前更新到了第六代。既然是代代相傳,這就意味著Wi-Fi協(xié)議背后實(shí)則有一個龐大的家族。

何為Wi-Fi6

Wi-Fi6全稱叫802.11ax,可以追溯至1997年,當(dāng)時最早的Wi-Fi 標(biāo)準(zhǔn)是802.11,由IEEE(電氣和電子工程師協(xié)會)提出。發(fā)展至今,每一次更新都以末尾的字母來相區(qū)別。因此,經(jīng)過了b(二代)、a/g(三代)、n(四代)、ac(五代),而最新的ax就是第六代。

就好比移動網(wǎng)絡(luò)中的2G、3G、4G、5G一樣,Wi-Fi網(wǎng)絡(luò)也有其自身的更迭,但更快和更穩(wěn)定的傳輸速度是無線網(wǎng)絡(luò)追求的終極目標(biāo),而影響網(wǎng)速快慢、穩(wěn)定程度的因素則是距離、網(wǎng)速和配置。Wi-Fi6相比前幾代,增加一些特性,比如利用OFDMA頻分復(fù)用技術(shù)、DL/UL MU-MIMO技術(shù)、更高階的調(diào)制技術(shù)等。

Wi-Fi6的技術(shù)亮點(diǎn)

如下圖所示,Wi-Fi6能夠承載更多設(shè)備,提高數(shù)據(jù)傳輸速度和穩(wěn)定程度。那么其中的幾個大功臣當(dāng)屬OFDMA、MU-MIMO以及更高階的調(diào)制技術(shù)。

在此之前使用的技術(shù)是OFDM,一種將傳輸信道分流的技術(shù)。簡單來說,就好像沒有車道且擁擠的道路,車輛多、雜,還容易碰撞,使用了OFDM技術(shù)后,可以劃分車道來讓車輛有序而行。

Wi-Fi6引入的一種新型數(shù)據(jù)傳輸模式為OFDMA,支持上下行多用戶模式,因此可以稱為MU-OFDMA。思路轉(zhuǎn)變其實(shí)并不復(fù)雜,之前一條子信道只能允許一個用戶傳輸數(shù)據(jù),但是現(xiàn)在允許多個用戶同時進(jìn)行數(shù)據(jù)傳輸。

802.11ax又被稱為“高效率無線標(biāo)準(zhǔn)”,即使在很多用戶使用網(wǎng)絡(luò)的情況下也能保證網(wǎng)絡(luò)流暢,首要解決的是網(wǎng)絡(luò)容量問題,因為隨著公共Wi-Fi的普及,網(wǎng)絡(luò)容量問題已成為機(jī)場、體育賽事和校園等密集環(huán)境中的一個大問題。

在802.11ac中使用了下行MU-MIMO,一種用戶從網(wǎng)上下載數(shù)據(jù)的傳輸技術(shù)。而在第六代中,則新增了上行MU-MIMO技術(shù),允許用戶快速地上傳數(shù)據(jù)資源。

當(dāng)車流量增大、車道變多時,可能需要一名“交警”來管理指揮,更好地保證車輛的順利通行。Wi-Fi6的主要目標(biāo)是增加系統(tǒng)容量,降低延時,提高多用戶高密度場景下的效率,更高階的調(diào)制技術(shù)讓更好的效率和更快的速度并不互斥。

總體而言,多種新技術(shù)的加入都是為了最大程度地提高人們在不同場景下的“沖浪”速度。而Wi-Fi6也是應(yīng)需而生。有了Wi-Fi6,演唱會現(xiàn)場也不怕“斷網(wǎng)”了。

無線安全風(fēng)險叢生

從技術(shù)上來說,Wi-Fi6的更新很大程度上提升了數(shù)據(jù)傳輸速度,改善了穩(wěn)定程度,但是從網(wǎng)絡(luò)安全的視角來看,技術(shù)的進(jìn)步,安全也跟上步伐了嗎?

無線網(wǎng)絡(luò)覆蓋人們生活的方方面面,各類Wi-Fi風(fēng)險也值得關(guān)注。比如虛假Wi-Fi釣魚,攻擊者搭建虛假Wi-Fi,設(shè)置空密碼或相同密碼引誘用戶連接。一旦用戶連接攻擊者搭建的虛假Wi-Fi,那么傳輸數(shù)據(jù)就會容易遭到劫持和竊聽,用戶的個人敏感信息都容易泄露。

又或是無線協(xié)議安全漏洞,比如之前曝出的協(xié)議漏洞導(dǎo)致黑客入侵獲取用戶數(shù)據(jù)問題,直擊Wi-Fi核心的安全保護(hù)標(biāo)準(zhǔn),這容易導(dǎo)致攻擊者劫持用戶流量,竊聽用戶通信信息。在搜索到不是同一個wif熱點(diǎn)但名稱相同時,自動使用已保存的密碼連接,這對于攻擊者而言,也是可乘之機(jī)。

這些只是一些較為常見的Wi-Fi安全風(fēng)險。涉及群體基數(shù)大,攻擊者早已將目光鎖定無線網(wǎng)絡(luò)這塊“香餑餑”。數(shù)據(jù)顯示,全球技術(shù)市場咨詢公司ABI Research指出,在新冠疫情期間,Wi-Fi上傳流量激增了80%,這證明了對Wi-Fi應(yīng)用的需求。萬物互聯(lián)的時代,未來這一數(shù)字只會不斷攀升。

Wi-Fi6的WPA3安全防護(hù)

如今市場上,各大廠商開始出售支持Wi-Fi6功能的路由器,以其速度、穩(wěn)定、安全為賣點(diǎn)。2018年,Wi-Fi 技術(shù)獲得了十年來最大的一次安全更新,開始支持新的安全協(xié)議WPA3。

眾所周知,WPA3為支持Wi-Fi的設(shè)備帶來重要改進(jìn),增強(qiáng)配置、加強(qiáng)身份驗證和加密等問題,主要包括防范暴力攻擊、WAP3正向保密、加強(qiáng)公共和開放Wi-Fi網(wǎng)絡(luò)中的用戶隱私、增強(qiáng)對關(guān)鍵網(wǎng)絡(luò)的保護(hù)。Wi-Fi6支持WPA3意味著其有著更高的安全性。

總結(jié)

長期來看,物聯(lián)網(wǎng)設(shè)備的接入增多才是讓網(wǎng)絡(luò)流量激增的主因,所以協(xié)議的不斷更新也是為了滿足未來人們的多設(shè)備、多場景上網(wǎng)需求。雖然技術(shù)不斷更新,但是攻擊者通過協(xié)議入侵物聯(lián)設(shè)備仍時常發(fā)生,用戶在使用公共Wi-Fi時還是需要警惕。新一代協(xié)議的更新也會吸引攻擊者的注意,因此個人用戶在迎接這波新技術(shù)浪潮時,也要注意:

當(dāng)然,雖然Wi-Fi6迅速火熱,但是尚且還存在不足,比如支持設(shè)備少、成本高,在特定場合優(yōu)勢才能突顯等問題。

總而言之,Wi-Fi6步入人們的生活是大勢所趨,未來也會看到越來越多的承載設(shè)備推出,安全風(fēng)險也是相伴而生,人們不僅要享受技術(shù)福利,也要積極應(yīng)對技術(shù)帶來的風(fēng)險挑戰(zhàn)。

關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 今天

以下文章來源于Tide安全團(tuán)隊 ,作者VIITomFord

Tide安全團(tuán)隊

Tide安全團(tuán)隊以信安技術(shù)研究為目標(biāo),致力于分享高質(zhì)量原創(chuàng)文章、開源安全工具、交流安全技術(shù),研究方向覆蓋網(wǎng)絡(luò)攻防、Web安全、移動終端、安全開發(fā)、物聯(lián)網(wǎng)/工控安全/AI安全等多個領(lǐng)域,對安全感興趣的小伙伴可以關(guān)注我們。

一、研究背景

近幾年來,由網(wǎng)絡(luò)安全問題引發(fā)的工控事件時有發(fā)生,在國外電力系統(tǒng)中因為網(wǎng)絡(luò)安全而引發(fā)的事故屢見不鮮,造成了巨大的經(jīng)濟(jì)損失。我國雖未發(fā)生重大事故,但電力系統(tǒng)作為了重要的關(guān)鍵信息基礎(chǔ)設(shè)施,關(guān)系到老百姓的切身利益,這不得不引起我們的重視。智能變電站系統(tǒng)作為電力系統(tǒng)重要的組成部分,它的安全問題直接影響到了電力系統(tǒng)整體的安全,因此如何做好變電站系統(tǒng)的安全成為了重中之重,本文就IEC 61850通信協(xié)議體系、智能變電站的安全性做了簡要分析。

二、IEC 61850與智能變電站概述
IEC 61850通信協(xié)議體系概述

IEC 61850標(biāo)準(zhǔn)是電力系統(tǒng)自動化領(lǐng)域唯一的全球通用標(biāo)準(zhǔn)。它通過標(biāo)準(zhǔn)的實(shí)現(xiàn),實(shí)現(xiàn)了智能變電站的工程運(yùn)作標(biāo)準(zhǔn)化。使得智能變電站的工程實(shí)施變得規(guī)范、統(tǒng)一和透明。不論是哪個系統(tǒng)集成商建立的智能變電站工程都可以通過SCD(系統(tǒng)配置)文件了解整個變電站的結(jié)構(gòu)和布局,對于智能化變電站發(fā)展具有不可替代的作用。

IEC 61850通信協(xié)議體系特點(diǎn)

( 1 ) 定義了變電站的信息分層結(jié)構(gòu)

變電站通信網(wǎng)絡(luò)和系統(tǒng)協(xié)議IEC 61850標(biāo)準(zhǔn)草案提出了變電站內(nèi)信息分層的概念,將變電站的通信體系分為3個層次,即變電站層、間隔層和過程層,并且定義了層和層之間的通信接口。

( 2 ) 采用了面向?qū)ο蟮臄?shù)據(jù)建模技術(shù)

IEC 61850標(biāo)準(zhǔn)采用面向?qū)ο蟮慕<夹g(shù),定義了基于客戶機(jī)/服務(wù)器結(jié)構(gòu)數(shù)據(jù)模型。

( 3 ) 數(shù)據(jù)自描述

該標(biāo)準(zhǔn)定義了采用設(shè)備名、邏輯節(jié)點(diǎn)名、實(shí)例編號和數(shù)據(jù)類名建立對象名的命名規(guī)則;采用面向?qū)ο蟮姆椒ǎx了對象之間的通信服務(wù)。

( 4 ) 網(wǎng)絡(luò)獨(dú)立性

IEC 61850標(biāo)準(zhǔn)總結(jié)了變電站內(nèi)信息傳輸所必需的通信服務(wù),設(shè)計了獨(dú)立于所采用網(wǎng)絡(luò)和應(yīng)用層協(xié)議的抽象通信服務(wù)接口(ACSI)。

智能變電站概述

智能化變電站是由智能化一次設(shè)備(電子式互感器、智能化開關(guān)等)和網(wǎng)絡(luò)化二次設(shè)備分層(過程層、間隔層、站控層)構(gòu)建,建立在IEC61850標(biāo)準(zhǔn)和通信規(guī)范基礎(chǔ)上,能夠?qū)崿F(xiàn)變電站內(nèi)智能電氣設(shè)備間信息共享和互操作的現(xiàn)代化變電站。在此基礎(chǔ)上實(shí)現(xiàn)變電站運(yùn)行操作自動化、變電站信息共享化、變電站分區(qū)統(tǒng)一管理、利用計算機(jī)仿真技術(shù)實(shí)現(xiàn)智能化電網(wǎng)調(diào)度和控制的基礎(chǔ)單元。

智能變電站是采用先進(jìn)、可靠、集成和環(huán)保的智能設(shè)備,以全站信息數(shù)字化、通信平臺網(wǎng)絡(luò)化、信息共享標(biāo)準(zhǔn)化為基本要求,自動完成信息采集、測量、控制、保護(hù)、計量和檢測等基本功能,同時,具備支持電網(wǎng)實(shí)時自動控制、智能調(diào)節(jié)、在線分析決策和協(xié)同互動等高級功能的變電站。

智能變電站的信息分層結(jié)構(gòu)

如圖所示,IEC 61850從邏輯上將智能變電 站劃分為站控層、間隔層和過程層的三層體系結(jié)構(gòu)。

1)站控層:站控層設(shè)備負(fù)責(zé)匯總?cè)镜膶?shí)時數(shù)據(jù)信息,將相關(guān)數(shù)據(jù)發(fā)送至調(diào)度或遠(yuǎn)方控制中心,同時,也要對過程層和間隔層設(shè)備執(zhí)行接收到的調(diào)度或控制中心命令,具有人機(jī)系統(tǒng)功能。

2)間隔層:間隔層設(shè)備包括保護(hù)測控裝置、故障錄波裝置和計量裝置,主要功能是:收集本間隔的過程層實(shí)時數(shù)據(jù),保護(hù)和控制一次設(shè)備,完成本間隔操作閉鎖、操作同期等控制功能。

3)過程層:過程層是一、二次設(shè)備的交匯處,主要完成電氣量測量、設(shè)備狀態(tài)檢測和操作控制命令執(zhí)行這三大功能。

三、IEC 61850與智能變電站安全性分析

由于計算機(jī)網(wǎng)絡(luò)具有互聯(lián)性、開放性、連接方式的多樣性及終端分布的不均勻性等特點(diǎn),再加上計算機(jī)網(wǎng)絡(luò)具有難以克服的自身脆弱性和人為的疏忽,導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機(jī)系統(tǒng)存在很多網(wǎng)絡(luò)安全問題。IEC 61850作為一個基于通用網(wǎng)絡(luò)通信平臺的國際標(biāo)準(zhǔn),很多計算機(jī)網(wǎng)絡(luò)所面臨的威脅,基于IEC 61850變電站計算機(jī)網(wǎng)絡(luò)也會面臨同樣的威脅。

變電站計算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅:

1竊聽

攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。信息在傳輸過程中被直接或是間接地竊聽,攻擊者通過對其進(jìn)行分析得到所需的重要信息。并且數(shù)據(jù)包仍然能夠到到目的結(jié)點(diǎn),其數(shù)據(jù)并沒有丟失,如圖所示:

2截獲

攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信。信息在傳輸過程中被非法中斷,并且目的結(jié)點(diǎn)不能收到該信息,即信息在傳輸過程中丟失了,如圖所示:

3偽造

攻擊者偽造信息在網(wǎng)絡(luò)上傳送。源節(jié)點(diǎn)并沒有發(fā)出任何信息,但攻擊者偽造出信息并偽裝成源結(jié)點(diǎn)發(fā)出信息,目的結(jié)點(diǎn)將收到這個偽造信息,如圖所示:

4篡改

攻擊者故意篡改網(wǎng)絡(luò)上傳送的報文。信息在傳輸過程中被攻擊者截獲,并且修改其截獲的特定數(shù)據(jù)包,從而破壞了數(shù)據(jù)的完整性,然后攻擊者再將篡改后的數(shù)據(jù)包發(fā)送到目的結(jié)點(diǎn)。在目的結(jié)點(diǎn)的接收者看來,數(shù)據(jù)似乎是完整的,但其實(shí)已經(jīng)被攻擊者惡意篡改過,如圖所示:

四、智能變電站通信網(wǎng)絡(luò)的組建方案

目前我國的智能變電站都是采用“三層兩網(wǎng)”結(jié)構(gòu),即過程層、間隔層和站控層,這三層的設(shè)備之間是通過站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)進(jìn)行通信。

站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)通常有兩種組建方案:

( 1 ) 獨(dú)立過程層網(wǎng)絡(luò),站控層網(wǎng)絡(luò)與過程層網(wǎng)絡(luò)不聯(lián)通,智能變電站的通信網(wǎng)絡(luò)是一個兩層物理網(wǎng)絡(luò);

( 2 ) 全站唯一網(wǎng)絡(luò),站控層網(wǎng)絡(luò)與過程層網(wǎng)絡(luò)相互聯(lián)通,智能變電站的通信網(wǎng)絡(luò)是一個物理網(wǎng)絡(luò)。

獨(dú)立過程層網(wǎng)絡(luò):獨(dú)立過程層組網(wǎng)方式,該方式中站控層設(shè)備不能直接訪問過程層,站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)是兩個獨(dú)立的網(wǎng)絡(luò)。間隔層保護(hù)測控智能電子設(shè)備(IED)通過交換機(jī)與站控層設(shè)備相連,調(diào)度或遠(yuǎn)方控制中心通過路由器接入站控層網(wǎng)絡(luò),并可直接訪問間隔層IED。

全站唯一網(wǎng)絡(luò):即智能變電站內(nèi)的所有智能設(shè)備(包括ETC和EVC)都需要接入同一個網(wǎng)絡(luò),且任意智能設(shè)備之間,特別是過程層設(shè)備與站控層設(shè)備之間,都能夠直接通過唯一網(wǎng)絡(luò)完成信息交換。

五、總結(jié)

目前,我國智能變電站的網(wǎng)絡(luò)建設(shè)都遵循“橫向隔離”安全策略,即變電站內(nèi)網(wǎng)與外部Internet從物理上完全隔離,包括許多電力部門人員在內(nèi)都認(rèn)為變電站網(wǎng)絡(luò)是非常安全的,他們也不理解系統(tǒng)中增加安全措施的道理。事實(shí)上,網(wǎng)絡(luò)化的普遍和額外信息訪問需求的增長使得智能變電站通信網(wǎng)絡(luò)遠(yuǎn)不是我們想象中的那樣安全。

一方面,智能變電站的通信基于TCP/IP網(wǎng)絡(luò),有可能會受到以網(wǎng)絡(luò)為主要傳播途徑的病毒和黑客的攻擊,且電力信息工作站的應(yīng)用系統(tǒng)大多采用Windows平臺,站內(nèi)IED也沒有安全內(nèi)核,存在不少安全隱患;另一方面,人機(jī)接口(HMI)、控制、維護(hù)、規(guī)劃和施工等應(yīng)用系統(tǒng)可通過網(wǎng)關(guān)直接接入智能變電站站控層網(wǎng)絡(luò),直接訪問站內(nèi)相關(guān)信息。所以,無論是智能變電站站內(nèi)通信還是外部通信,都面臨著安全威脅。

因此,結(jié)合實(shí)際業(yè)務(wù)解決電力變電系統(tǒng)高風(fēng)險項,為系統(tǒng)提供全方位的安全保障,通過技術(shù)手段輔助管理執(zhí)行,降低安全運(yùn)營風(fēng)險;

關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 今天

如今,移動安全的防護(hù)不再是一種可有可無的東西,而是必不可少的安全防護(hù)之一。在過去的十年中,采用自帶設(shè)備辦公(BYOD)的人數(shù)一直不斷激增,他們經(jīng)常會使用自己的個人設(shè)備進(jìn)行工作。更何況目前冠狀病毒在全球范圍內(nèi)蔓延的情況下,在家工作的要求更是水漲船高,大多數(shù)的人不得不選擇在家辦公的方式。但是,移動設(shè)備使用量的迅速增加,加上較低的安全級別,使其成為網(wǎng)絡(luò)犯罪分子試圖突破公司數(shù)據(jù)安全性的最常見突破口之一。根據(jù)我們的2020網(wǎng)絡(luò)安全報告,全球近三分之一的組織遭受過針對移動設(shè)備的攻擊,并且60%的IT安全專業(yè)人員對其公司是否能夠避免移動安全漏洞產(chǎn)生懷疑??紤]到目前的趨勢所迫,這些數(shù)字可能還會上升。
因此,現(xiàn)在必須對移動設(shè)備的保護(hù)加以重視。在這里,我們分享了五種主要威脅,以及提供有關(guān)如何優(yōu)化其保護(hù)的建議,這些威脅使移動設(shè)備的安全性面臨風(fēng)險。
1. 惡意應(yīng)用程序

安裝應(yīng)用程序會帶來多種安全風(fēng)險,例如數(shù)據(jù)泄漏。使用此類程序可以使設(shè)備容易感染移動惡意軟件(在《 2020網(wǎng)絡(luò)安全報告》中看到的主要網(wǎng)絡(luò)威脅之一),例如憑據(jù)竊賊,鍵盤記錄程序和遠(yuǎn)程訪問木馬。這樣的威脅為網(wǎng)絡(luò)犯罪分子提供了一種簡單有效的方法,可以直接發(fā)起攻擊,并可以利用移動設(shè)備傳播到網(wǎng)絡(luò)。與此同時,產(chǎn)生的其他威脅將取決于用戶是否會接受允許應(yīng)用程序訪問設(shè)備中存儲的信息的條款。

2. 設(shè)備的漏洞

正如我們的報告中所強(qiáng)調(diào)的那樣,全球27%的公司已成為網(wǎng)絡(luò)攻擊的受害者,這些攻擊破壞了移動設(shè)備的安全性。因此,無論是Android還是iOS,各個組件或操作系統(tǒng)中的漏洞都會對數(shù)據(jù)安全性造成嚴(yán)重威脅。此外,除了安全漏洞外,這些設(shè)備的“弱”安全設(shè)置也是網(wǎng)絡(luò)犯罪分子的潛在攻擊目標(biāo),因為它們可以訪問所有存儲的信息,從而使數(shù)據(jù)安全面臨巨大風(fēng)險。

3. 網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚仍然是成功率最高的威脅之一。實(shí)際上,根據(jù)Verizon的一項研究,所有網(wǎng)絡(luò)攻擊中有90%是從網(wǎng)絡(luò)釣魚活動開始的。因此,網(wǎng)絡(luò)罪犯往往利用移動設(shè)備上的一些消息來傳遞應(yīng)用程序,從而將用戶定向到虛假網(wǎng)站。通常,網(wǎng)絡(luò)釣魚通過私人或公司電子郵件、SMS或信息傳遞應(yīng)用程序(例如Slack,F(xiàn)acebook Messenger和WhatsApp)進(jìn)行。這些使網(wǎng)絡(luò)犯罪分子可以訪問大量信息,有時還能獲得經(jīng)濟(jì)利益。

4. 中間人(MitM)攻擊

移動設(shè)備使用戶可以從世界任何地方進(jìn)行連接和通信。每天,都會發(fā)送數(shù)百萬條包含敏感信息的消息,網(wǎng)絡(luò)犯罪分子則會通過MitM攻擊來利用這些信息,MitM攻擊是一種能夠攔截設(shè)備與惡意Wi-Fi接入點(diǎn)之間的數(shù)據(jù)流量的方法。例如,對在線銀行服務(wù)的這種網(wǎng)絡(luò)攻擊將使攻擊者可以輕松的修改銀行轉(zhuǎn)賬的詳細(xì)信息。

5. 基于網(wǎng)絡(luò)的攻擊

為了避免各種攻擊,分析設(shè)備接收和發(fā)送的通信非常重要。原因是大多數(shù)移動惡意軟件變體都需要與設(shè)備的Command and Control服務(wù)器建立連接,才能成功產(chǎn)生數(shù)據(jù)泄漏。因此,檢測到這些惡意通信渠道可以阻止通信,從而防止多種攻擊。

最后

對于企業(yè)而言,重要的是要認(rèn)清移動設(shè)備的管理和保護(hù)是兩個不同的措施。有些人錯誤的認(rèn)為,根據(jù)安裝的操作系統(tǒng),移動設(shè)備的安全性可能會更好。的確,Android和iOS都提供了自己的工具來優(yōu)化設(shè)備的安全性,但沒有操作系統(tǒng)可以獨(dú)立運(yùn)行。兩者都容易遭受安全性破壞。因此,就安全性,風(fēng)險管理和威脅可見性而言,應(yīng)像對待企業(yè)網(wǎng)絡(luò)的任何其他連接點(diǎn)一樣對待移動設(shè)備。

因此,為了具有最高的安全標(biāo)準(zhǔn),必須遵守一些策略(例如設(shè)備加密)并實(shí)施解決方案(例如遠(yuǎn)程數(shù)據(jù)刪除)。一些移動威脅防御(MTD)解決方案還可以幫助組織保護(hù)公司設(shè)備免受高級移動攻擊。此外,他們還可以保護(hù)員工設(shè)備上未受感染的應(yīng)用程序、通過Wi-Fi的MitM攻擊、操作系統(tǒng)漏洞、消息傳遞應(yīng)用程序中的惡意鏈接。通過對移動安全采取更主動的方法,組織將為預(yù)防和避免最復(fù)雜的網(wǎng)絡(luò)攻擊做好準(zhǔn)備。

參考及來源:

https://blog.checkpoint.com/2020/04/24/aimed-at-moving-targets-five-cyber-threats-that-put-mobile-devices-at-risk/

以上圖文均轉(zhuǎn)自互聯(lián)網(wǎng)。關(guān)注我們請掃描或長按并識別二維碼,或點(diǎn)擊上端藍(lán)色字體“南國微聞”

親,常來看看哦!


聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)

送郵件至:operations@xinnet.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時

需注明出處:新網(wǎng)idc知識百科

免費(fèi)咨詢獲取折扣

Loading