網(wǎng)絡(luò)攻擊：零信任網(wǎng)絡(luò)訪問(ZTNA)解決方案

零信任網(wǎng)絡(luò)訪問解決方案通常是零信任旅程的第一步。

“供應(yīng)商系統(tǒng)故障”——這是豐田發(fā)言人在2月份向媒體提供的三個(gè)詞，此前有消息傳出其供應(yīng)商之一小島工業(yè)公司(KojimoIndustriesCorp.)遭受了網(wǎng)絡(luò)攻擊。豐田被迫停止生產(chǎn)超過13,000輛汽車(約占其月產(chǎn)量的5%)——這提醒人們，違規(guī)行為對(duì)公司業(yè)務(wù)的不利影響。KojimoIndustries為世界上最大的汽車制造商提供重要的空調(diào)、方向盤部件和其他汽車內(nèi)外部零部件。

雖然這個(gè)最新的例子是第三方對(duì)主要業(yè)務(wù)的最新、備受矚目的影響，但在去年已經(jīng)有幾起備受矚目的供應(yīng)鏈攻擊。SolarWinds、Kaseya、Codecov、ua-parser-js和Log4j，都是證明勒索軟件和被盜數(shù)據(jù)如何上升的例子。

與豐田一樣，許多公司的成功依賴于他們的商業(yè)生態(tài)系統(tǒng)，包括合作伙伴、供應(yīng)商、供應(yīng)商，甚至企業(yè)對(duì)企業(yè)客戶。強(qiáng)大的第三方關(guān)系為企業(yè)提供了顛覆性的優(yōu)勢(shì)——在許多情況下，提供的價(jià)值遠(yuǎn)遠(yuǎn)優(yōu)于企業(yè)自行開發(fā)的任何東西。

第三方提供的地理覆蓋范圍、更大的規(guī)模和更大的靈活性，是一家企業(yè)無法自行管理的，甚至是全球企業(yè)集團(tuán)——這根本無法復(fù)制。

企業(yè)與其合作伙伴之間的巨大互聯(lián)性，通常需要通過VPN或VDI等技術(shù)將合作伙伴連接到企業(yè)網(wǎng)絡(luò)。但要注意，這是商業(yè)生態(tài)系統(tǒng)經(jīng)常引入風(fēng)險(xiǎn)的地方——也是導(dǎo)致它們迅速成為全球網(wǎng)絡(luò)犯罪分子的熱門切入點(diǎn)的最大因素。

通過生態(tài)系統(tǒng)開發(fā)業(yè)務(wù)

51%的組織經(jīng)歷過由第三方造成的數(shù)據(jù)泄露。據(jù)估計(jì)，2022年60%的安全事件將由與第三方的問題引起。

網(wǎng)絡(luò)犯罪分子很狡猾。他們知道這些合作伙伴的安全協(xié)議通常較弱，供應(yīng)商可以訪問數(shù)十個(gè)甚至數(shù)百個(gè)其他公司網(wǎng)絡(luò)。因此，生態(tài)系統(tǒng)合作伙伴的針對(duì)性很強(qiáng)，它們是擴(kuò)大攻擊規(guī)模的終極渠道。

IT團(tuán)隊(duì)必須努力消除向合作伙伴授予過度特權(quán)訪問權(quán)的技術(shù)——而網(wǎng)絡(luò)訪問的思維模式是應(yīng)用程序訪問的必要條件。這未必是對(duì)的。像VPN和VDI這樣的技術(shù)，本質(zhì)上信任第三方用戶，并將其直接放到公司網(wǎng)絡(luò)中。但，這只會(huì)擴(kuò)大攻擊面并增加攻擊的可能性。

想想看，代表客戶負(fù)責(zé)更新關(guān)鍵基礎(chǔ)設(shè)施的供應(yīng)商，通過VPN連接，以訪問客戶的網(wǎng)絡(luò)來排除故障或進(jìn)行更新——需要訪問庫存管理應(yīng)用程序，來創(chuàng)建或取消訂單的供應(yīng)商通過VPN連接，需要訪問門戶網(wǎng)站以了解新服務(wù)的商業(yè)客戶必須通過密碼或用戶名登錄——這些都迫使web應(yīng)用暴露在互聯(lián)網(wǎng)上。更不用說管理不斷進(jìn)出的合作伙伴的身份生命周期了，這是安全和后勤的噩夢(mèng)。同時(shí)也是精明的威脅者的另一個(gè)切入點(diǎn)。

對(duì)伙伴關(guān)系零信任

對(duì)企業(yè)來說，零信任才是最好的。為了使第三方風(fēng)險(xiǎn)管理有效，其必須基于這樣一種信念，即——即使是“可信任的”系統(tǒng)和實(shí)體也會(huì)對(duì)組織構(gòu)成威脅。因此，企業(yè)正在轉(zhuǎn)向零信任訪問技術(shù)，以解決與第三方風(fēng)險(xiǎn)相關(guān)的安全問題。一家追蹤“零信任”的研究組織表明，采用“零信任”的企業(yè)已從2019年的24%穩(wěn)步增長(zhǎng)至2021年的46%，預(yù)計(jì)到2022年底將繼續(xù)增長(zhǎng)至52%。

零信任的目標(biāo)是在訪問業(yè)務(wù)資源時(shí)永遠(yuǎn)不要隱式信任任何實(shí)體。

零信任網(wǎng)絡(luò)訪問(ZTNA)解決方案通常是零信任旅程的第一步。當(dāng)下，通常是云交付的服務(wù)，用于保護(hù)對(duì)私有應(yīng)用程序的訪問。ZTNA根據(jù)身份和策略安全地將授權(quán)用戶連接到特定的應(yīng)用——無需擴(kuò)展對(duì)公司網(wǎng)絡(luò)的訪問，也無需將應(yīng)用或其底層基礎(chǔ)設(shè)施暴露在互聯(lián)網(wǎng)上。其提供了一種應(yīng)用級(jí)別的劃分，允許網(wǎng)絡(luò)安全團(tuán)隊(duì)實(shí)現(xiàn)劃分級(jí)別，這是傳統(tǒng)解決方案(如內(nèi)部防火墻)幾乎不可能實(shí)現(xiàn)的。這最大限度地減少了網(wǎng)絡(luò)上的橫向移動(dòng)，并確保第三方只能在授權(quán)時(shí)訪問業(yè)務(wù)數(shù)據(jù)，而不能訪問網(wǎng)絡(luò)上的任何其他內(nèi)容。

通過與IDP和端點(diǎn)安全等技術(shù)的集成，合作伙伴試圖訪問應(yīng)用的上下文是恒定的。這允許IT團(tuán)隊(duì)設(shè)置自動(dòng)觸發(fā)器來撤銷訪問權(quán)限，并防止試圖進(jìn)行的安全攻擊。一些ZTNA服務(wù)還確保檢查私人流量，以便IT可以精確地確定每個(gè)合作伙伴訪問的內(nèi)容、可能下載的文件(以防止數(shù)據(jù)泄漏)，甚至使用的命令。

在定義ZTNA時(shí)，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)表示，它的目的是“消除信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確訪問決策的不確定性?！?/p>

ZTNA為任何設(shè)備提供了簡(jiǎn)化的、權(quán)限最低的訪問，同時(shí)減少惡意軟件漏洞。隨著企業(yè)采用零信任的方式，為第三方用戶部署ZTNA服務(wù)，許多企業(yè)也很快意識(shí)到將其價(jià)值擴(kuò)展到員工的好處。

事實(shí)上，Gartner預(yù)計(jì)，到2023年，60%的企業(yè)將用ZTNA解決方案取代遠(yuǎn)程訪問VPN。此外，到今年年底，向生態(tài)系統(tǒng)合作伙伴提供的80%的新數(shù)字商業(yè)應(yīng)用將通過ZTNA訪問。

毫無疑問，企業(yè)將繼續(xù)努力應(yīng)對(duì)不斷增加的網(wǎng)絡(luò)攻擊。

利用ZTNA服務(wù)，零信任冒險(xiǎn)的第一站，企業(yè)可以保護(hù)網(wǎng)絡(luò)和資源，擊退網(wǎng)絡(luò)攻擊者，最終使商業(yè)生態(tài)系統(tǒng)蓬勃發(fā)展。只是需要"零信任"的一點(diǎn)點(diǎn)幫助。