界定保護範圍以大幅縮小攻擊範圍

771 people reacted 0 1 min. read
John Kindervag

By

Category: 未分類

Tags:

This post is also available in: English (英語) Deutsch (德語) 한국어 (韓語) Nederlands (荷蘭語) Türkçe (土耳其語) Español (西班牙語) Italiano (義大利語)

在網路安全方面,有一件大家都會關注的事情,就是界定需要保護的內容。我們的共識是要防禦攻擊,但是攻擊都有自己的目標。這個目標是什麼?

多年來,我們一直在努力縮小攻擊範圍,但攻擊範圍卻有點像宇宙一樣,不斷擴張。每項新技術都會帶來一系列新的問題和弱點。最值得注意的是,物聯網導致攻擊範圍大幅擴大。新發現的弱點 (例如晶片組攻擊的潛在弱點 Spectre 和 Meltdown) 導致幾乎每個現今的運算系統都淪為整個攻擊範圍的一部份。

零信任並不關注宏觀層面的攻擊範圍,而是確定需要保護的內容:盡可能縮小攻擊範圍或保護範圍。通常,零信任網路依據下列四項 (以首字母縮略詞 DAAS 表示) 的至少一項界定保護範圍:

  • 數據 (Data):需要保護哪些數據?
  • 應用程式 (Application):哪些應用程式使用敏感資訊?
  • 資產 (Asset):哪種資產最敏感?
  • 服務 (Service):哪些服務 (例如 DNS、DHCP 和 Active Directory) 遭入侵後可以用來破壞正常的 IT 運作?

所幸,保護範圍不僅規模比整個攻擊範圍小,而且很容易得知。您可能不知道目前的範圍應該多大,但是您一定能找到答案。大多數組織都無法真正界定攻擊範圍,因此嘗試滲透的攻擊者得以完成入侵。有許多方法可以入侵組織巨大的保護範圍。因此建立大型周邊安全方法的構想經證實無法取得成功。在舊的模型中,防火牆和入侵防禦技術等控制措施被推到網路周邊,盡可能遠離保護範圍。

零信任會界定保護範圍,將控制措施盡可能移動到保護範圍附近,以界定微型周邊。運用新世代技術作為區隔閘道,我們可以在第 7 層政策中進行網路區隔,並精確控制進出微型周邊的流量。實際上,極少數使用者或資源才需要存取環境中的敏感數據或資產。透過擬定有限、精確且易於理解的政策聲明,我們可以限制攻擊者成功發動網路攻擊的能力。