信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

目前，企業(yè)的零信任安全建設(shè)已從理論和技術(shù)探索階段，正式邁入了零信任的應(yīng)用實(shí)踐和快速發(fā)展階段。而根據(jù)NIST的定義：零信任安全是一種覆蓋端到端安全性的網(wǎng)絡(luò)安全體系，包含身份、訪問、操作、終端、與基礎(chǔ)設(shè)施環(huán)境。其中，端點(diǎn)安全將是企業(yè)零信任體系建設(shè)的重要部分。

由于端點(diǎn)設(shè)備承載著企業(yè)組織大量業(yè)務(wù)數(shù)據(jù)的產(chǎn)生、使用和流轉(zhuǎn)，隨著其應(yīng)用的多樣化和復(fù)雜化，特別是云上端點(diǎn)應(yīng)用的大量增加，導(dǎo)致了企業(yè)端點(diǎn)安全威脅態(tài)勢(shì)不斷惡化，企業(yè)安全運(yùn)營(yíng)團(tuán)隊(duì)面臨著比預(yù)期中更大的安全挑戰(zhàn)。

2023年，企業(yè)在零信任安全建設(shè)中，只有進(jìn)一步提升端點(diǎn)安全的防護(hù)能力，才能確保整體建設(shè)目標(biāo)的實(shí)現(xiàn)。在此背景下，傳統(tǒng)端點(diǎn)安全技術(shù)由于面臨全面性、兼容性、智能化等應(yīng)用挑戰(zhàn)，正在被新的防護(hù)需求與理念重新定義。企業(yè)應(yīng)該根據(jù)零信任框架要求和最小化訪問授權(quán)原則，推動(dòng)新一代端點(diǎn)安全的能力建設(shè)與應(yīng)用優(yōu)化。

01

確定身份優(yōu)先的安全原則

據(jù)CrowdStrike發(fā)布的《2023年全球威脅報(bào)告》指出：身份是組織最寶貴的資產(chǎn)之一，含有豐富的個(gè)人數(shù)據(jù)。目前，基于身份的端點(diǎn)安全攻擊激增。而確保身份安全是構(gòu)建穩(wěn)健零信任安全框架的核心。要在零信任環(huán)境下定義端點(diǎn)安全，首先要認(rèn)識(shí)到端點(diǎn)安全和身份管理系統(tǒng)融合的價(jià)值和必要性。每家企業(yè)的端點(diǎn)設(shè)備上都會(huì)有很多個(gè)數(shù)字身份，包括從端點(diǎn)訪問的應(yīng)用程序、API接口、平臺(tái)和使用者，以及設(shè)備本身的數(shù)字身份。

新一代端點(diǎn)安全方案，需要以實(shí)現(xiàn)身份安全作為優(yōu)先原則，在完善數(shù)據(jù)采集、提升數(shù)據(jù)質(zhì)量、增強(qiáng)數(shù)據(jù)分析能力以及在保護(hù)身份方面進(jìn)行更快速的創(chuàng)新。

02

實(shí)現(xiàn)持續(xù)的監(jiān)控和驗(yàn)證

實(shí)現(xiàn)端點(diǎn)設(shè)備的持續(xù)監(jiān)控和驗(yàn)證對(duì)于獲得可靠可擴(kuò)展的零信任框架至關(guān)重要，從端點(diǎn)設(shè)備上獲取的監(jiān)控?cái)?shù)據(jù)，對(duì)于識(shí)別潛在的入侵和破壞活動(dòng)非常寶貴。企業(yè)組織需要能夠?qū)崟r(shí)監(jiān)控、驗(yàn)證和跟蹤每個(gè)端點(diǎn)的安全運(yùn)行狀態(tài)，發(fā)現(xiàn)可能的安全威脅。在目前最新的端點(diǎn)安全方案中，都能夠?qū)崿F(xiàn)較完善的監(jiān)控管理服務(wù)，比例思科的SecureX和身份服務(wù)引擎（ISE），微軟公司的Azure Active Directory和Defender，CrowdStrike公司的Falcon平臺(tái)、Okta公司的Identity Cloud，以及Palo Alto的Prisma Access解決方案。

03

自動(dòng)化的漏洞管理與端點(diǎn)彈性

攻擊者會(huì)掃描企業(yè)擁有的每個(gè)端點(diǎn)設(shè)備，以發(fā)現(xiàn)其中沒有受到保護(hù)或配置錯(cuò)誤的薄弱端口。而研究人員發(fā)現(xiàn)，過度配置的端點(diǎn)與沒有實(shí)施任何安全措施的端點(diǎn)一樣易受攻擊。因此，需要為端點(diǎn)設(shè)備提供更大的彈性，來幫助緩解端點(diǎn)安全漏洞管理復(fù)雜和混亂的現(xiàn)狀現(xiàn)象。

根據(jù)零信任的理念定義，端點(diǎn)設(shè)備應(yīng)該能夠根據(jù)安全態(tài)勢(shì)變化自行關(guān)閉，并驗(yàn)證其核心組件的安全性，當(dāng)發(fā)現(xiàn)存在安全漏洞時(shí)，端點(diǎn)將能夠自動(dòng)執(zhí)行補(bǔ)丁版本控制，并在沒有人干預(yù)的情況下重置為經(jīng)過優(yōu)化的配置。在零信任的環(huán)境下，端點(diǎn)設(shè)備自動(dòng)化的漏洞管理與修復(fù)能力對(duì)于安全團(tuán)隊(duì)是不可或缺的，因?yàn)樗麄儸F(xiàn)在正面臨著時(shí)間緊張的問題。考慮到做好漏洞管理的重要性，采用數(shù)據(jù)驅(qū)動(dòng)的自動(dòng)化方法將會(huì)給企業(yè)帶來幫助。

04

端點(diǎn)隔離與攻擊面管理

以目標(biāo)為導(dǎo)向是零信任方面變得更強(qiáng)大的關(guān)鍵，其假設(shè)入侵和闖入活動(dòng)在任何情況下都會(huì)存在。而端點(diǎn)安全是企業(yè)零信任安全建設(shè)的第一道防線，攻擊者只要突破了一個(gè)端點(diǎn)，就有機(jī)會(huì)控制企業(yè)整個(gè)的信息化基礎(chǔ)設(shè)施及寶貴數(shù)據(jù)資產(chǎn)。

因此，在新一代端點(diǎn)安全建設(shè)中，需要通過應(yīng)用微隔離策略，端點(diǎn)設(shè)備的隔離和攻擊面管理。正如NIST的零信任框架所定義，微隔離是零信任的關(guān)鍵組成部分，其將網(wǎng)絡(luò)劃分為最小化的孤立網(wǎng)段，減小端點(diǎn)系統(tǒng)的攻擊面，并提高數(shù)據(jù)和業(yè)務(wù)資源的安全性。通過微隔離技術(shù)，企業(yè)還可以迅速識(shí)別和隔離網(wǎng)絡(luò)上的可疑活動(dòng)。在一些較先進(jìn)的微隔離技術(shù)方案中，可以將端點(diǎn)上的每個(gè)數(shù)字身份都視為單獨(dú)的實(shí)體，并根據(jù)上下文信息執(zhí)行訪問的細(xì)粒度策略控制，有效地防止了任何危險(xiǎn)的橫向移動(dòng)。

05

向一體化安全能力演進(jìn)

研究數(shù)據(jù)顯示，2023年的端點(diǎn)安全威脅正變得比CISO們預(yù)期的更具挑戰(zhàn)性，與此同時(shí)，很多企業(yè)還面臨安全預(yù)算縮減和提升投資回報(bào)率的要求。在此背景下，實(shí)現(xiàn)各種端點(diǎn)安全能力的融合才是真正保障客戶利益的最大化。在Gartner發(fā)布的《2022年端點(diǎn)安全技術(shù)成熟度曲線報(bào)告》中，也再次指出：傳統(tǒng)的單點(diǎn)式端點(diǎn)安全建設(shè)面臨巨大挑戰(zhàn)，需要向多種功能融合的UES方向邁進(jìn)，單獨(dú)的EDR、DLP、微隔離、EPP等安全防護(hù)功能最終會(huì)融入到一體化解決方案中，其本質(zhì)原因還在于端點(diǎn)安全需要立體化、縱深化、智能化防御，任何一方面的短板都會(huì)組織造成巨大的損失。

文章來源：安全牛編譯整理