信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

大多數(shù)企業(yè)的微隔離項(xiàng)目都失敗了，這給企業(yè)的零信任道路蒙上了陰影。如果說“配置錯(cuò)誤”是云安全的頭號(hào)威脅，那么“微隔離“就是決定零信任計(jì)劃成敗的決定性因素。

零信任是企業(yè)數(shù)字化安全轉(zhuǎn)型的必由之路，Zscaler《2023年零信任轉(zhuǎn)型狀態(tài)報(bào)告》指出，企業(yè)僅憑借防火墻和VPN等傳統(tǒng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施不可能實(shí)現(xiàn)安全的云轉(zhuǎn)型。

但企業(yè)的零信任之旅正面臨艱巨的挑戰(zhàn)，根據(jù)Garnter的報(bào)告，雖然90%遷移到云的企業(yè)正在采用零信任，但只有22%的企業(yè)有信心利用零信任的諸多優(yōu)勢(shì)并實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)型；Gartner預(yù)測(cè)，到2023年至少99%的云安全故障原因都是用戶錯(cuò)誤導(dǎo)致，在多云配置中能否正確進(jìn)行微隔離將決定零信任計(jì)劃的成敗。

微隔離是零信任的核心

微隔離指將網(wǎng)絡(luò)環(huán)境劃分為邏輯上的微小網(wǎng)段，并實(shí)施細(xì)粒度的安全策略，以最大限度地減少發(fā)生網(wǎng)絡(luò)攻擊時(shí)的橫向“爆炸半徑”。微隔離旨在隔離企業(yè)網(wǎng)絡(luò)中定義的網(wǎng)段，減少攻擊面的數(shù)量以限制橫向移動(dòng)。

Gartner將微隔離定義為“將安全策略插入同一擴(kuò)展數(shù)據(jù)中心內(nèi)任意兩個(gè)工作負(fù)載之間的訪問層的能力。微隔離技術(shù)可以定義細(xì)粒度的網(wǎng)絡(luò)區(qū)域，直至單個(gè)資產(chǎn)和應(yīng)用程序。”

在NIST的零信任框架中，微隔離被定義為零信任的主要組成部分之一，F(xiàn)orrester高級(jí)分析師DavidHolmes則指出：“全球2000強(qiáng)企業(yè)不可能完全拋棄物理網(wǎng)絡(luò)，對(duì)他這些企業(yè)來(lái)說，沒有微隔離的零信任不是真正的零信任。”

微隔離被業(yè)界看作是零信任的核心，但實(shí)施微隔離對(duì)于大規(guī)模、復(fù)雜的多云和混合云基礎(chǔ)設(shè)施配置來(lái)說是一個(gè)艱巨的挑戰(zhàn)。

隨著企業(yè)IT環(huán)境越來(lái)越多地轉(zhuǎn)向混合云和多云，微隔離的實(shí)施變得更加緊迫且復(fù)雜。因此，微隔離通常安排在零信任框架路線圖的后期階段，因?yàn)榇笠?guī)模實(shí)施微隔離通常需要比預(yù)期更長(zhǎng)的時(shí)間。許多CISO都選擇優(yōu)先實(shí)施一些“速勝”的零信任項(xiàng)目后，在零信任計(jì)劃的后期階段安排實(shí)施微隔離。

一些成功部署微隔離的CIO和CISO建議企業(yè)優(yōu)先采用零信任方法開發(fā)網(wǎng)絡(luò)安全架構(gòu)，專注于防護(hù)容易受到攻擊的身份、應(yīng)用程序和數(shù)據(jù)，而不是網(wǎng)絡(luò)外圍。而根據(jù)Gartner的預(yù)測(cè)，到2026年，實(shí)施零信任架構(gòu)的企業(yè)中有60%將采用不止一種微隔離部署形式（基于網(wǎng)絡(luò)、虛擬機(jī)管理程序或主機(jī)代理等），而2023年這一比例還不到5%。

人工智能是微隔離的“救星”

Forrester的調(diào)研發(fā)現(xiàn)，大多數(shù)微隔離項(xiàng)目都失敗了，因?yàn)楸镜厮接芯W(wǎng)絡(luò)是最具挑戰(zhàn)性的防護(hù)對(duì)象之一。大多數(shù)企業(yè)的專用網(wǎng)絡(luò)是扁平的，并且無(wú)法達(dá)到微隔離完全保護(hù)其基礎(chǔ)設(shè)施所需的級(jí)別。專用網(wǎng)絡(luò)越扁平，控制和縮小惡意軟件、勒索軟件和開源攻擊（包括Log4j、特權(quán)訪問憑據(jù)濫用和所有其他形式的網(wǎng)絡(luò)攻擊）的爆炸半徑就越具有挑戰(zhàn)性。

人工智能、機(jī)器學(xué)習(xí)以及基于私有大語(yǔ)言模型(LLM)的新型生成人工智能為微隔離帶來(lái)更高的準(zhǔn)確性、速度和規(guī)模，有助于幫助企業(yè)克服實(shí)施微隔離的挑戰(zhàn)。

企業(yè)可以用人工智能和機(jī)器學(xué)習(xí)技術(shù)自動(dòng)化手工任務(wù)，大大提高零信任計(jì)劃早期階段的成功率。企業(yè)還能用機(jī)器學(xué)習(xí)算法來(lái)了解如何優(yōu)化實(shí)施，通過強(qiáng)制執(zhí)行最低訪問權(quán)限保護(hù)每個(gè)身份，進(jìn)一步增強(qiáng)效果。

如今領(lǐng)先的微隔離方案提供商都在積極進(jìn)行研發(fā)和收購(gòu)，以進(jìn)一步增強(qiáng)其人工智能和機(jī)器學(xué)習(xí)能力。微隔離面臨的挑戰(zhàn)和機(jī)遇也吸引了大量網(wǎng)絡(luò)安全創(chuàng)業(yè)公司投身其中，例如AirgapNetworks、AppGateSDP、AvocadoSystems和Byos，這些公司采用差異化方法來(lái)解決企業(yè)的微隔離挑戰(zhàn)。

AirGapNetworks是2023年最值得關(guān)注的二十家零信任初創(chuàng)公司之一，該公司的無(wú)代理微隔離方法縮小了網(wǎng)絡(luò)上每個(gè)連接端點(diǎn)的攻擊面?？梢詫?duì)整個(gè)企業(yè)的每個(gè)端點(diǎn)進(jìn)行分段，同時(shí)將解決方案集成到正在運(yùn)行的網(wǎng)絡(luò)中，而無(wú)需更改設(shè)備、停機(jī)或硬件升級(jí)。

人工智能從七個(gè)方面改變微隔離

人工智能和機(jī)器學(xué)習(xí)可以在以下七個(gè)方面大幅提升微隔離的準(zhǔn)確性、速度和規(guī)模：

1 自動(dòng)化策略管理

微隔離最大的難點(diǎn)是手動(dòng)定義和管理工作負(fù)載之間的訪問策略。人工智能和機(jī)器學(xué)習(xí)算法可以自動(dòng)對(duì)應(yīng)用程序依賴性、通信流和安全策略進(jìn)行建模，IT和SecOps團(tuán)隊(duì)可以減少在策略管理上花費(fèi)的時(shí)間。人工智能在微隔離中的另一個(gè)理想用例是模擬政策變化并在執(zhí)行之前識(shí)別潛在的干擾。

2 更具洞察力的實(shí)時(shí)分析

實(shí)施微隔離的另一個(gè)挑戰(zhàn)是利用大量的實(shí)時(shí)遙測(cè)數(shù)據(jù)源，并將其轉(zhuǎn)化為統(tǒng)一的報(bào)告方法，從而提供對(duì)網(wǎng)絡(luò)環(huán)境的深度可見性?；谌斯ぶ悄芎蜋C(jī)器學(xué)習(xí)的實(shí)時(shí)分析方法提供了工作負(fù)載之間通信和流程的全面視圖。事實(shí)證明，基于機(jī)器學(xué)習(xí)算法的高級(jí)行為分析可以有效檢測(cè)東西向流量的異常和威脅。這些分析提高了安全性，同時(shí)簡(jiǎn)化了管理。

3 更自主的資產(chǎn)發(fā)現(xiàn)和隔離

人工智能可以自主識(shí)別資產(chǎn)、建立通信鏈路、識(shí)別攻擊行為并下發(fā)微隔離規(guī)則，無(wú)需人工干預(yù)。這種自主能力減少了執(zhí)行微隔離所需的時(shí)間和精力，減少了規(guī)則制定中出現(xiàn)人為錯(cuò)誤的可能性。

4 可擴(kuò)展的異常檢測(cè)

人工智能算法可以分析大量的網(wǎng)絡(luò)流量數(shù)據(jù)，從而識(shí)別異常模式。這可以實(shí)現(xiàn)可擴(kuò)展的安全措施，同時(shí)保持最佳速度。通過利用人工智能進(jìn)行異常檢測(cè)，微隔離可以擴(kuò)展到廣泛的混合環(huán)境，同時(shí)不會(huì)產(chǎn)生大量開銷或延遲，確保了在環(huán)境擴(kuò)展的同時(shí)保持安全有效性。

5 簡(jiǎn)化與云和混合環(huán)境的集成

通過人工智能技術(shù)識(shí)別優(yōu)化擴(kuò)展和策略執(zhí)行的障礙可以改善微隔離在本地、公共云和混合環(huán)境中的集成，在異構(gòu)環(huán)境中提供一致的安全態(tài)勢(shì)，消除攻擊者可能利用的漏洞，還降低了操作復(fù)雜性。

6 自動(dòng)化事件響應(yīng)

人工智能可以自動(dòng)響應(yīng)安全事件，從而縮短響應(yīng)時(shí)間。微隔離解決方案可使用經(jīng)過訓(xùn)練的機(jī)器學(xué)習(xí)模型來(lái)實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量和工作流程中的異常和惡意行為模式。這些模型可在正常流量模式和已知攻擊特征的大型數(shù)據(jù)集上進(jìn)行訓(xùn)練，以檢測(cè)新出現(xiàn)的威脅。當(dāng)模型檢測(cè)到潛在事件時(shí)，預(yù)定義的劇本可以啟動(dòng)自動(dòng)響應(yīng)操作，例如隔離受影響的工作負(fù)載、限制橫向移動(dòng)和向安全團(tuán)隊(duì)發(fā)出警報(bào)。

7 增強(qiáng)協(xié)作和工作流程自動(dòng)化

人工智能簡(jiǎn)化了團(tuán)隊(duì)協(xié)作并實(shí)現(xiàn)工作流程自動(dòng)化，減少了規(guī)劃、分析和實(shí)施所需的時(shí)間。通過增強(qiáng)協(xié)作和自動(dòng)化，人工智能優(yōu)化了整個(gè)微隔離生命周期，可以更快地實(shí)現(xiàn)價(jià)值并保持持續(xù)的敏捷性，從而提高安全團(tuán)隊(duì)的生產(chǎn)力。

總結(jié)：人工智能是微隔離成敗的關(guān)鍵

微隔離對(duì)于零信任架構(gòu)至關(guān)重要，但其擴(kuò)展的難度很大。人工智能和機(jī)器學(xué)習(xí)在幾個(gè)關(guān)鍵領(lǐng)域已經(jīng)展示出簡(jiǎn)化和加強(qiáng)微隔離的潛力，包括自動(dòng)化策略管理、提供實(shí)時(shí)見解、實(shí)現(xiàn)自主發(fā)現(xiàn)和分段等。

人工智能和機(jī)器學(xué)習(xí)技術(shù)帶來(lái)的準(zhǔn)確性、速度和規(guī)?？蓭椭髽I(yè)克服實(shí)施挑戰(zhàn)并提升微隔離能力，減少攻擊的“爆炸半徑”、阻止對(duì)手橫向移動(dòng)并幫助企業(yè)在復(fù)雜的多云環(huán)境中安全發(fā)展。