在去年年底,我听到从长期企业接触,一个重大安全问题。该公司安装了三层安全和刚刚完成审计。显示,因为thIey就完成了安装有5个安全事故,而且他们所有人都是在自己的安全边界,绕过他们大部分的保护。
他们的问题是他们做错了什么,他们如何能修好它。
本公司经验丰富不罕见,和他们的问题的来源和路径修正远非容易。
我们倾向于认为安全作为一个目标,我们用一个简单的工具箱所能达到的水平。不是这样的。安全是你实现处理所有可能的威胁,和每一个威胁以自己独特的方式加以解决。问题可能来自黑客获得从外部应用程序或数据库,通过诸如偷凭证或利用弱身份验证。
他们也可以来自利用,错误在程序(应用程序、中间件、操作系统)可以用来触发恶意行为。最后,他们可以来自恶意软件,介绍了一些方法。组合的三个正越来越普遍。企业倾向于专注,因为我的联系人,在周边安全防御这些安全问题中的第一个。他们忽视了,或者我应该说underthought,最后两个。
解决其他两个问题并不意味着放弃周边安全,这意味着解决所有可能的来源问题,和我的联系的问题提供一些有关规则来提高安全的焦点。
规则一是构建一个墙是无用的如果你让门开着。大多数公司在保障员工设备太松懈,在我接触的大多数安全事件,是由被感染的电脑的问题。在他们的情况下,在家工作意味着他们扩展的公司VPN访问设备,不仅不安全,但没有检查。在可能的情况下,设备工作不应该用于私人目的,反之亦然。
两个规则是学习拉丁文,或者至少关键拉丁短语”,custodiet ipsos custodes”。自由翻译,这就意味着“谁会看看守自己吗?“监视、管理和安全工具经常有特权访问资源和应用程序,并在过去六个月我们有两个主要的安全问题与污染相关的这些工具SolarWinds违反和Log4j。这些问题证明的事情我们需要运行网络应用程序,和数据中心可以咬我们,所以我们要特别注意他们,让他们更新,看特立独行的行为。2020欧洲杯预赛
保持软件更新是应用这些规则的关键,不幸的是,这通常是企业的问题。桌面软件,特别是亲密,始终是一个挑战来更新,但集中的软件管理和定期审查系统可以帮助软件版本在家里。操作工具,不要尝试跳过版本的开源工具仅仅因为他们似乎发生了很多。包括一个版本是聪明的审查的关键操作软件作为你的整体计划的一部分的软件管理和仔细看看新版本至少每六个月。
即使所有这一切,这是不现实的假设一个企业能够预测所有可能构成的威胁所有可能的糟糕的演员。预防疾病是最好的,但治疗后症状出现是至关重要的,。最未充分利用的安全原则是防止不良行为意味着理解良好的行为。无论一个安全问题的来源,它几乎总是意味着什么是不应该做的事情。我们怎么知道的?通过观察不同的行为模式。这就是零信任,另一个大大滥用安全术语,应该。有时它是;通常这不是。
零信任到底是什么意思
没有什么比拍打一个标签的产品或服务。如果你看看zero-trust解决方案到底是什么,你会发现我们真的不甚至有共识的含义的概念。你怎么能相信一个无意义的或multi-meaning术语?我们想要从零信任行为的监控和控制。
我问我接触工人平均多少应用程序可以访问,和该公司无法得到答案。那么,可能公司知道工人,或者通过工人的笔记本电脑,窃取数据或污染操作吗?他们不知道什么是允许的,所以他们不能发现未经授权,这就是零信任。
zero-trust系统应该假设没有隐含的联系。连接权利是显式的,而不是宽容,信任属性的两个关键零安全和critiical行为监测和控制。
没人质疑与定义相关联的挑战不仅允许为每个工人连通性,而且连接管理和操作软件的要求,中间件,以及更多。这些困难是为什么企业往往无法接受真正的零信任安全为什么厂商可能使索赔没有交付所需的功能。是的,零信任,更多的工作,但没有,你不能避免它和真正的安全。
即使会议定义允许连接的挑战并不结束痛苦。零信任系统识别和杂志试图使未授权的连接。事实上,它的功能,使零信任很重要。几乎所有的inside-the-perimeter攻击将探索连接和资源寻找一些有趣的东西,和一个好的零信任系统将检测到这些探索和日志,这提醒公司这一事实是错误的。然后迅速的行动可以转危为安。
最好的方法来验证一些供应商提出零信任系统是看看如何应用它。很好支持分层框架分配连接权的事情,因为所有的工人在会计,例如,会计软件有可能共同连接权限。
很高兴有日志存储在一个方式,传统的异常分析,甚至AI工具可以检查它们,寻找模式。
最后,如果这似乎是一个很好工作,因为产品不需要太多的你可能会提供小的回报。创建连接权限和异常期刊安全至关重要,所以不要妥协这些功能只是有一个简单的时间。安全是很难的,但从安全问题中恢复更加困难。