在今日瞬息萬變的數位情勢下,企業面臨的資安挑戰越來越高,因此需要一種對企業更友善也更契合需求的方法。
零信任資安情境下的人機身分風險管理
在今日瞬息萬變的數位情勢下,企業面臨的資安挑戰越來越高,因此需要一種對企業更友善也更契合需求的方法。傳統的資安措施經常對企業的營運帶來不良效果。
不過,零信任 (Zero Trust) 資安的出現,為企業帶來了擁抱風險導向回應策略的契機,有效地降低了這些風險。身分的概念,是資安功能可否有效發揮作用的核心重點,也是確保交易及資料儲存準確、安全的關鍵要素。
身分以及不斷演變的人機角色
所有的資安功能基本上都是以身分為核心 ─「誰在什麼時候對什麼東西做了什麼事情」,這句話點出了身分在資安當中所扮演的關鍵角色。然而這句話的準確性與完整性,取決於其中每一段關於身分的描述是否準確而完整。確保這些身分敘述的完整,企業就能將風險管理流程自動化,並且對成果很有信心。
傳統的資安系統設計是假設機器的操作者對於機器所做的決定應該負起完全的責任。然而,隨著電腦的出現,以及人們對自動化流程的日趨依賴,這種以操作者為中心的模式已經越來越不合時宜。
當人員及其對應的帳號經常成為資安措施的主要對象時,人員只能代表他們在與機器互動時所進行的活動。在一個零信任部署環境中,很重要的一點就是要抱持著「機器是人員的代理」這樣的觀念。這種作法可讓企業對所有裝置套用資安規則並加以監控,將它們視為背後可能有不肖之徒正在操縱它們。
若將零信任環境中的機器視為人員的代理,那麼企業就能將資安措施延伸至環境中的所有裝置和系統,包括:使用者裝置、伺服器、IoT 裝置以及其他彼此互相連接的元件。企業可強制實施嚴格的存取控管,將機器視為潛在的駭客,對其套用一些行為數據分析,並持續監控是否出現可疑活動,或是偏離預期的行為。
像這樣的觀念轉變,能讓企業主動偵測及回應潛在的資安威脅,不論威脅是來自一般人員,或是被駭客入侵的機器。如此就能建立一種更周全、更嚴密的資安,因為資安措施可套用至裝置層次,進而降低未經授權的存取、資料外洩以及其他資安事件的風險。
在一個零信任部署環境內,認知身分對資安的重要,並且擁抱「機器是人員的代理」這樣的觀念,有助於提升資安措施的成效及全面性。而將所有裝置視為潛在的駭客,並且適當套用一些資安規則並加以監控,企業就能強化自身的風險管理流程,將資安控管自動化,防範人、機相關的資安威脅所帶來的風險。
將零信任套用至人機一體的作法
將所有帳號 (不論是人還是機器) 都當成機器/服務帳號來對待,可為零信任環境帶來架構上的彈性。這樣的作法讓企業對於不明的裝置、使用者、網路以及已知的對象套用一致的資安措施,不論其是否經常變動。
不過,協調一致的身分監測對於這套人機一體的方法能否運作至關重要。在 4G 及 5G 環境下,零信任管理可透過行動裝置的 SIM 卡再搭配額外的憑證來達成。
企業可在其零信任解決方案當中加入軟體物料清單 (Software Bill of Materials,簡稱SBOM) 來解決軟體相關的風險。所謂的 SBOM 是一份完整的清單,裡面列出企業基礎架構當中用到的所有軟體元件,包括內部自行開發的軟體與第三方/廠商提供的軟體。
在零信任環境當中導入 SBOM,企業就能建立一個基準狀態來偵測非預期的軟體行為。這個基準狀態包括了軟體的版本、相依性以及相關的數位簽章。任何偏離這個基準狀態的情形都可視為有潛在的資安威脅或者當成已遭入侵的徵兆。
在零信任解決方案中導入 SBOM 的一大優勢就是能夠監控非預期行為。企業可藉由持續監控軟體元件,並將其實際行為與預先設定的基準狀態相比,來偵測任何可疑活動或未經授權的變更。像這樣的主動監控,有助於事件回應人員與風險管理團隊提早發現潛在威脅,並採取有效的對應措施來防範風險。
不僅如此,SBOM 還有助於供應鏈元件的盤點,這對事件回應與風險管理至關重要。有了軟體元件的詳細盤點,企業就能追蹤每一個元件的來源,發掘供應鏈中的潛在漏洞或遭到入侵的環節。像這樣的盤點能力可提升事件回應能力,掌握各軟體元件之間錯綜複雜的關係,以及它們對企業整體資安的潛在影響。
最終,將 SBOM 融入零信任解決方案有助於企業更有效解決軟體相關的風險。建立一套軟體預期行為的基準狀態來方便監控任何異常狀況,企業就能迅速偵測及回應任何潛在的威脅。此外,SBOM 還有助於供應鏈元件的盤點,讓企業提升事件回應能力,防範軟體漏洞與入侵相關的風險。
建議
零信任資安提供了以監控為基礎的方法來持續檢查並交叉比對身分、評估行為風險,並與潛在損失和營收做比較。這套方法能提供以下改善企業資安的建議:
- 高階經理人責任與董事會治理的改變,需要導入零信任資安
隨著網路資安在今日數位情勢的重要性不斷提升,高階經理人與董事會成員都必須優先思考並了解零信任資安的重要性。包括將它列為一項策略重點,並且分配資源來加以落實。肯定零信任的價值並且將它納入治理框架當中,企業就能展現由上而下的決心,建立良好的資安實務。 - 零信任可協助企業達成政府與客戶對供應鏈韌性的要求
供應鏈越來越容易成為資安威脅的目標,而政府法規與客戶期待也越來越重視供應鏈的韌性。零信任資安方法能在供應鏈生態系內提供透明度、控管與信任。企業能展示其對供應鏈安全的決心,並透過嚴格的認證、持續的監控以及精細的存取控管來達成法規遵循要求。 - 零信任的營運風險管理自動化工具,可簡化資安管理並降低企業風險與整體持有成本
零信任資安框架提供了自動化工具來簡化管理流程。企業可將一些作業自動化來減少人為錯誤,改善營運效率,例如:身分驗證、存取控管以及威脅偵測。這樣的自動化可降低資安風險並減少管理複雜資安基礎架構的整體持有成本。 - 零信任帶來的資安管理簡化,能解決資安人才短缺的問題,將資安事件診斷交由初階或委外人員來執行
網路資安專業人才短缺對許多企業都是一項重大挑戰。零信任可緩解人才短缺的問題,簡化資安管理,將事件診斷的工作交由初階或委外人員來執行。有了簡化的流程、直覺的資安控管、自動化的監控,即使是經驗較少的人員也可以有效處理資安事件,發揮資源的最大效用,解決人才不足的問題。
以身分一致性為重心,並且妥善運用零信任的效益,企業就能建立一套嚴密的資安框架讓企業發揮最大功能並且盡可能降低風險。在一個日益動盪且資安威脅不斷演變的世界,採取一套精密、細膩、又符合成本效益的資安方法 (例如零信任) 是企業在面對各種新興挑戰時,維持韌性並邁向繁榮的必要條件。
準備讓您企業的資安更上層樓了嗎?請下載我們的完整報告「零信任:藉由降低資安風險來壓低業務風險」(Zero Trust: Enforcing Business Risk Reduction Through Security Risk Reduction) 來了解如何建置對企業友善的資安方法,裡面有我們的珍貴洞察與實務策略。看看零信任如何減輕負面衝擊、改善風險管理、保護數位資產。請點選此處立即下載!
◎原文出處:Human vs Machine Identity Risk Management 作者:趨勢科技