看看如何運用零信任策略來保護 ICS 環境,進而提升資安並降低風險。
零信任策略透過一些原則與優良的實務來提升 IT 基礎架構的安全與韌性,然而零信任是否可以為營運技術 (OT) 做些什麼?其實還蠻多的,只不過有些限制。
本部落格發表過一篇名為「IoT 與零信任 (Zero Trust) 不相容嗎?正好相反」的文章,開啟了各種有關哪些零信任元素可能適用於 OT 環境的探討。
儘管零信任架構的原則無法「一對一」對應到 ICS 基礎架構,但零信任有許多可實質提升 OT 基礎架構韌性及安全性的地方。本文將列出零信任的主要原則,接著再看看它們如何對應至 Purdue 模型。
隨著零信任 (Zero Trust) 方法逐漸獲得重視,越來越多的企業機構也開始希望將這套方法應用在自己的資安策略上。看看 XDR 與零信任如何相輔相成並改善您的資安狀況。
零信任 (Zero Trust) 正逐漸變成一個經常聽到的術語,但這其中仍有許多問題有待解答。例如:如何將它應用到您現有的基礎架構?這會不會讓原本就負擔沉重的資安團隊工作更繁重?零信任方法的具體效益為何?我們在一份報告當中回答了這些以及其他問題: 到底什麼是零信任?(What is Zero Trust? [Really])
很重要必須記住的一點是,零信任是一套哲學方法,並非安裝了某套產品一切就能搞定。不過,採用可支援零信任基本要素 (掌握狀態、持續評估、假設已經遭到入侵) 的資安工具,您確實可以改善整體的資安狀況。下圖摘要列出有助於達成零信任基本要素的一些工具:
所謂的「零信任」(Zero Trust,簡稱 ZT) 是一種網路資安的架構和目標,它的假設前提是:任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任。零信任網路資安策略看待網路的方式與傳統的資安觀念截然不同,傳統的觀念認為網路在被發現遭到入侵之前是安全的。
本文重點預覽:
在過去十年左右的時間裡,企業已經變得越來越數位化。現在,他們紛紛擁抱雲端架構、支援更多的遠距上班模式,並且在轉型的過程中導入了各種X即服務型態 (as-a-service) 的解決方案。為此,資安團隊也擴大了網路防護的規模,而且通常會將網路細分成多個較小的區域來提升安全。
但不幸的是,這樣的策略反而為駭客製造了更多機會。當駭客取得了使用者的登入資訊時,他們就能在網路內部四處遊走,並且一邊散播勒索病毒、一邊取得更高的系統權限。
多重認證 (MFA) 雖然可提升登入憑證的安全性,但也只不過是增加了一道額外的認證。駭客一旦登入,就能持續對系統進行存取,除非他們自己登出,或者系統將他們登出。
各種新的工作方式,包括:使用個人自備裝置 (BYOD)、遠距上班、雲端架構等等,都會帶來新的資安漏洞。但即使擁有更新、更強的網路資安防護,能夠提升企業網路邊界的可視性,但過了邊界之外就無法掌握。
繼續閱讀基於許多原因,IoT 一直是資安上的頭痛問題。那麼如何讓 IoT 成為零信任資安架構的一環呢?
基於許多原因,IoT 一直是資安上的頭痛問題。本質上,這些裝置本來就不能信任,因為它們通常無法安裝資安軟體,而且在設計之初也大多未考量到資安。還有,它們在網路上的存在感不高,因為看起來不像 IT 設備。之前,個人自備裝置 (BYOD) 也曾面臨類似的問題。不過,許多 BYOD 在外觀和運作上都很像企業 IT 設備,但 IoT 卻是一種截然不同且更難防護的設備。傳統的資安模型在面對 IoT 和 BYOD 時顯然力不從心。傳統的舊式架構擴充能力有限,所以才會讓一些新式的攻擊有機可乘,並且輕易地隨著 IT 向外拓展而移動。隨著越來越多 IT 和資安開始轉變成軟體定義的型態,零信任 (Zero Trust,簡稱 ZT) 被視為一種根本的解決之道,解決了資安上令企業困擾已久的問題。
乍看之下,ZT 與 IoT 似乎不相容,但是,這些本質上不能信任、所以也不安全的 IoT 裝置,卻是為何零信任架構對企業非常重要的最完美範例。
那麼如何讓 IoT 成為零信任資安架構的一環呢?
繼續閱讀