Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Nguyên tắc không tin cậy của NSA tập trung vào phân khúc

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 139

Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã đưa ra các hướng dẫn về bảo mật mạng không tin cậy trong tuần này, đưa ra lộ trình cụ thể hơn hướng tới việc áp dụng mô hình không tin cậy. Nỗ lực quan trọng là cố gắng thu hẹp khoảng cách giữa mong muốn và việc thực hiện khái niệm này.

Khi các doanh nghiệp chuyển nhiều khối lượng công việc hơn lên đám mây, các chiến lược điện toán không tin cậy đã chuyển từ giai đoạn được quảng cáo rầm rộ sang giai đoạn tận hưởng trạng thái của một phương pháp bảo mật thiết yếu. Nhưng dù vậy, khái niệm “không đáng tin cậy cho đến khi được xác minh” vẫn còn chậm để bắt kịp trong thế giới thực (mặc dù ở một số khu vực, chẳng hạn như ở Các Tiểu vương quốc Ả Rập Thống nhất,Việc áp dụng zero-trust đang tăng tốc).

John Kindervag, người đã người đầu tiên định nghĩa thuật ngữ “không tin cậy”  trở lại năm 2010 khi ông còn là nhà phân tích tại Forrester Research, đã hoan nghênh động thái của NSA, lưu ý rằng “rất ít tổ chức hiểu được tầm quan trọng của kiểm soát an ninh mạng trong việc xây dựng môi trường không tin cậy và tài liệu này đã đi một chặng đường dài hướng tới việc giúp các tổ chức hiểu được tầm quan trọng của chúng.” giá trị."

Hơn nữa, “nó sẽ giúp ích rất nhiều cho các tổ chức khác nhau trên toàn thế giới dễ dàng hiểu được giá trị của các biện pháp kiểm soát an ninh mạng và làm cho môi trường không tin cậy dễ dàng hơn để xây dựng và vận hành,” Kindervag, người năm ngoái đã gia nhập Illumio với tư cách là nhà truyền giáo chính của nó, nơi ông tiếp tục quảng bá, cho biết. khái niệm không tin cậy.

Trung tâm không tin cậy trên phân đoạn mạng

Tài liệu của NSA chứa vô số khuyến nghị về các phương pháp hay nhất về không tin cậy, bao gồm, về cơ bản, phân đoạn lưu lượng truy cập mạng để chặn các đối thủ di chuyển quanh mạng và giành quyền truy cập vào các hệ thống quan trọng.

Khái niệm này không mới: Bộ phận CNTT đã phân chia cơ sở hạ tầng mạng công ty của họ trong nhiều thập kỷ và Kindervag đã ủng hộ việc phân đoạn mạng kể từ báo cáo Forrester ban đầu của mình, trong đó ông nói rằng “tất cả các mạng trong tương lai cần phải được phân đoạn theo mặc định”.

Tuy nhiên, như Carlos Rivera và Heath Mullins từ Forrester Research đã nói theo cách riêng của họ báo cáo từ mùa thu năm ngoái“không có giải pháp đơn lẻ nào có thể cung cấp tất cả các khả năng cần thiết cho một kiến ​​trúc không tin cậy hiệu quả. Đã qua rồi cái thời các doanh nghiệp sống và hoạt động trong giới hạn của hệ thống phòng thủ mạng dựa trên vành đai truyền thống.”

Trong kỷ nguyên đám mây, zero-trust phức tạp hơn theo cấp số nhân để đạt được hơn nó đã từng. Có lẽ đó là lý do mà chưa đến một phần ba số người tham gia khảo sát ở Akamai Báo cáo năm 2023 về Tình trạng phân khúc từ mùa thu năm ngoái đã phân chia thành hơn hai lĩnh vực kinh doanh quan trọng trong năm qua.

Để giảm bớt phần nào khó khăn, NSA sẽ hướng dẫn cách thực hiện các biện pháp kiểm soát phân đoạn mạng thông qua một loạt các bước, bao gồm lập bản đồ và hiểu các luồng dữ liệu cũng như triển khai mạng do phần mềm xác định (SDN). Mỗi bước sẽ mất thời gian và nỗ lực đáng kể để hiểu những phần nào của mạng lưới kinh doanh đang gặp rủi ro và cách bảo vệ chúng tốt nhất.

Garrett Weber, CTO hiện trường của Nhóm Bảo mật Doanh nghiệp tại Akamai, cảnh báo: “Điều quan trọng cần ghi nhớ với Zero Trust là đó là một hành trình và phải được thực hiện bằng cách sử dụng phương pháp tiếp cận có phương pháp”.

Weber cũng lưu ý rằng đã có sự thay đổi trong chiến lược phân khúc. Ông nói: “Cho đến gần đây, việc triển khai phân khúc quá khó thực hiện chỉ với phần cứng”. “Giờ đây, với việc chuyển sang phân khúc dựa trên phần mềm, chúng tôi nhận thấy các tổ chức có thể đạt được mục tiêu phân khúc của mình dễ dàng và hiệu quả hơn nhiều.”

Tiến xa hơn với phân đoạn vi mô mạng

Tài liệu của NSA cũng phân biệt giữa phân đoạn mạng vĩ mô và vi mô. Cái trước kiểm soát lưu lượng di chuyển giữa các phòng ban hoặc nhóm làm việc, do đó, nhân viên CNTT không có quyền truy cập vào dữ liệu và máy chủ nhân sự.

Phân đoạn vi mô sẽ phân tách lưu lượng truy cập hơn nữa, do đó không phải tất cả nhân viên đều có quyền truy cập dữ liệu giống nhau trừ khi được yêu cầu rõ ràng. Theo báo cáo của Akamai, “Điều này liên quan đến việc cô lập người dùng, ứng dụng hoặc quy trình làm việc thành các phân đoạn mạng riêng lẻ để giảm thiểu hơn nữa bề mặt tấn công và hạn chế tác động nếu xảy ra vi phạm”.

Các nhà quản lý bảo mật “nên thực hiện các bước sử dụng phân đoạn vi mô để tập trung vào các ứng dụng của họ, nhằm đảm bảo rằng những kẻ tấn công không thể vượt qua các biện pháp kiểm soát bằng cách phá hoại đăng nhập một lần khi truy cập, sử dụng các tài khoản được tải bên cạnh hoặc tìm cách hiển thị dữ liệu cho người dùng bên ngoài,” Brian Soby, CTO và đồng sáng lập tại AppOmni cho biết.

Điều này giúp xác định các biện pháp kiểm soát bảo mật theo những gì cần thiết cho từng quy trình công việc cụ thể, như báo cáo của Akamai đưa ra. Các tác giả cho biết: “Phân khúc là tốt, nhưng phân khúc vi mô thì tốt hơn”.

Đó có thể là một nỗ lực phức tạp, nhưng nước trái cây rất đáng để thử: Trong báo cáo của Akamai, các nhà nghiên cứu nhận thấy rằng “sự kiên trì sẽ được đền đáp. Phân đoạn đã được chứng minh là có tác động thay đổi khả năng phòng thủ đối với những người đã phân đoạn hầu hết tài sản quan trọng của họ, cho phép họ giảm thiểu và ngăn chặn ransomware nhanh hơn 11 giờ so với những người chỉ phân đoạn một tài sản.”

Kindervag vẫn đang ủng hộ việc không tin cậy. Một phần sức hấp dẫn và tuổi thọ của nó là do đây là một khái niệm đơn giản dễ nắm bắt: mọi người và điểm cuối không có quyền truy cập vào các dịch vụ, ứng dụng, dữ liệu, đám mây hoặc tệp trừ khi họ chứng minh được rằng họ được phép làm như vậy — và thậm chí sau đó, có quyền truy cập chỉ được cấp trong khoảng thời gian cần thiết.

Ông nói: “Niềm tin là cảm xúc của con người. “Mọi người đã không hiểu điều đó khi tôi đề xuất lần đầu tiên, nhưng tất cả đều là về việc quản lý nguy hiểm, thay vì rủi ro và bịt các lỗ hổng trong hệ thống bảo mật của bạn.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.