不要讓勒索軟件溜過零信任盲點

高楓

對于首席信息官來說，網(wǎng)絡罪犯似乎可以隨意攻擊，而且太容易得逞。為了應對日益增長的威脅，網(wǎng)絡安全專業(yè)人士對零信任（Zero Trust）達成了新的共識———這種防御方法基于這樣一種理解：網(wǎng)絡威脅可以起源于傳統(tǒng)網(wǎng)絡邊界以外或內(nèi)部的任何地方。因此，不應信任任何用戶、設備和流量，并應定期對其進行安全檢查和審查。

按照最低權(quán)限訪問、網(wǎng)絡微分段、快速事件檢測和響應以及全面安全集成的原則重新設計網(wǎng)絡防御，組織可以阻止大多數(shù)攻擊，并將那些確實通過攻擊的影響降到最低。

所以，問題解決了嗎？不完全是。雖然零信任毫無疑問代表了一個重要的進步，值得廣泛采用，但它不是魔法，也不是萬無一失的。事實上，在模型的大多數(shù)定義中，都存在一個固有的盲點：假設網(wǎng)絡流量完全可見，以確保它不會帶來風險。

實際上，Internet上的絕大多數(shù)流量都是用SSL或TLS加密的，使得傳統(tǒng)安全設備看不到它，也不受零信任策略的影響。

零信任可能會錯過什么

作為在線通信的基礎(chǔ)，加密一直是數(shù)據(jù)保護和隱私的福音，但它對安全的影響一直存在。

一方面，加密可以非常有效地防止欺騙、中間人攻擊和其他常見的exploit；另一方面，不能監(jiān)視、過濾或分析看不到的東西，所以任何隱藏在加密網(wǎng)絡流量中的勒索軟件或惡意軟件都不會被安全堆棧檢測到。

現(xiàn)在，近一半的惡意軟件使用TLS建立連接并與命令和控制服務器通信，一旦惡意軟件進入環(huán)境，受害者無法跟蹤或阻止正在進行的攻擊。

當然，安全廠商和許多首席信息官都很清楚SSL和TLS加密對網(wǎng)絡安全構(gòu)成的挑戰(zhàn)，因此，SSL和TLS解密已成為許多安全設備的共同特性。

不幸的是，這一過程的移動速度往往和機場安檢線一樣快，尤其是當有問題的設備沒有將加密作為主要功能設計出來，而且缺乏必要的硬件時。對于安全堆棧中的每個元素，這個過程也需要不斷重復，每增加一跳就會增加延遲。

這可能會顯著降低安全設備的性能，同時增加網(wǎng)絡延遲、瓶頸、成本和復雜性。而且，隨著每個后續(xù)安全組件（DLP、防病毒、防火墻、IPS和IDS等）為自己的目的依次對流量進行解密和重新加密，這種影響會成倍增加。

除了危及業(yè)務用戶和客戶的服務質(zhì)量之外，跨安全堆棧的分布式、循環(huán)解密、檢查和重新加密破壞了零信任模型核心的簡單性。

通過在多供應商、多設備安全基礎(chǔ)設施的多個位置部署私有加密密鑰，組織不可避免地擴大了攻擊面，在試圖降低風險的同時增加了風險。

實現(xiàn)零信任的完全可見性

零信任的前提是合理的。SSL和TLS加密的價值也是如此，我們需要在滿足現(xiàn)代業(yè)務性能需求的同時，讓它們在相同的體系結(jié)構(gòu)中共存。

解決零信任盲點的方法很簡單———關(guān)鍵在于簡單。與其在逐設備或逐跳的基礎(chǔ)上執(zhí)行解密、檢查和重新加密，組織應該集中此功能，并使用單一、專用、高性能的SSL和TLS檢查元素來一次性支持整個安全堆棧。

通過這種方式，流量可以被解密一次，由任意數(shù)量的單獨安全設備串聯(lián)進行檢查，然后在繼續(xù)進入或離開環(huán)境之前重新加密。雖然對性能可能仍有很小的影響，但它只是循環(huán)方法復合效果的一小部分，而且為零信任所需的全面可見性付出的代價很小。

當前的網(wǎng)絡犯罪浪潮需要CIO和CISO緊急應對。在當今高度分布式的環(huán)境、多孔的企業(yè)網(wǎng)絡和在任何地方工作的勞動力中，零信任提供了一種加強安全性的方法，但前提是它的模型能夠在不犧牲服務質(zhì)量的情況下完全實現(xiàn)。

對全面通信檢查的需要，常常迫使組織在安全與性能之間做出不可能的權(quán)衡。但是通過采用一種集中的方法來進行SSL和TLS檢查，CIO和CISO可以實現(xiàn)對業(yè)務需求的保護，以及他們的客戶所期望的性能。