全球視角和觀點(diǎn)：網(wǎng)絡(luò)安全

第三部分 建立新型零信任邊界

具備保障網(wǎng)絡(luò)安全的程和。制措施是成選步以及網(wǎng)絡(luò)數(shù)據(jù)規(guī)模的指數(shù)級(jí)增長(zhǎng)，安全網(wǎng)絡(luò)的標(biāo)準(zhǔn)已經(jīng)發(fā)生了根本性的變革，其中最具突破性的轉(zhuǎn)變是從“以位置為中心”升級(jí)為“以數(shù)據(jù)為核心”的安全模型架構(gòu)——我們稱之為零信任模型。本期是網(wǎng)絡(luò)安全系列報(bào)告的第三部分，國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）邀請(qǐng)到亞當(dāng)·科恩克（AdamKohnke）和胡里奧·蒂拉多（JulioTirado）共同探討零信任網(wǎng)絡(luò)安全模型這一話題，并就內(nèi)部審計(jì)職能如何應(yīng)對(duì)這一新的發(fā)展趨勢(shì)，轉(zhuǎn)變思維，為組織持續(xù)提供價(jià)值發(fā)表各自的觀點(diǎn)和看法。

一、何為 “零信任”

總的來(lái)說(shuō)，零信任安全框架要求組織內(nèi)外所有網(wǎng)絡(luò)用戶必須通過(guò)身份驗(yàn)證才能獲取訪問(wèn)組織應(yīng)用和數(shù)據(jù)的權(quán)限，并持續(xù)接受定期的動(dòng)態(tài)驗(yàn)證。正如其名，該系統(tǒng)摒棄了傳統(tǒng)的“信任”，或是更加具體的“信任但需驗(yàn)證”的理念，要求訪問(wèn)任何組織相關(guān)信息都需要接受持續(xù)驗(yàn)證，并基于組織相關(guān)政策進(jìn)行評(píng)估。

傳統(tǒng)的網(wǎng)絡(luò)模型都是依賴物理邊界，如防火墻或虛擬專用網(wǎng)絡(luò)（VPN）搭建的，而零信任模型是由一個(gè)更加自由的“網(wǎng)絡(luò)”構(gòu)成，可以是基于本地物理設(shè)施的，可以是基于云計(jì)算技術(shù)的全線上模式，也可以兩者兼而有之。全球性流行病疫情的暴發(fā)開(kāi)啟了遠(yuǎn)程辦公的時(shí)代，混合模式和完全的線上工作模式普及程度越來(lái)越高，因此有越來(lái)越多的組織將自身的網(wǎng)絡(luò)安全框架搭建在這種全新的網(wǎng)絡(luò)模式之下。

目前正式上線的零信任框架有：

1.美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的“800-207標(biāo)準(zhǔn)”。該框架自2021年起強(qiáng)制要求美國(guó)聯(lián)邦機(jī)構(gòu)采用。2.谷歌的零信任安全架構(gòu)（GoogleBeyondCorp）。3.微軟零信任戰(zhàn)略（MicrosoftZero TrustStrategy）。

4.美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）提出的“零信任成熟度模型”。

這些框架各有特色，但也有一些共同的基本原則。首先，這些框架都主張對(duì)各項(xiàng)資源的授權(quán)進(jìn)行持續(xù)驗(yàn)證；其次，這些框架都致力于盡量減少內(nèi)外部數(shù)據(jù)泄露事件造成的影響；最后，他們都選擇利用行為數(shù)據(jù)從信息技術(shù)的基礎(chǔ)設(shè)施中收集相關(guān)信息。

向零信任模型過(guò)渡是一項(xiàng)重大變革，但需注意的是，零信任模型的發(fā)展目標(biāo)不是完全取代現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，也無(wú)需組織舍棄現(xiàn)有的基礎(chǔ)設(shè)施，而是通過(guò)增強(qiáng)現(xiàn)有機(jī)制來(lái)提升網(wǎng)絡(luò)防護(hù)能力。零信任模型更應(yīng)被視為一種對(duì)傳統(tǒng)網(wǎng)絡(luò)防御系統(tǒng)的擴(kuò)展，從而提升組織網(wǎng)絡(luò)防御能力。

國(guó)際商業(yè)機(jī)器公司（IBM）數(shù)據(jù)顯示，2024年單次數(shù)據(jù)泄露的平均成本高達(dá)488萬(wàn)美元，且從發(fā)現(xiàn)問(wèn)題到遏制漏洞的平均周期長(zhǎng)達(dá)292天。顯然，傳統(tǒng)網(wǎng)絡(luò)防護(hù)系統(tǒng)已然處于力不從心的境地，組織應(yīng)予以重視并盡快推進(jìn)變革。

二、內(nèi)部審計(jì)的關(guān)鍵作用

盡管不同行業(yè)的組織面臨的問(wèn)題具體細(xì)節(jié)各不相同，但內(nèi)部審計(jì)具備獨(dú)特的優(yōu)勢(shì)和能力，能在零信任模型的落地實(shí)施和后續(xù)維護(hù)方面發(fā)揮自己的作用，通過(guò)內(nèi)部審計(jì)的評(píng)估工作，為組織在零信任模型領(lǐng)域提供更大的價(jià)值。

（一）確定受保護(hù)面

傳統(tǒng)的網(wǎng)絡(luò)安全模型，如防火墻和VPN，將工作重點(diǎn)放在界定和劃分組織網(wǎng)絡(luò)防護(hù)的邊界方面，目的是保護(hù)敏感數(shù)據(jù)和易受攻擊的信息和資源，使其遠(yuǎn)離網(wǎng)絡(luò)防護(hù)系統(tǒng)的邊緣。然而，零信任模型則是將其關(guān)注點(diǎn)從“邊界”轉(zhuǎn)向由數(shù)據(jù)、應(yīng)用、資產(chǎn)和服務(wù)構(gòu)成的數(shù)據(jù)處理系統(tǒng)（DAAS），統(tǒng)稱為“受保護(hù)面”。因而確保組織所有“受保護(hù)面”均被識(shí)別和妥善對(duì)待必將成為內(nèi)部審計(jì)評(píng)估工作的核心。

內(nèi)部審計(jì)職能部門在評(píng)估工作中應(yīng)重點(diǎn)審查組織的數(shù)據(jù)分類政策，確保系統(tǒng)和數(shù)據(jù)的合理分類，并對(duì)每類數(shù)據(jù)對(duì)應(yīng)保護(hù)政策的適當(dāng)性進(jìn)行判斷和評(píng)價(jià)。此外，涉及訪問(wèn)敏感數(shù)據(jù)的實(shí)體性資產(chǎn)也要納入評(píng)估范疇，要針對(duì)這些設(shè)施的保護(hù)工作建立相應(yīng)的流程和規(guī)范，確保其接觸授權(quán)被完整記錄，并對(duì)相關(guān)工作進(jìn)行定期評(píng)估。

（二）對(duì)交易流程圖繪制工作進(jìn)行審核和驗(yàn)證

確定“受保護(hù)面”范圍之后，內(nèi)部審計(jì)下一步的工作就是要確保利益相關(guān)方能夠理解DAAS之間的具體交互方式。信息技術(shù)團(tuán)隊(duì)需要具備詳細(xì)的文件和圖表，用于梳理復(fù)雜的端口網(wǎng)絡(luò)、網(wǎng)絡(luò)流量基線以及各項(xiàng)協(xié)議，從而對(duì)系統(tǒng)相互訪問(wèn)和獲取數(shù)據(jù)的具體流程以及可能導(dǎo)致的交互路徑進(jìn)行描述。

對(duì)于大多數(shù)組織而言，內(nèi)部審計(jì)職能可能并沒(méi)有具備足夠的知識(shí)和經(jīng)驗(yàn)來(lái)對(duì)信息技術(shù)團(tuán)隊(duì)的文件和圖表進(jìn)行審核和驗(yàn)證，但內(nèi)部審計(jì)可以與其他利益相關(guān)方或是值得信賴的第三方合作，通過(guò)開(kāi)展驗(yàn)證測(cè)試的方法確保這些內(nèi)容的充分性和準(zhǔn)確度，如信息技術(shù)團(tuán)隊(duì)提供的圖表中是否涵蓋了與DAAS相關(guān)的所有內(nèi)容，這些內(nèi)容是否詳盡，之前的工作流程中確定的網(wǎng)絡(luò)安全政策是否已經(jīng)得到了修正并補(bǔ)充了額外的控制措施等。

（三）對(duì)零信任政策的制定和持續(xù)改進(jìn)工作進(jìn)行評(píng)估

組織在制定零信任政策時(shí)，必須針對(duì)每個(gè)“受保護(hù)面”做出詳細(xì)的規(guī)定，并對(duì)以下問(wèn)題制定詳細(xì)的標(biāo)準(zhǔn)和規(guī)定。1.哪些人可以獲得組織DAAS系統(tǒng)的訪問(wèn)權(quán)限？2.有哪些應(yīng)用軟件可以獲得組織DAAS系統(tǒng)的訪問(wèn)權(quán)限？3.何時(shí)可以訪問(wèn)組織的DAAS系統(tǒng)？4.組織的DAAS系統(tǒng)位于何處？5.為什么要獲取組織DAAS系統(tǒng)的訪問(wèn)權(quán)限？6.組織DAAS系統(tǒng)的訪問(wèn)權(quán)限通過(guò)何種方式獲取？

在組織網(wǎng)絡(luò)系統(tǒng)不斷更新和擴(kuò)展的背景下，為了對(duì)組織零信任政策的相關(guān)性和有效性進(jìn)行評(píng)估，內(nèi)部審計(jì)職能部門需要與信息技術(shù)領(lǐng)域的利益相關(guān)方保持持續(xù)的交流互動(dòng)。零信任并不是建立組織網(wǎng)絡(luò)安全防線的終點(diǎn)，組織的安全戰(zhàn)略和對(duì)DAAS系統(tǒng)的保護(hù)要求內(nèi)部審計(jì)以及各利益相關(guān)方隨時(shí)跟進(jìn)戰(zhàn)略政策落實(shí)進(jìn)程，制定持續(xù)改進(jìn)的策略，以覆蓋網(wǎng)絡(luò)系統(tǒng)中隨時(shí)可能進(jìn)入、離開(kāi)或傳輸?shù)乃辛髁款愋汀?/p>

（四）對(duì)零信任政策相關(guān)基礎(chǔ)設(shè)施進(jìn)行監(jiān)督

持續(xù)監(jiān)控是零信任框架成功的關(guān)鍵。傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)一般都只關(guān)注與安全有關(guān)的各項(xiàng)參數(shù)，而零信任系統(tǒng)則是將用戶、設(shè)備和服務(wù)都納入了監(jiān)控的范疇，不僅要對(duì)網(wǎng)絡(luò)安全系統(tǒng)的性能進(jìn)行評(píng)估，還要識(shí)別所有接人設(shè)備，并對(duì)惡意接入的設(shè)備和異常情況進(jìn)行檢測(cè)。隨著移動(dòng)設(shè)備的普及，持續(xù)監(jiān)控不僅適用于本地服務(wù)，也應(yīng)逐步將移動(dòng)設(shè)備的管理納入監(jiān)控范疇。

監(jiān)控范圍不僅包括系統(tǒng)的實(shí)際使用情況，還需涵蓋用戶行為的各個(gè)方面，如常規(guī)工作時(shí)段和常用辦公地點(diǎn)等。

為滿足不同組織特定的網(wǎng)絡(luò)需求，市場(chǎng)上推出了多種監(jiān)控系統(tǒng)，通常情況下，這些系統(tǒng)都會(huì)將采集的數(shù)據(jù)傳輸至中央節(jié)點(diǎn)進(jìn)行分析，并依賴長(zhǎng)期積累的數(shù)據(jù)為交易量、資產(chǎn)通信和用戶活動(dòng)等變量建立“基準(zhǔn)”，以界定何種行為屬于正常行為。

通過(guò)評(píng)估，內(nèi)部審計(jì)人員可以確保組織

1.定期審查這些數(shù)據(jù)；

2.管理層切實(shí)承擔(dān)監(jiān)控責(zé)任；

3.最終形成的基線能真實(shí)反映網(wǎng)絡(luò)狀況。

對(duì)審計(jì)而言，關(guān)鍵在于治理。管理層必須明確自身在系統(tǒng)安全中扮演的角色，因?yàn)橄到y(tǒng)無(wú)法長(zhǎng)期自治，需要基于基準(zhǔn)定義的“正常”與“異?！睒?biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)行調(diào)整，而內(nèi)部審計(jì)對(duì)管理層的定期評(píng)估正是確立這一基準(zhǔn)的過(guò)程。

（五）建立“基準(zhǔn)”

無(wú)論是對(duì)于網(wǎng)絡(luò)安全的各個(gè)環(huán)節(jié)，還是風(fēng)險(xiǎn)管理的整個(gè)體系而言，都不存在放之四海皆準(zhǔn)的通用模型，因此，不同組織的內(nèi)部審計(jì)職能發(fā)揮的作用也會(huì)因具體情況而異，這不僅與組織的規(guī)模有關(guān)，也與組織對(duì)內(nèi)部審計(jì)職責(zé)權(quán)限的劃定有關(guān)。

因此，組織可以參考其他審計(jì)系統(tǒng)，為零信任網(wǎng)絡(luò)安全系統(tǒng)的評(píng)估基準(zhǔn)建立一套類似的保障流程。以《薩班斯·奧克斯利法案》為例，所有上市公司都必須梳理與財(cái)務(wù)報(bào)表有關(guān)的內(nèi)部控制節(jié)點(diǎn)，并制成控制矩陣，并對(duì)一定周期，如一個(gè)財(cái)年，設(shè)計(jì)測(cè)試的程序。類似的，對(duì)零信任網(wǎng)絡(luò)模型的審計(jì)也可以參考這一思路，可以將安全保障機(jī)制拆解為全年各階段的任務(wù)分類，并將組織規(guī)模和資源等因素納入考慮范疇。

組織零信任網(wǎng)絡(luò)安全模型方面的轉(zhuǎn)型至關(guān)重要，但無(wú)需急于求成，甚至可以在引入初期將其簡(jiǎn)化為一份控制措施清單，逐步推進(jìn)。內(nèi)部審計(jì)有責(zé)任推動(dòng)組織零信任網(wǎng)絡(luò)安全模型的實(shí)施和改進(jìn)，并利用各項(xiàng)網(wǎng)絡(luò)工具及時(shí)了解有關(guān)數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的具體情況，及時(shí)向利益相關(guān)方報(bào)告風(fēng)險(xiǎn)態(tài)勢(shì)和潛在影響，從而最大程度上發(fā)揮零信任模型的價(jià)值。

（六）基礎(chǔ)早已奠定

盡管零信任帶來(lái)了網(wǎng)絡(luò)安全理念的根本性變革，但一旦深入理解了零信任的本質(zhì)，內(nèi)部審計(jì)就會(huì)意識(shí)到，變革之后內(nèi)部審計(jì)的職能責(zé)任與過(guò)往相比并不會(huì)發(fā)生本質(zhì)的變化。零信任網(wǎng)絡(luò)系統(tǒng)的引進(jìn)本身并不會(huì)造成組織架構(gòu)或基礎(chǔ)設(shè)施的變革，最多只需引入某些商用工具，因此為其提供保障的審計(jì)系統(tǒng)也無(wú)需徹底改變。

事實(shí)上，識(shí)別風(fēng)險(xiǎn)、溝通問(wèn)題、提供確認(rèn)服務(wù)仍是所有審計(jì)工作的核心原則，這些職責(zé)在零信任環(huán)境下也不會(huì)發(fā)生任何改變。只要穩(wěn)扎穩(wěn)打、遵循《全球內(nèi)部審計(jì)準(zhǔn)則》并保持不斷學(xué)習(xí)的意愿，內(nèi)部審計(jì)有能力幫助組織順利完成零信任網(wǎng)絡(luò)模型的變革。

（翻譯：徐天然，單位：中國(guó)內(nèi)部審計(jì)協(xié)會(huì)）