隨著零信任(Zero Trust)的日益普及,CISO 資安長必須關注整個組織中所有可能的盲點(無論是不受監控的物聯網裝置,還是第三方廠商系統),以確保攻擊者無法找到入侵的管道。
文/Maria Korolov‧譯/酷魯
採用零信任並不是抵禦網路攻擊的萬無一失方法。攻擊者一直在尋找規避零信任的新手法,這種情況經常發生,因為在使用零信任時並沒有考慮到組織環境中的所有一切。其中被忽視的風險包括既有舊系統、不受監控的物聯網裝置或存取權限的濫用。
零信任是一種網路安全的典型模式(實際上是一種安全理念),在零信任中,除非能證明可信任,否則每個使用者、每個裝置、每條訊息皆被認為是不可信任的。這是傳統基於邊界防護機制的一種替代方案,過去邊界防護機制下,外部的東西是不可信任的,而公司網路內部的東西則自動被認為是可信任的。換句話說,企業會有一個堅硬的外殼和一個柔軟的中心。
身處在一個邊界無處不在的時代裡,員工可能在家工作,也可能在辦公室工作,運算資源分佈在多個資料中心、雲端和其他第三方廠商之間,舊有的方法不再適用。零信任可說是當代回應這個問題的解決之道。而且每個人都參與其中。根據身分和存取管理方案商 Okta 2022 年所發佈一份針對 700 家公司的調查指出,高達 55% 的組織已經實施了零信任計畫,高於 2021 年的 24%,另外 97% 的組織計劃在未來 12 至 18 個月內實施零信任計畫。
但是零信任並非萬靈丹。據市調機構 Gartner 表示,到了 2026 年,超過一半的網路攻擊會將矛頭鎖定在零信任無法覆蓋和無法防範的領域。「零信任有兩個大問題。一個是範圍,比如既有老舊技術或「地下 IT」便不在防護範圍內。第二個大問題是,如今有許多能規避零信任控制機制的攻擊出現,」Gartner 分析師 John Watts 表示。
企業部署零信任的速度很慢
根據今年 3 月發佈的一項針對美國 400 名 IT 和網路安全專業人士的調查顯示,只有 19%的組織已經實施了零信任。與此同時,30% 的受訪者表示相關專案正在進行中,38% 的人表示仍處於規劃階段。這些估計可能過於樂觀。根據 Gartner 指出,只有不到 1%的組織擁有成熟、可衡量的零信任計畫,即使到了 2026 年,也只有 10% 的組織會實現這樣的計畫。
即使推出了零信任,也並不意味著所有安全問題都能得到解決。零信任有幾個盲點,包括不是為零信任而設計的既有舊系統、做了不當行為的權限使用者、不受監控的物聯網裝置及第三方廠商系統,當然,還有不論怎麼樣都一定會遇到的變更管理問題。
單靠零信任無法保護組織安全的5個領域
1. 既有舊系統
並非所有系統和應用程式都可以輕鬆地更新到零信任原則。例如,許多既有舊系統根本不具備所需的條件。保險經紀公司 PIB Group 成立於7年前,但自成立以來,它已收購了 92 家公司,其中大多數是保險公司同業。該公司員工也因此從 12 人激增到 3,500 人。PIB Group 資安長 Jason Ozin 說:「我們收購了很多平台,但這些平台都是由他們已另謀其他工作的親人撰寫開發的,所以不能提供後續良好的支援。」
即使是公司目前的 HR人力資源系統也不支援零信任機制,Ozin 指出。「它甚至不支援雙因素身分認證。儘管它會支援使用者名稱和密碼。它也會支援 IP 白名單。」但是,當每個人都居家辦公或在其他地方遠端工作時,IP 白名單就不再管用了。
該公司預計將轉換新的人力資源系統,但其他系統並沒有那麼快替換。在其他系統替換更新之前,Ozin 暫時採取了一個變通的方法。「我們能做的就是在其周圍設置安全防護層(wrapper)。你必須接受身分認證。包括驗證你是否從我們認識的地方來的?你是否有使用雙因素認證?」一旦透過了身分認證,該安全防護層才會允許將流量封包傳送到既有舊系統上。接著既有舊系統(例如當前的人力資源系統)將檢查 IP 位址,以確保它來自零信任平台。一些既有舊系統非常糟糕,甚至沒有使用者名稱和密碼,Ozin 無奈指出。「除了透過守門人機制(gatekeeper),沒人進得了該系統裡。」
儘管當 PIB 公司開始推出零信任時,新冠疫情全球大流行(Pandemic)已經結束,但全球大流行仍是轉向零信任的主要動力,同樣的,企業快速成長也是誘因之一。「我的計畫是擺脫我們現存每一個既有的舊系統,」Ozin 說。「但在現實中,這永遠不會發生。六年後如果我還在運行這些舊系統,我也不會感到驚訝。」
然而任何升級都需要資源和金錢。他表示:「我們決定從某些高風險項目開始著手。」
2. 物聯網裝置
Ozin 指出,其公司內部充斥許多物聯網裝置,「我甚至還有一些我完全不知道的物聯網裝置。」這是個問題,舉例而言,尤其是在某地方辦公室沒有事先與任何人商量就決定安裝門禁系統時更是個問題。「他們正在安裝該系統,然後那個人說:『我可以拿到存取網路的 Wi-Fi 金鑰嗎?』然後有人可能就把金鑰給了他們,」Ozin 說。
在所有 Wi-Fi 閘道上都沒有任何零信任機制的情況下,該公司正在使用一種變通辦法——為未經批准的裝置提供個別單獨的網路,身處該網路中就無法存取任何公司資料。PIB 公司也提供可以讓他們進行稽核的到位工具,以確保只有批准的裝置能連接主網路。
Gartner 的 Watts 也認為,物聯網和營運科技(OT)會給企業帶來許多安全挑戰。「對這些裝置和系統實施零信任的情形會更加困難。他們缺乏對身分的有力保證。」如果沒有使用者,那麼也就沒有使用者帳號,他說。「對於某些裝置是否應該在網路上,並沒有好的方法加以驗證。這變成了一個很難解決的問題。」
一些公司將物聯網和 OT 排除在零信任的範圍之外,因為他們無法解決這個問題,Watts 表示。不論如何,市面已有一些供應商能協助企業保護這些系統,他說。事實上,Gartner 已經發佈了一份保護網路實體系統的市場指南,其中包括 Armis、Claroty 和 Dragos。「然而一旦你實施了這些技術,你就必須更加信任這些供應商。如果他們自身出現安全漏洞和挑戰的話,那麼攻擊者就會找到弱點,」Watts 說。
3. 特定權限存取
內部威脅風險是所有公司都會面臨到的問題。面對享有特定權限之內部人員可能擁有存取敏感資源許可權的情況下,零信任將無用武之地,因為該員工是可信賴的。。
事實上,當前有其他的技術可以降低這樣的風險,Ozin 說。「即使有些人可能擁有所有權限,但他們會在淩晨 3 點突然上網嗎?」你可以把行為分析放在零信任的旁邊來掌握異常狀況。我們將其作為 EDR (Endpoint Detection and Response,端點偵測與回應)的一部分以及我們 Okta 登錄的一部分。我們還有一個防止資料外洩的安全計畫——以便對明明通常不會列印任何東西的員工,卻突然要列印 60 頁文件的異常狀態。
Gartner 的 Watts 表示,在實施零信任控制後,內部威脅是主要的剩餘風險(Residual Risk)。此外,透過社會工程手法,受信任的內部人員可能遭到誘騙而導致資料外洩,抑或讓攻擊者得以入侵系統。他表示:「在一個完美零信任的世界裡,內部威脅和帳號接管攻擊會是兩大風險。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
除此之外還有變臉郵件詐騙(Business Email Compromise,BEC),透過該攻擊手法能誘騙有權存取公司資金的人將資金匯給不法份子。「變臉郵件詐騙可說是一種深度造假手法,透過誘騙企業組織成員,要求他們將錢匯到另一個帳號,」Watts 說。「而且整個詐騙過程實際上都沒有觸及到你的零信任控制機制。」為了解決這個問題,公司應該限制使用者的存取權限,如此一來他們即使落入詐騙陷阱中,即使有損失也能降到最低。他表示:「對於一個擁有權限的帳號來說,想要止血會很困難。」使用者和實體行為分析可以協助偵測內部威脅和帳號接管攻擊。關鍵在於能智慧地部署這項技術,這樣誤報就不會妨礙人們完全做好自己的工作。
例如,異常活動可能觸發自適性控制(adaptive control),如將存取權限更改為唯讀,或封鎖對最敏感應用程式的存取。公司需要確保他們不會給太多的使用者過大的存取權限。「這不僅僅是一個技術問題。你必須要有支援它的人員和流程,」Watts 表示。
根據研究機構 Cybersecurity Insiders 的調查發現,47% 的人表示,在部署零信任時,員工存取權限過大是最大的挑戰。此外,10% 的公司表示所有使用者都擁有比他們實際所需更多的存取權限,79% 的公司表示部分或少數使用者有這樣的狀況,只有 9% 的公司表示沒有使用者擁有過多的存取權限。由調研機構 Dimensional Research 代表權限帳號存取管理方案商 BeyondTrust 進行的一項研究發現,63% 的公司回報,在過去18個月裡,有遭遇到與權限使用者或憑證直接相關的身分識別問題。
4. 第三方廠商服務
CloudFactory 是一家人工智慧資料公司,擁有 600 名員工和 8,000 名隨選型(On-demand)「雲端工作者」。該公司的安全營運長 Shayne Green 說,該公司已經完全採用了零信任架構。「我們必須這麼做,因為我們支援的使用者人數龐大。」
Green 指出,遠端工作人員使用 Google 身分驗證器(Google Authentication)登錄,透過該工具,該公司可以套用其安全政策,但有一個鴻溝存在。一些關鍵的第三方廠商服務供應商不支援單一簽入(Single Sign-On,SSO)或安全斷言標記式語言(Security Assertion Markup Language,SAML)的整合。這樣一來,員工就可以用自己的使用者名稱和密碼在未經批准的裝置上登錄,他表示。「一旦如此那就沒有什麼能阻止他們走出我們的安全視線了。」根據 Green 的說法指出,技術供應商已經意識到這是一個問題,但他們的進展顯得有些落後,需要加快步伐才行。
CloudFactory 並不是唯一一家在這方面出現問題的公司,但供應商的安全問題不僅僅和供應商到底使用了哪種身分驗證機制有關。例如,許多公司透過 API 向第三方廠商開放其系統。在確定零信任部署的範圍時,很容易忽略了 API。
你可以採用零信任原則並將其套用於 API,Watts 表示。這可以帶來更好的安全狀態 ─ 但僅限於一定程度上。「你只能控制你公開的介面,讓第三方廠商可以使用。如果第三方廠商沒有很好的控制,那麼這通常會成為你無法控制的事情。」當第三方廠商創建一個允許其使用者存取其資料的應用程式時,用戶端的身分驗證可能是一個問題。「如果它不夠強固,那麼很有可能會被竊取會話令牌(session token),」Watts 說。
公司可以對他們的第三方廠商供應商進行稽核,但是這些稽核通常是一次性檢查,或者是根據需要臨時進行的。另一個選項是部署分析,它可以提供偵測某個正進行的事情何以未被批准的能力。它提供了偵測異常事件的能力。Watts 說,被利用的 API 漏洞就可能顯示出這樣的異常事件。
5. 新技術及新應用
根據無密碼身分認證管理方案商 Beyond Identity 今年對美國 500 多名網路安全專業人士的調查指出,48% 的受訪者表示,處理新應用程式是實現零信任的第三大挑戰。新增新應用程式並不是公司想要對其系統進行的唯一變更。全球諮詢顧問公司 AArete 技術解決方案部門董事總經理 John Carey 表示,一些公司一直在努力改進處理程序,並改善溝通流程。「這與資料信任的概念不一致,資料信任為資料的自由流動設置了障礙。」
Carey 表示,這意味著如果零信任沒有得到正確的實施或設計,可能會對生產力造成衝擊。會發生這種情況的一個領域是人工智慧專案。公司有越來越多的選項來創建針對其業務進行客製化及微調的人工智慧模型,包括最近的生成式人工智慧。
人工智慧擁有的資訊越多,它就越有用。「對於人工智慧,你希望它能夠存取一切。這是人工智慧的目的,但如果它遭到入侵了,你問題就大了。如果它開始披露你不想要的東西,那會是很大的問題,」技術諮詢顧問公司 Star 技術總監 Martin Fix 說。
Fix 表示,當前出現一種名為「提示入侵」(prompt hacking)的全新攻擊媒介,惡意使用者試圖透過巧妙地提問來誘使人工智慧透露更多的資訊。他認為,一個解決方案得避免訓練通用人工智慧用來處理敏感資訊。相反的,這些資料可以單獨保存,並透過存取控制系統來檢查發問的使用者是否被允許存取這些資料。「結果可能還不如不受控制的人工智慧來得好。這需要更多的資源和管理。」
這裡的根本問題是,零信任改變了公司的運作方式。「供應商說這很容易。只要在你人員進入的邊緣所在設置安全措施即可。並非如此,這事實上並不容易。零信任的複雜性才剛剛開始顯現,」安侯建業(KPMG)美國零信任負責人 Deepak Mathur 說。這是零信任永遠不會談論的一個重大缺陷,他指出。當公司實施零信任技術時,必須進行流程變更。然而人們卻常常想當然爾地認為人們會修復流程。
(本文授權非營利轉載,請註明出處:CIO Taiwan)