采用零信任可实现机器人保护以及 Web 和 API 安全的三个原因

如今，零信任是每个人都想加入的热门新趋势。 它是我们的《2022 年application战略状况》报告中确定的三大“最令人兴奋”的趋势之一，并且在过去的十二个月中一直在 Google 趋势中受到高度关注。

结果是，自“左移”进入房间以来，零信任成为最受关注和误解的安全方法之一。 人们常常将零信任等同于特定技术，例如软件定义边界 (SDP)，或细分市场，例如身份和访问权限管理(IDAM)。

这其实并不奇怪。 当云计算刚刚推出时，我们也看到人们热衷于将具体的技术或产品等同于“热门新趋势”。 云洗是一种经常发生的事情，通常用来贬义某些新产品实际上的“云雾”。

因此，我有必要首先对零信任进行定义。 我将引用我的同事 Ken Arora 和 Mudit Tyagi 的话，他们已经就此主题发表了一篇出色的指南：

这一点很重要，所以我要再重复一遍：零信任安全本质上是一种心态。

这种思维方式包含一系列假设，而技术的使用则是这些假设的结果。

这意味着实施 SDP 或 API 安全之类的技术并不意味着您采用了零信任。 您部署的任何单一产品都不会突然意味着您符合“零信任标准”，从而免受攻击、破坏或漏洞利用。

事实上，SDP 和 API 安全实际上可能是采用零信任方法的适当战术响应。 但要达到这个目的，您需要从一些核心假设开始，然后决定从这些假设中逻辑得出的最佳工具和技术是什么。

为了充实这一点，让我们看几个例子，正如标题所说，这些例子让我们得出结论，机器人保护和 Web 和 API 安全是“零信任”工具箱的一部分。

1. 零信任方法假设妥协。 事实上，拥有授权访问的合法用户可能会受到损害，因此会造成无意且代价高昂的威胁。 攻击者知道通过窗户（用户）进入通常比通过前门（公司网络）进入更容易。 用户时刻面临被攻击的威胁，因此假设他们已经受到攻击是最安全的做法。 受到感染的公司笔记本电脑或手机可能会采取多种行动，其中包括对试图共享恶意软件（包括恶意软件、勒索软件和后续软件）或利用漏洞获取访问权限的网站和应用程序发起攻击。 由于 API 增加了移动和基于 Web 的应用程序访问企业应用程序和系统的“方式”，因此检查来自合法、经过身份验证的用户的内容以确定其是否是恶意的变得非常重要。 这使得 Web 和 API 安全成为针对此风险实施保护的合理选择。
   
   
2. 零信任 方法假设凭证是不够的。 无论用户是人、机器还是软件，零信任方法都假设即使提供了合法凭证，实际用户也可能不是合法的。 毕竟，撞库攻击是一个持续存在的问题，它利用的是合法但被盗的凭证。 众所周知，平均每天有 100 万个用户名和密码被泄露或被盗。 F5 的分析得出的结论是，任何被泄露的凭证列表中，0.5%-2% 的凭证在目标网站或移动应用上都是有效的。因此，零信任方法应采取措施，不仅要验证凭证，还要验证用户的身份。 这包括揭露伪装成合法用户的机器人。 从战术上讲，这导致机器人保护（也可以称为机器人检测）在零信任方法中发挥重要作用。
   
   
3. 零信任方法假设变化是恒定的。 零信任拒绝这样的假设：一旦用户得到验证并被授权访问资源，就没有风险。 每笔交易都被视为有风险，并根据其承载的内容和发送交易的用户进行评估。 会话劫持是一种真实的攻击方法， 毕竟。 时刻警惕是（或应该是）零信任的座右铭，这意味着要时刻警惕恶意内容。 这使得 Web 和 API 安全以及机器人检测成为零信任方法的关键组成部分。

现在，这种方法还带来了其他工具和技术，如 SDP 和身份和访问控制、网络防火墙和 CASB，以及许多其他可减轻这些假设自然产生的已知风险的解决方案。 但你不能只实施其中之一，就说你的零信任计划已经完成。 这就像是服用泰诺来治疗断腿而不是去看医生一样。 是的，它可以减轻疼痛，但对于实际解决其余问题没有任何作用。

采用零信任作为一种导致缓解的思维转变并不完美——没有一种方法是完美的——但它将使您在适应能力更强的道路上走得更远，能够更快、更成功地应对新出现的攻击。

在外面要注意安全。

您可以在我们的书《数字业务的企业架构》的第 5 章中了解有关使用零信任方法实现安全性现代化的更多信息。