博客 | 首席技术官办公室

采用零信任可实现机器人保护以及 Web 和 API 安全的三个原因

Lori MacVittie 缩略图
洛里·麦克维蒂
2022 年 10 月 12 日发布


如今,零信任是每个人都想加入的热门新趋势。 它是我们的《2022 年application战略状况》报告中确定的三大“最令人兴奋”的趋势之一,并且在过去的十二个月中一直在 Google 趋势中受到高度关注。

结果是,自“左移”进入房间以来,零信任成为最受关注和误解的安全方法之一。 人们常常将零信任等同于特定技术,例如软件定义边界 (SDP),或细分市场,例如身份和访问权限管理(IDAM)。

这其实并不奇怪。 当云计算刚刚推出时,我们也看到人们热衷于将具体的技术或产品等同于“热门新趋势”。 云洗是一种经常发生的事情,通常用来贬义某些新产品实际上的“云雾”。

因此,我有必要首先对零信任进行定义。 我将引用我的同事 Ken Arora 和 Mudit Tyagi 的话,他们已经就此主题发表了一篇出色的指南

“我们认为,零信任安全本质上是一种思维方式,一种信仰体系,技术和策略由此产生并利用特定技术,然后可以应用于应对广泛的安全威胁。”

这一点很重要,所以我要再重复一遍:零信任安全本质上是一种心态。

这种思维方式包含一系列假设,而技术的使用则是这些假设的结果

这意味着实施 SDP 或 API 安全之类的技术并不意味着您采用了零信任。 您部署的任何单一产品都不会突然意味着您符合“零信任标准”,从而免受攻击、破坏或漏洞利用。

事实上,SDP 和 API 安全实际上可能是采用零信任方法的适当战术响应。 但要达到这个目的,您需要从一些核心假设开始,然后决定从这些假设中逻辑得出的最佳工具和技术是什么。

为了充实这一点,让我们看几个例子,正如标题所说,这些例子让我们得出结论,机器人保护和 Web 和 API 安全是“零信任”工具箱的一部分。

  1. 零信任方法假设妥协。 事实上,拥有授权访问的合法用户可能会受到损害,因此会造成无意且代价高昂的威胁。 攻击者知道通过窗户(用户)进入通常比通过前门(公司网络)进入更容易。 用户时刻面临被攻击的威胁,因此假设他们已经受到攻击是最安全的做法。 受到感染的公司笔记本电脑或手机可能会采取多种行动,其中包括对试图共享恶意软件(包括恶意软件、勒索软件和后续软件)或利用漏洞获取访问权限的网站和应用程序发起攻击。 由于 API 增加了移动和基于 Web 的应用程序访问企业应用程序和系统的“方式”,因此检查来自合法、经过身份验证的用户的内容以确定其是否是恶意的变得非常重要。 这使得 Web 和 API 安全成为针对此风险实施保护的合理选择。

  2. 零信任 方法假设凭证是不够的。 无论用户是人、机器还是软件,零信任方法都假设即使提供了合法凭证,实际用户也可能不是合法的。 毕竟,撞库攻击是一个持续存在的问题,它利用的是合法但被盗的凭证。 众所周知,平均每天有 100 万个用户名和密码被泄露或被盗。 F5 的分析得出的结论是,任何被泄露的凭证列表中,0.5%-2% 的凭证在目标网站或移动应用上都是有效的。因此,零信任方法应采取措施,不仅要验证凭证,还要验证用户的身份。 这包括揭露伪装成合法用户的机器人。 从战术上讲,这导致机器人保护(也可以称为机器人检测)在零信任方法中发挥重要作用。

  3. 零信任方法假设变化是恒定的。 零信任拒绝这样的假设:一旦用户得到验证并被授权访问资源,就没有风险。 每笔交易都被视为有风险,并根据其承载的内容和发送交易的用户进行评估。 会话劫持是一种真实的攻击方法, 毕竟。 时刻警惕是(或应该是)零信任的座右铭,这意味着要时刻警惕恶意内容。 这使得 Web 和 API 安全以及机器人检测成为零信任方法的关键组成部分。

现在,这种方法还带来了其他工具和技术,如 SDP 和身份和访问控制、网络防火墙和 CASB,以及许多其他可减轻这些假设自然产生的已知风险的解决方案。 但你不能只实施其中之一,就说你的零信任计划已经完成。 这就像是服用泰诺来治疗断腿而不是去看医生一样。 是的,它可以减轻疼痛,但对于实际解决其余问题没有任何作用。

采用零信任作为一种导致缓解的思维转变并不完美——没有一种方法是完美的——但它将使您在适应能力更强的道路上走得更远,能够更快、更成功地应对新出现的攻击。

在外面要注意安全。

您可以在我们的书《数字业务的企业架构》的第 5 章中了解有关使用零信任方法实现安全性现代化的更多信息。