从许多方面来看,过去的一年都接二连三地出现坏消息:新冠疫情、经济放缓、就业岗位减少,最糟糕的是太多人丧生。 幸运的是,事实证明,美国体系的许多要素对这些挫折具有相对的抵御能力。 在此期间,发生了许多不同且有影响的网络安全事件,有些规模较小,有些则更具新闻价值。 SolarWinds 漏洞给网络安全界敲响了警钟,软件供应链漏洞不仅影响了最初的受害者,还影响了所有使用其软件的商业实体和联邦机构。 IT 组织仍在感受和计算这次攻击带来的痛苦,并将持续一段时间。 尽管这次攻击在 IT 界之外引起了轰动,但消费者层面感受到的损失却很小。 然而,事实证明,这次攻击不仅会影响整个技术,而且会直接影响美国公众。 殖民地输油管道事件暴露了我们的系统是多么的脆弱,以及攻击可能对美国社会造成广泛破坏的能力。 我知道,上周六我正在寻找汽油……
5 月 12 日《关于加强国家网络安全的行政命令》提出了如何减轻此类攻击的多管齐下的办法。 如下文所述,检测、报告、及时采取保护措施以及最终防御威胁的任何一项能力的失败,都会对是否能成功阻止威胁产生连锁反应。 换句话说: 攻击者只需正确一次。 网络安全专业人员需要始终正确。
零信任的概念已经存在了一段时间了。 联邦政府主要以TIC 3.0 现代化努力的形式引入零信任,其核心建立在零信任之上。 TIC 3.0 计划的出台是因为联邦机构需要允许联邦数据和服务通过云服务驻留在该机构的安全边界之外。 不幸的是,妥善保护云提供商和机构之间共享的敏感数据尚未达到可接受的风险阈值,最近的行政命令对此进行了谴责。
联邦政府必须能够从其合作伙伴处获取威胁数据,以掌握最新的安全威胁。 NIST 通过SP 800-207向解决零信任对联邦政府的意义迈出了重要的一步。
许多机构和公司的网络安全组织仍然存在盲点。 如果攻击无法被看到,就无法被检测、报告和缓解。 由于 SSL/TLS 在传统上被视为网络的安全/内部部分的激增,可见性已成为一个更大的问题,因为需要对所有数据传输进行加密。 此外,可见性对于零信任范式正常运行至关重要,因为零信任策略执行点 (PEP) 必须拥有所有必要的数据才能做出是否允许访问的正确决定。
威胁的可见性对于检测至关重要,其次是报告、监控和共享威胁情报的能力。 正确共享威胁情报可以提供一种机制来潜在地确认威胁或威胁带来的风险严重程度——更重要的是,它为网络安全分析师提供了量化新威胁所需的所有数据。
像CDM这样的举措已经进行了一段时间,以帮助实现威胁数据的整合和报告。 一些流程和威胁情报收集远远落后于要求的标准,特别是一些网络仍然存在明显的盲点。 这将对整个网络安全保护领域产生连锁反应。 最后,网络安全团队需要查看从客户端到应用的所有交易和数据,以便对可能的威胁提供最有意义的评估。 联邦合作伙伴生态系统中必须实现不受阻碍的威胁情报共享。 威胁情报共享对于检测软件供应链威胁也至关重要。
毫无疑问,新的威胁会出现,这将迫使网络安全团队部署额外的或新的保护措施。 问题是,网络安全团队能多快以安全、无中断的方式采取保护措施? 显然,检测和敏捷的能力现在对于提供适当的保护至关重要。 IT 正在经历重大转变,变得更加敏捷。 能够快速、安全地以更少的中断交付现代应用被称为 DevSecOps。 这种现代开发实践使组织能够更加灵活地以安全、无中断的方式采用网络安全保护。
云提供商实施的默认安全措施能够将内部部署安全性引入云环境,并成为云部署背后的驱动力。 尽管如此,云计算消费者往往还是坚信云提供商在网络安全方面会做“正确的事情”,同时将一定程度的数据和安全控制权交给提供商。 云提供商和机构之间的信息共享必须成为联邦合作伙伴生态系统的一部分,以提供更全面的安全性。
每个租户都必须达到更高的网络安全标准。 在此详细了解 F5 政府解决方案如何帮助达到并超越与最近的网络安全行政命令相关的安全级别。
作者:Ryan Johnson,F5 美国解决方案工程经理 联邦解决方案