零信任的未来会怎样？

虽然每一次勒索企图都可以让人们重新认识到更好地保护网络和敏感数据的重要性，但勒索软件和所有形式的网络攻击都可能对个人造成持久伤害和心理创伤，这一事实对于尚未踏上零信任安全之旅的任何组织来说都应该是一个重大警钟。 任何受托保管敏感个人信息的关键基础设施部门或组织都应融入零信任模型的核心原则。

不言而喻的是，如果我们没有在应用程序安全性方面领先几步，我们将在与网络犯罪分子及其新兴威胁策略的竞争中很快落后。 所以，我们现在就应该问自己：在零信任的情况下，未来会怎样？ 它将如何发展，不仅要应对不断变化的威胁形势，还要应对我们的数字世界和应用程序本身不断变化的性质？

为了回答这些问题，我与 F5 的两位安全专家进行了交谈： 杰出工程师 Ken Arora；以及产品开发高级总监 Mudit Tyagi。

这次 LVHN 违规行为确实让我思考组织如何实施 ZT 原则。 这几乎就像是一个清算的时刻，对于受到违规行为影响的消费者来说，一年的免费信用监控将不再起作用。 您是否认为如今企业面临的风险更高了？

穆迪特： 显然风险更高。 特别是受国家支持的黑客，他们拥有资金、技术资源和时间，来研究和发动针对企业和其他国家的高度针对性的攻击。 更不用说，破坏了社会总体稳定的局面。 我们记得 2010 年的 Aurora 事件，当时谷歌和其他美国公司的知识产权被窃取。 十年后的 2020 年，SolarWinds 供应链攻击被用作进入许多敏感网络的机制。 由于可能产生“高风险”影响，白宫发布总统令，要求所有政府机构遵守零信任原则。

肯: 我同意，随着时间的推移，曝光的范围只会增加。 这不仅是因为将会有更多数据可在网上获取，而且随着我们大规模采用人工智能，全新的漏洞类型也将暴露出来。 我要指出的是，围绕管理任何新技术的风险的社会治理总是需要时间。 例如，直到几年前，公司（特别是受监管行业的公司）才开始承担法律责任。 我们已经看到 Experian 和 T-Mobile 的损失总额超过 10 亿美元。 最近，我们看到，在存在重大疏忽的情况下，诸如 Uber 首席安全官之类的个人被追究个人责任。 这个例子也与医疗保健类似。 我认为这些发展使得安全专业人员更有责任遵循最佳实践，法律体系更有责任制定安全港指南。

鉴于当今的形势，您认为零信任的前景如何？

穆迪特： 从历史上看，谷歌在 Aurora 攻击之后推出了 Beyond Corp，作为零信任的早期体现之一，尽管这个想法更为古老。 如今，ZTNA 和 SASE 等产品已经出现，将零信任原则应用于用户和设备访问。 然而，必须付出更多努力在网络内部应用零信任原则，其中工作负载相互作用以实现业务流程和用户体验。 我们认为这是工作负载之间的零信任。 简而言之，与访问相关的方法试图阻止违规行为的发生，而工作负载级零信任则专注于最大限度地减少正在发生的违规行为的影响。

该行业难以实施遵循“假设违规”零信任原则的控制。 为了应对违规后的情况，工作负载需要“身份”，就像用户和设备一样。 并且应该持续监控这些工作负载，以防止网络中的恶意软件造成危害。 考虑到当今的移动劳动力和基础设施环境，这一点尤其重要，因为应用程序分布在私有云和公共云以及传统系统中。

由于零信任需要“假设违规”的心态，因此它需要的安全措施远不止访问控制。

肯: 确切地。 我们还必须包括威胁情报、安全信息和事件管理、持续诊断和缓解等等。 应用程序性质的变化和不断增长的人工智能驱动的流量要求我们不仅要对零信任采取整体方法，而且还要将这些原则应用于基础设施的新领域，例如工作负载本身。

正如 Mudit 指出的那样，零信任的核心原则早已为安全专业人士所知并内化——我指的是广义的安全，而不仅仅是网络安全。 最新版本 ZTNA 从根本上讲是将“始终验证”和“持续监控和评估”的原则应用于想要访问网络的用户和设备的身份。

我认为零信任应用于网络安全的下一个合理步骤将是： 1) 从网络访问升级到应用访问，意味着使用应用程序层的抽象和保护，而不是网络层的抽象和保护；2) 将零信任原则的应用从用户和设备扩展到工作负载。

为什么工作量如此之大？ 如果我们深入研究，那么我们是否也将零信任原则应用于开发实践本身（思考代码存储库等）？

肯: 简短的回答是：工作负载至关重要，因为它们是新的内部威胁。

考虑到云原生应用中的大多数代码都是在开源环境中在应用所有者组织的控制之外开发的。 用于开发该代码的软件实践的成熟度通常管理松散且记录不全。 代码导入后进行的测试主要是功能和性能相关的，而较少关注安全评估。 因此，大多数应用代码都是“隐式信任的”，而这正是零信任试图劝阻的行为。 并且这需要代码供应商的善意。 如果进一步考虑到有活跃的对手试图使用开源源代码作为后门，那么这将成为一流的威胁面。 顺便说一句，最近许多引人注目的攻击：log4j、SolarWinds 和 3CX 都是供应链攻击的例子，这些攻击超出了 ZTNA 和基于用户身份的安全解决方案的范围。

让我们暂时关注最后一点——源代码如何被用作后门。 这又回到了您之前关于零信任需要采取威胁情报、安全信息和事件管理、持续诊断等措施的观点。

穆迪特： 是的。 如果我们从“假设违规”开始，那么思考我们将如何看待安全是很重要的。 网络中心控制发挥一定作用；他们可以寻找通信来指挥和控制。 然而，我们的目标是阻止已经入侵的恶意软件成功造成危害。 当恶意软件开始工作时，它必须暴露自己。 当我们观察所有工作负载并了解其特征时，我们就能更好地检测与恶意软件活动相关的恶意工作负载。

MITRE 的研究人员为安全界做出了巨大贡献，他们创建了一个分类法，通过该分类法，我们可以从 MITRE ATT&CK 框架中描述的战术、技术和程序 (TTP) 的组合来理解大多数攻击。 他们还描述了一组有助于检测 MITRE D3FEND 框架中的 TTP 的对策。 该框架的一个重要部分是需要在该工作负载级别应用零信任原则的过程分析。

在开发周期中，使用静态application安全测试 (SAST) 和动态application安全测试 (DAST) 工具扫描构成工作负载的代码是否存在漏洞非常重要。 人们还可以通过在开发周期中构建低级工作负载特征（例如“系统调用”）的基线来准备实现工作负载级零信任。 有了这个基线，当工作负载在生产中运行时，检测和分析异常变得更加容易。 D3FEND 框架提出了一整套以强化为重点的对策，这些对策应该在开发周期内发生。

让我们来谈谈人工智能在安全方面的作用，特别是零信任方面的作用。 人工智能将带来哪些安全挑战和机遇？ 此外，ChatGPT 也频频出现在新闻中。 我看到有预测称，到 2026 年，90% 的互联网流量将由人工智能生成。 这会改变安全性吗？ 如果是，怎么办？

穆迪特： 自动化攻击已经很难防御。 攻击者可以不断改变攻击方式，从而给 SOC 带来很多干扰。防御者已经使用自动化来对抗这些自动化攻击。 即使我们了解了自动攻击的特征，误报仍然是一个大问题。 有了人工智能，模仿普通用户将比今天的自动攻击更容易。 这将使异常检测变得更加困难，并且需要非常复杂的上下文分析来尽量减少误报。

肯: 我认为人工智能将继续对安全产生巨大影响。 首先，它显然对坏人如何实施攻击以及防御者如何检测和补救这些攻击有很大的影响。 简而言之，猫捉老鼠的游戏将会持续下去，人工智能将以指数级的速度、更敏捷的方式代理人类可以手动完成的工作。

具体来说，当谈到 ChatGPT 时，我认为零信任的口头禅（不盲目信任）将在这里发挥作用。 正如 ZTNA 的前提是“不要盲目信任用户和设备”，并且应该扩展到工作负载一样，我认为 AI 内容生成将促使我们不要盲目信任内容。 从很多方面来看，这都与社会运作的方式有关；我们对特定内容的信任程度取决于这种信任来自哪里。 例如，我可能更相信来自我所在银行的关于支票完整性的声明，而不是来自街上随机人士的类似声明。 简而言之，数据归属很重要。 而且，随着人工智能生成更多内容，我们将看到这个在现实世界中存在已久的想法成为数字世界的一个重要考虑因素。

鉴于新威胁不断出现的速度不断加快，有关零信任未来的讨论将保持相关性——特别是在最大限度地减少内部威胁的影响和将零信任原则应用于工作负载方面。 随着越来越多的人工智能生成材料充斥互联网，行业对零信任的态度也必然会发生变化，我们也将在未来提供更多的观点。 感谢您的加入。
____

对于那些有兴趣进一步了解“假设违约”的人，请阅读 Ken 的最新文章。