博客 | 首席技术官办公室

好莱坞教会我关于零信任的知识

Ken Arora 缩略图
肯·阿罗拉
2022 年 5 月 5 日发布


如果我有机会——在某个另类现实或幻想的未来——设计星际舰队的计算机系统,我肯定会确保的一件事是武器系统不与生命支持子程序相连。 或者,如果我是外星人入侵部队的指挥官,负责接管地球——请注意,这是一个完全不同物种的星球——我会坚持采用生物特征认证,而不是密码或令牌。 最后,如果我的任何一位军官或宇宙飞船能够在万难关头奇迹般地“逃脱”绑架者,我一定会首先检查,确保他们没有携带任何特洛伊木马。

那么,这与零信任有什么关系? 你现在可能已经猜到了,好莱坞喜欢这样的故事情节:放弃几分健康的前期偏执,从而演绎出史诗般的后果。 而且,从我作为网络安全从业者的角度来看,同样的心态——保持健康的偏执——是零信任的核心。

那么,为什么我特别选择关注零信任呢? 我的动机是基于当今“零信任”一词的使用趋势。 回顾另一个电影制作轶事,这个故事发生在 80 年代末,当时好莱坞正在从传统的模拟技术过渡到音频、视频和后期处理编辑的数字标准。 在那个时代和地方,许多电影制作界的技术水平较低的成员并不理解“数字化”的真正含义,也不关心这个;相反,对他们来说,“数字化”一词实际上是“一流”的同义词。 结果——让我和他们一起工作的技术朋友很懊恼——制片人和导演开始询问灯光或布景结构是否是“数字化的”,而他们真正的意思是: “这是最好的灯光设计,还是最好的布景搭建?” 现在,回到今天,我经常听到 CSO 社区使用“零信任”,就像电影制片人在 1990 年使用“数字”一样。  

另外,我最近了解了西蒙·斯涅克 (Simon Sinek) 的“从为什么开始”框架。 这个框架,结合好莱坞对“数字化”早期的看法,以及电影如何根据安全(不当)实践创作故事的回忆,帮助我提炼出了一些关于零信任的想法。 零信任的核心就是我在开头提到的好莱坞故事情节的寓意:在关键系统的安全设计和运行中,放弃几分周到的网络防御,将会导致日后大量的妥协和痛苦。 类似地,在框架的核心“为什么”层面,零信任可以表述为以下信念:

一个。     始终明确验证谁”: 是试图与您的系统进行交互的参与者。

B.     默认为所需的最小权限: 一旦确定了身份,就只允许该参与者拥有与正在执行的特定业务交易的系统交互所需的权限,以及设计所枚举的必要权限。

C.持续监控和(重新评估: 身份验证和特权权利不应该是静态的、一次性的事情;相反,这些决定必须不断地评估和重新评估。

D.并且,假设您已经受到损害: 最后,尽管完成了上述三项,但假设一个老练的对手已经突破了防御。 因此,系统还必须考虑如何识别和隔离任何受损元素或身份,以及遏制和/或补救其对系统影响的策略。

简单地: 不要盲目信任,而要时刻核实。 并且只在需要的时候信任。 并不断评估。 并且不要以为你能够捕捉到所有迹象。 这就是零信任的‘原因’。

零信任

当然,“为什么”只是故事的一部分。 “如何”——即用来体现“为什么”产生的心态的技术和工具——是与实践者相关的另一个视角;它是上述信念的结果。 在这里,我将再次具体阐述,并结合当今网络安全从业人员现有的工具集:

  1. 验证: 任何与受保护系统交互的参与者都必须证明拥有某种身份,或者在某些情况下拥有一组身份 - 例如人类或自动化系统的身份,以及人类/系统所在设备或平台的身份,甚至可能是用于促进访问的浏览器或工具的身份。 零信任思维意味着任何此类证明都必须通过一种或多种方式进行验证或“认证”:共享秘密,令牌或证书,并且在更现代的系统中,还要通过观察和验证该行为者的行为模式。
     
  2. 访问控制: 一旦确定了身份,就应该为该身份分配一定级别的信任,具体体现为授予该身份的访问控制权限。 访问控制策略应该遵循最小特权原则,即授予的唯一权利是参与者在系统内履行其角色所需的最小集合。 理想的访问控制实现应该允许对授予的权限进行细粒度的指定,例如: 角色 允许访问 API <1>、<3> 和 <4>,以及对类 和 的对象的读取权限。 需要注意的最佳实践是,针对application资源的复杂访问控制场景应该在 API 后面抽象,而不是授予对对象、文件和网络资源的直接访问权限。
     
  3. 能见度: 转到思维模式的“监控”部分 - “持续重新评估”的先决条件 - 系统必须能够持续、实时地了解每个参与者的系统行为。 在这种情况下,“如果你没有看到它,它就没有发生”的说法是不言而喻的。 此外,收集到的“遥测数据”不仅必须可见,还必须可使用,即它必须存在于一个能够共享和情境化所报告内容的框架内。 这使得来自多个来源的数据能够有意义地组合和关联,从而实现更稳健、更高效的风险评估。
     
  4. 上下文分析,机器学习辅助: 上述可见性的动机是为了能够执行“不断重新评估”的原则。 在实施过程中,这一原则不仅需要可见性,还需要分析——通常需要跨多个数据源(需要前面提到的共享友好框架)近乎实时地进行分析。 为了做到这一点,持续评估通常需要人工智能机器学习系统的帮助,以检测行为异常的参与者,以识别任何可能的系统漏洞。 最后,强大的分析引擎应该能够提供比简单的二进制“是/否”更细致入微的答案——理想情况下,还提供风险评估以及相关的置信度分数。
     
  5. 自动风险感知补救: 最后,由于信念系统的一部分是一些老练的对手仍然会设法渗透到系统中,因此系统必须能够采取行动,以便更深入地监视并在需要时遏制和/或阻止此类行为或行为者。 系统的响应——从单纯的记录到更深入的检查,再到阻止试图采取的行为,甚至是欺骗可疑的不良行为者——必须在更高层次的业务环境中考虑。 误报或漏报的可能性和影响以及行动的业务风险都是这些考虑的一部分。 例如,仅当高度确信行为者是恶意网站抓取工具时,阻止浏览产品目录才可能是合适的,但对于可信度较低的银行交易,要求进行额外的身份验证可能是合适的。 最后,由于现代网络攻击的复杂性和速度,操作补救措施必须能够自动化,并根据意图驱动的目标来描述人类指定的策略。

“为什么、如何、什么”框架的最后一个方面是“什么”——即使用上述工具和技术可以实现哪些目标以及可以预防或减轻哪些类型的攻击。 对整个网络攻击的完整分类将成为未来文章的主题;但是,作为即将推出的文章的预览,这里描述的“为什么”和“如何”确实解决了一系列复杂的“高级威胁”。 举个例子,零信任思维可以解决勒索软件威胁,即使是由“受信任”的软件组件(又名“供应链攻击”)发起的。 具体而言,应application访问控制策略中体现的最小特权原则,将文件读/写权限仅限于需要该特权的参与者,从而防止文件资源加密。 此外,如果某个参与者(可能是具有文件写权限的现有软件组件受到攻击(使用前面提到的供应链攻击媒介))尝试对许多文件进行高速率数据加密,则持续的重新评估和分析应该能够在短时间内检测到异常行为,通过注意访问的文件跨度和访问速率可以发现这一点。 该检测与自动缓解相结合,可用于快速阻止此类活动。 

那么,回到我开始的那个平行世界…… 如果星际舰队的所有计算机子系统都按照最小特权原则运行,那么发射光子鱼雷的 API 就不应该被重力控制子系统调用。 而且,外星母舰的控制装置不仅会执行基于生物特征的 MFA,而且母舰的安全控制装置还会假设会发生违规行为,因此会持续监视和重新评估,检测飞过飞船的战斗机无人机的异常情况,并在异常无人机朝发动机核心飞去时减轻威胁。 上述几点关键的预防措施可以避免很多后续的闹剧——这对好莱坞来说是坏事,但对网络安全从业者来说却是好事。

要了解有关零信任相关广泛概念的框架、与现有业务背景的关系以及application业务领导者应秉持的安全思维的更多信息,请阅读我们的白皮书《零信任安全》: 零信任为何如此重要(不仅仅是为了访问)