采用基于风险的安全方法需要我们对安全和数字资产的看法做出重大转变。 但鉴于数字威胁的快速发展以及现有安全模型无力缓解(更不用说跟上)这些威胁,这种转变是必要的。
传统企业架构框架在创建时并没有考虑到安全性。 确实,安全性一般都是事后才想到的,主要是在被动模型中发展起来的。 也就是说,不良行为者发起了攻击,而供应商和技术领导者则针对这些攻击制定了缓解措施。 这是数字化转型的本质所决定的。 在早期阶段,重点是通过应用提高生产力和效率。 这些应用大部分是固定和静态的,驻留在独立的数据中心。 在互联网时代到来之前,数据中心没有入口点,因此受到外部攻击的风险很小。
在最初的形式中,安全性侧重于保护在技术堆栈的最低层(即网络)上暴露在互联网上的应用。 每秒过多的数据包表明存在某种拒绝服务攻击。 安全响应? 防火墙能够阻止攻击的源头。 端口和协议成为安全策略的基础,阈值基于尝试使用某些应用的数据包的数量和速度。 此阶段的安全重点是使用简单、静态的规则阻止攻击,从而防止破坏。
面对强大的防御,攻击迅速演变。 随着应用变得越来越丰富、功能越来越强大,攻击者很快就发现了软件堆栈中的漏洞。 业界开始发现攻击隐藏在用户与应用之间交换的消息负载中,每次攻击都试图利用一些已知漏洞,从而导致中断、提供未授权访问或泄露数据。 安全行业再次对这些新形式的攻击做出回应,构建了能够检测和消除嵌入式攻击的解决方案。 此阶段的安全重点是检测和消除交易中嵌入的攻击。
随着数字经济的扩张,深入到我们生活的各个方面,攻击者的机会也随之扩大。 数据的价值以及对消费者和企业账户的访问权正在呈指数级增长。 据估计,Steam、EA Sports 和 Epic 等公司每月有数千个视频游戏账户“被盗,大量账户数据库在私人 Telegram 频道上以 10,000 至 40,000 美元的价格进行交易”( BitDefender )。 如今,账户盗用现象在各行各业都十分猖獗,从游戏到金融,从医疗保健到政府服务。 2021 年,欺诈行为使美国政府损失了约 870 亿美元的联邦福利( CNBC )。 损失主要归因于疫情失业计划,该计划主要通过数字服务运作。
除了现有的针对网络服务和应用的攻击外,安全行业现在还必须应对针对业务流程(例如登录服务或购买产品)的攻击。 传统的检查和评估方法无法检测针对合法业务流程的攻击。 这些不是漏洞,也不会受到协议攻击。 这些过程暴露为一种数字化能力,很容易被那些有能力获得(或有钱购买)正确凭证的人所利用。
保护流程的工具还必须能够区分软件和人类消费者。 由于软件(如机器人)既被追求效率的消费者使用,也被寻求优势的攻击者使用,这一现实使得这项任务变得更加困难。 安全必须再次发展,这一次必须转向风险管理。
采用风险管理方法并不意味着放弃之前的安全措施。 确实,针对技术堆栈每一层的攻击都是持续存在的,必须予以解决。 风险管理方法并不排除使用技术来防止容量耗尽攻击或恶意内容传播的攻击。 风险管理方法不注重实施 详细说明如何识别威胁和确定风险。
通过以基于风险的思维方式来处理安全问题,组织可以避免对攻击做出疯狂的反应。 相反,他们可以慎重做出符合业务成果的安全决策,并考虑企业的风险承受能力。
当今的数字企业通过现代应用提供数字体验来与客户和合作伙伴建立联系。 因此,应用的保护对于安全现代化的任务至关重要。 这些应用(以及在下一个粒度级别上作为其构建块的工作负载和服务)通过以某种方式创建、丰富和/或提供对企业数字资产的访问来实现价值;因此,它们是现代安全思维的焦点。 当今人们通常所说的网络安全,主要侧重于对应用和 API 的保护,这些应用和 API 可以将各类用户与推动数字业务发展的数字资产连接起来。
技术领导者非常了解实施被动和主动安全所需的工具和技术。 问题是: “您如何将您的组织转变为一种主要依赖身份和资产的风险评估方法?”
这一转变有两项核心技术:身份验证和访问控制。 身份验证为身份组件提供策略,而访问控制提供数字资产的治理。
身份验证本质上是确定和验证应用消费者身份的过程。 过去,这些人主要寻求访问位于私有数据中心的单体应用。 因此,所有身份验证系统和服务都可以驻留在同一个数据中心内。 如今,现代应用使用分布式架构和公开的 API;因此,身份验证必须不断发展。 现在,身份验证不仅必须识别人类消费者,还必须识别自动代理等人类代理。 此外,由于分布式应用是由来自多个云的服务组成的,因此身份验证必须存在于联合的跨企业身份存储的世界中。 简而言之,虽然身份验证仍然是基本防御的核心要素,但当今数字服务的扩展性质要求对身份和身份验证方式有不断发展的看法。
访问控制一直是、并且仍然是确定谁或什么可以访问企业资源的过程。 但是,与身份验证一样,访问控制所需的功能也随着企业应用的发展而发展。 访问控制最初是在网络层;潜在的应用消费者要么位于网络 IP 地址定义的边界“内部”,要么位于“外部”。 但今天,随着移动消费者访问跨多个交付点交付的分布式应用,已经不存在一个明确、静态的边界来定义内部与外部的概念。 因此,访问控制必须根据用户身份进行,通过身份验证进行验证。 现代应用消费者不再可以根据网络位置进行区分,而是根据其身份进行分类。
这些技术与所有关键数字资产的完整清单相结合,可用于执行有关允许访问特定资产的风险的决策。 这些决定基于对这些资产如何暴露的理解,以及这些资产应该或不应该暴露给谁。
因此,现代化安全的第一步是创建或增强资产清单,重点关注访问这些资产的方式和原因。 此外,技术领导者应该记住,应用是访问所有数据的主要手段,因此库存还应该能够将资产映射到与其交互的应用。
接下来,技术领导者需要与业务领导者合作,为关键资产建立风险/回报状况。 最终的风险/回报状况应该使安全行动与业务成果保持一致。 例如, AiteNovarica 的研究告诉我们,“商家因错误拒绝而损失的收入比因欺诈而损失的收入高 75 倍”,因此所谓的错误拒绝的风险可能超过允许交易的风险。
因此,应根据组织的风险承受能力允许或拒绝与该交易相关的互动。 可能影响决策的因素包括交易的价值和与用户合法性相关的确定性。 系统是否有 50% 的把握该用户是合法的? 更确定吗? 较少的? 每个组织将确定其风险承受能力,并根据该承受能力调整其配置文件以在这些限制范围内应用安全性。 风险/回报概况指导人类和系统确定如何应对潜在风险。 更厌恶风险的组织会倾向于提高风险权重,并采取控制措施来避免风险。 相反,风险容忍度较高的组织会将奖励作为决定如何应用安全控制的更大因素。
这里的粒度——交易级别的评估——意味着能够持续评估数字交互并根据根据政策评估的实时环境调整安全决策。 这种方法是零信任方法的一项关键功能,用于执行决策的关键技术也是如此:身份验证(谁)和访问控制(什么),正如本白皮书“零信任安全”中所述: “零信任为何如此重要(不仅仅是为了访问) 。”
持续评估数字交互的能力取决于企业级数据和可观察性策略 - 即,组织有一个策略并且正在朝着实现全栈可观察性的方向发展,如果它没有将数据集中在单个商店中,那么还要有一种连接和关联不同商店之间交互的方法。
因此,风险管理的转变围绕着采用三种特定技术:身份、可观察性和访问控制,以及管理执行的总体零信任方法。
数字业务的一项关键能力是安全性——其数字资产、数据以及客户的财务和个人信息的安全性。
在数字化业务中,几乎所有交互都是以数字化方式进行的,因此安全性应该成为业务的一等公民,对于 IT 而言,也是企业架构的一等公民。 对于大多数人来说,这意味着评估安全实践、工具和政策(许多都是以临时方式实施的,以应对不断上升的攻击和新出现的威胁),并着眼于它们在主要的数字环境中是否仍然具有相关性。 需要采取更加慎重、全面的方法来充分保护组织在数字经济中蓬勃发展所需的所有数字资产和互动。
当组织以企业架构的形式建立其技术基础时,并没有考虑到数字化业务运营的许多方面。 安全性是未充分考虑的方面之一。
随着我们快速迈向数字化世界,企业有必要实现 IT 现代化,以支持和实现未来蓬勃发展所必需的变化速度和数据驱动的决策。 一个重要的步骤是实现企业架构的现代化。 这必须包括一种更普遍、更全面、最终更具适应性的安全方法:风险管理方法。
要了解有关架构现代化(尤其是安全性)以服务数字业务的更多信息,请阅读我们的新 O'Reilly 书籍“数字业务的企业架构”。