SASE:保护数据安全的零信任范式
2024-4-15 14:48:37 Author: www.aqniu.com(查看原文) 阅读量:7 收藏

SASE:保护数据安全的零信任范式

日期:2024年04月15日 阅:82

近日,两则时事新闻吸引了公众广泛的注意力,而这两个事件都与数据安全这个主题密切相关。第一件是关涉个人隐私泄露的一起热点事件:

2023年12月11日知名女演员周海媚因病去世,在12日讣告发布当晚,疑似周海媚的电子病历截图在社交媒体上快速流传。该网传图片中,周海媚于北京市顺义区某医院的急诊科抢救,其年龄、病状、病史等个人信息清晰可见,“周海媚病历疑被泄露”随后登上微博热搜。14日,北京市公安局顺义分局发布通报:经查,12月11日,符某某利用其在顺义区某医院工作的便利,出于炫耀目的,将一名病患的个人病历拍照发至微信群,导致信息扩散,造成恶劣社会影响,目前,顺义公安分局已将符某某依法行政拘留。

第二件,是一起引起国际广泛报道的针对金融机构的网络勒索软件攻击事件:

2023年11月16日,美杜莎(medusa)勒索黑客组织声称对丰田金融服务公司(TFS)成功发起攻击并窃取了数据,包括丰田金融服务公司财务文件、电子表格、采购发票、合同协议、账号及密码、护照扫描件、组织结构图、财务绩效报告和电子邮件地址等大量的机密信息。美杜莎勒索组织要求丰田集团10天内支付800万美金,该组织威胁称如果丰田金融服务公司不支付赎金,他们将公布被盗的数据。丰田金融向客户发出警示通知,称其遭受了数据泄露,并暴露了敏感的个人信息和财务数据。英国安全研究员Kevin Beaumont表示本次丰田金融服务公司遭勒索攻击,原因是由美国思杰公司“Citrix Bleed”漏洞(编号CVE-2023-4966)引发,该漏洞风险等级为严重,漏洞评分为9.4,该漏洞允许黑客绕过Citrix NetScaler ADC/Gateway的身份验证机制,为攻击者提供具有完全交互权限的远程桌面。

那么,对企业而言,有那些重大的数据泄露风险场景?有什么方法来阻止其发生?发生泄露事件的机构通常已经使用传统措施来保护数据的安全,然而明显是不够的,那么业界有什么新技术方案可以有效保护我们的数据呢?

    敏感数据是指泄露后可能会给社会或个人带来严重危害的数据,个人信息如身份证、家庭住址、银行账户、健康病历等隐私信息都是敏感数据,对企业或组织而言,客户资料、财务信息、技术资料、商业决策等信息都是敏感数据。这些数据一旦发生泄漏,会给组织或企业带来重大的经济、名誉损失甚至法律制裁。

  图 1 不同行业的敏感数据信息

在当前大数据+AI背景下,许多企业经营中涉及采集和处理大量敏感的个人、业务数据,但是数据访问和使用过程中保护、监管的力度不够,面对的内外部风险居高不下:

  • 企业必须面对的事实是,一些内部人员可能出于恶意导致数据泄露。组织内部风险仍然很高,坚固的堡垒常常是从内部被攻破。由于恶意内部人员对内部网络、数据和业务更熟悉,又具有合法的接入权限,从而能够更广泛地访问组织的机密数据。与外部攻击者或黑客造成的事件相比,他们更难以被发现。内部员工未经授权的获取、售卖、滥用敏感信息,导致企业面对严重的合规、法律风险。最常见的违规行为是特权滥用,顾名思义,员工滥用他们被授予的访问权限来窃取数据。
  • 随着各类APT攻击、供应链攻击技术的演进升级,外部攻击风险急剧升高,对企业、组织威胁巨大的勒索软件攻击,其目标涉足几乎所有重要行业领域,从金融服务、医疗、制造、食品到学校、交通和政府部门,对于拒不支付赎金的受害者,黑客往往在匿名网站公布窃取的数据,业务系统加密、敏感信息失窃和公布给企业带来经营、品牌、监管处罚上的巨大的损失。如今,这种以数据为目标的攻击行为已经被企业CISO们视为头号外部威胁。

据IBM《Cost of a Data Breach Report 2023》报告披露,2023年度全球范围内,平均每起数据泄露事件的损失高达445万美元,其中,勒索软件攻击占据所有恶意攻击事件的24%,造成平均损失高达513万美元,相比2022年上升13%。从外部攻击手段种类来看,由钓鱼和失窃凭证发起的分别占16%和15%,造成损失分别是476万美元和462万美元。此外,恶意内部人员导致的数据泄露事件占比约6%,虽然发生比率不是最高,然而单起事件造成的平均损失却最高,达490万美元。另据IBM《X-Force Threat Intelligence Index 2023》的监测数据,从各种企业入侵初始向量来看,以暴露在公网上的应用作为入侵入口的占比最高,达26%。

图2攻击行为分类和损失分布图,金额单位:百万美元

有些企业被错误的安全感所左右,认为他们在某种程度上不受数据泄露的影响。他们倾向于信任他们已有的传统边界控制,认为他们拥有惊人的、坚不可摧的防御措施。例如认为通过加密备份就可以应对勒索软件攻击,备份当然必要的,但是认为备份就能搞定勒索攻击却是想当然。勒索软件攻击的目标是数据和业务,攻击过程和威胁方式是多方面的,在攻击中受害方即使通过备份数据恢复系统,通过三重攻击方式,黑客在网络上直接披露窃取的数据仍然会造成极大伤害。另外一些企业相信他们不在攻击者视角之内,认为他们太小而不会成为目标,但这种想法在很大程度上是出于假设违规行为全部来自外部的“不良行为者”和黑客,而实质上,内部威胁从来都是数据泄露的重要因素。

当下,云大物移智带来的发展与广泛应用导致企业传统安全边界逐渐消失,提升数据安全治理能力成为数字经济时代的紧迫议题。由于数据分布在云、数据中心、终端、移动设备等各个位置,组织需要同时整合远程工作和混合多云环境,传统的基于防火墙、入侵防御系统构建的企业安全边界防护手段失效,很难进行有效的数据保护。

究其原因,组织的数据必须在流通、使用的全生命周期中进行保护,即使关键IDC、生产业务区采取物理隔离的严格措施,但是各类人员和系统的访问、数据的流转使用不可避免,毕竟数据只有在流转、处理、计算、使用中才能发掘和体现价值,而在各种访问、使用过程中,各个环节都可能暴露不应暴露的数据,过度的权限和人员恶意滥用导致出现企业数据被泄露、窃取或者破坏等事件。随着勒索软件攻击、供应链攻击等安全问题的涌现,传统的安全防护也越来越难以对具有灵活性、针对性的网络攻击形成有效防御,在这样的背景下,各种新安全技术手段和应用形式开始出现,SASE体系以零信任访问控制作为核心,支持业务、数据安全可控的流动和使用,基于零信任的新型架构范式,综合地进行网络、应用、设备、身份、环境多维度数据访问控制,致力于消除组织网络中隐含的默认信任风险,实现环境感知、可信控制、动态访问和全面审计,整合多层次安全手段形成纵深防御,加强透明度、可控性和安全保护。

图 3零信任业务数据保护纵深体系
  1. 防御外部攻击者
  2. 通过网络隐身技术有效收敛资产暴露面,避免关键信息系统在互联网上暴露,特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露。防范黑客从薄弱处攻入,阻止攻击者扫描获取重要资产和发掘利用系统的NDay漏洞,这是抵御外部攻击的第一步。
  3. 消除单纯依赖密码的认证并使用MFA,这样一来基于凭据盗窃发起的攻击将得到有效抑制。在零信任身份安全设计中,进一步的生物识别和加密密钥等因素与用户的设备绑定,综合性的身份校验使其具有高强度的抗网络钓鱼能力。
  4. 设备信任是通过验证用户设备来实现的,传统的身份验证措施无法可靠地验证设备唯一和安全性,而设备信任要求请求设备绑定到每个用户,确保两者都有权访问数据资产,要求验证设备安全状况,而不是隐含地相信设备符合组织的安全策略且未受到感染。
  5. 用户终端上落地恶意文件,如恶意网站下载恶意软件,或后台自动下载的恶意软件在本地加载、运行、嗅探时,设备本地AV/EDR进行杀毒和威胁处置,EDR端点保护自动扫描检测邮件附件、磁盘文件,识别病毒、蠕虫、木马和恶意软件并进行处置隔离、删除,支持有文件、无文件攻击识别和处置,并检查和修复漏洞避免对端点设备的入侵利用。
  6. 对所有云服务和Web流量进行深层SSL流量解析,识别和阻断攻击流量,阻断恶意软件对终端设备的攻击,阻止恶意软件、勒索软件进入内部系统,防御钓鱼和僵尸网络攻击。同时也阻断外向恶意软件通信,防止敏感数据外流。
  7. 所有通讯流量加密保护,具备抗重放、防篡改能力,同时对访问交互行为进行智能评估,如果动作行为判断为不合规或者历史偏差,可即时阻断连接,对身份冒充、设备劫持、中间人攻击等场景下恶意攻击进行预警和干预。
  8. 使用RBI技术隔离互联网访问中低信誉风险网站的连接,避免钓鱼攻击,同时针对内部各类有潜在漏洞的传统应用提供类画面交互,隐藏应用系统内部结构,形成与本地隔离的数据保护新机制,避免恶意攻击者作为入侵跳板。
  9. 防止内部泄露
  10. 对流通访问的敏感数据提高可见性和控制,对于分散在大量用户设备上的数据进行合规性扫描识别,溯源关联应用来源,对数据进行分类分级处理,标记、跟踪并形成数据资产动态地图,对数据的转化、流动、外发进行持续轨迹监控、审计和控制。
  11. 隐私兼顾的按需隔离环境,基于效率与合规角度控制数据的扩散。使用用沙箱保护敏感数据在用户设备上的落地使用,企业管控沙箱内部不触及用户个人数据以保障合规。同时,以云备份、全云化存储不落地的方式保护数据安全可用,防范设备的丢失、失窃、损坏,特别适用于对BYOD设备上的数据进行安全保护。
  12. 对用户行为进行实时的可信度建模和全时空分析,基于访问环境(如时空、设备、网络)、访问目标内容(如应用系统、文档、内容,数量、频率)进行异常识别,进而进行数据权限控制,利用基线偏离的AI算法识别离群、历史偏差等潜在风险行为,及时阻止数据泄露事件。
  13. API级别控制保障数据访问最小权限原则,对组织内的关键业务系统设置严格的访问权限和变更策略,在URL级别限制用户仅访问所需要的数据,限制其数据文件上传下载、读写权限。
  14. 确保时域线上保持最小化的权限原则,不同于旧有的静态校验机制,零信任在数据访问、使用过程中动态地持续性监测评估用户身份、设备和行为的可信度,并进而限制主体的数据业务权限。
  15. 在敏感数据信息界面提供全面的水印保护,以明水印显著提醒用户三思而行,形成有效心理震慑效果,同时辅助以暗水印,即使出现特定恶意者利用去水印工具消除明水印,也能够在泄露事件发生后快速溯源定责。
  16. 数据流动持续保护
  17. 加密流量检测,对用户终端、企业网络的进出流量进行多层次内置解析和威胁检测,阻断恶意软件攻击终端进而作为跳板,利用威胁情报监测C&C连接和其他恶意行为,阻断外向C&C恶意软件通信,防止敏感数据外流。
  18. 监控多系统风险信号,充分利用组织现有的安全体系。零信任访问控制使用来自端点、安全和IT管理工具等的数据来收集、分析、评估风险信号,持续度量风险并基于策略引擎计算做出决策,在检测到威胁时立即采取行动。
图 4 零信任全局安全访问风险态势

企业构建全面的数据安全体系,需要从业务战略与合规的要求入手,首先盘点业务数据资产,进行分类分级,基于识别到的风险,按照数据的存储、使用和传输的情况制定数据安全策略,从企业的整个业务框架到IT构架实现数据资产安全策略的体系化设置。

由于当下还存在着监管不到位、合规无强制的行业和区域,一些企业主观上还未充分认识到数据泄露的巨大风险,导致往往存着一种侥幸心态,误以为至今没有发生过就等于接下来一直不会发生。其实,各种新闻、报告披露的事件只是冰山一角,“家丑不外扬”,对于一些组织和企业来说,即使出现了勒索攻击、数据泄露事件,也宁愿低调行事而不是公开宣布,以规避外部监管处罚和品牌、声誉的损失。然而近年来,随着监管、法律体系和配套更加严格,安全合规要求覆盖范围也更加广泛。同时,各类APT攻击组织利用自动化、智能化的平台,以低廉的成本进行更加广泛的攻击行动,企业采取被动的鸵鸟政策显然已不可行。根据墨菲定律,黑天鹅迟早会来到,企业应当未雨绸缪,提早进行组织全局层面的安全架构规划和升级。

另一方面,数据已经成为与土地、劳动力、资本、技术并重的第五种生产要素,如何更好地管理数据、利用数据、保护数据,在合法合规的前提下将数据价值最大化,成为每个企业关心的重点问题。随着混合工作模式的增长,各行各业越来越多地采用零信任来应对急迫的安全挑战,据Gartner Forecast: Enterprise Network Equipment by Market Segment, Worldwide, 2021-2027, 2Q23 Update的数据显示,2021年至2022年间,中国零信任网络访问(ZTNA)市场最终用户支出增长86%,并且2022年至2023年间也可望实现54%的增长率,零信任网络访问(ZTNA)技术得到各行各业的广泛认可。目前,对于大多数选择部署零信任的组织,正日益趋向于基于SASE或SSE的上层框架实施全面转型,保护企业关键业务设施和敏感数据,以灵活的管理策略支撑组织内控安全基线要求,保障企业的高价值业务资产和数据的安全,降低风险并加快响应速度,帮助团队提高协作效率,以建立动态综合体系化数据安全机制,从而充分有效地支持企业的数字化转型,提高组织韧性和抗风险能力,为合规经营和高速发展的业务保驾护航。

基于全球广泛分布的边缘节点,依托10余年安全运营和海量攻防数据,「网宿安全」构建从边缘到云的智能安全防护体系,提供DDoS防护、Web应用防护、爬虫管理、远程访问安全接入、安全SD-WAN、主机安全等全方位的安全产品及服务,覆盖云安全、企业安全和安全服务等领域,助力企业构筑基于零信任和安全访问服务边缘(SASE)模型的全新安全架构,护航网络安全,为数字时代保驾护航。 网宿科技(300017)成立于2000年,2009年于创业板首批上市,是全球领先的边缘计算及安全服务商,业务遍及全球70多个国家和地区。公司始终致力于提升用户的数字化体验,满足用户随时随地、安全、可靠的数据处理及交互需求。


文章来源: https://www.aqniu.com/vendor/103555.html
如有侵权请联系:admin#unsafe.sh