目前,企業的零信任安全建設已從理論和技術探索階段,正式邁入了零信任的應用實踐和快速發展階段。而根據NIST的定義:零信任安全是一種覆蓋端到端安全性的網絡安全體系,包含身份、訪問、操作、終端、與基礎設施環境。其中,端點安全將是企業零信任體系建設的重要部分。
由于端點設備承載著企業組織大量業務數據的產生、使用和流轉,隨著其應用的多樣化和復雜化,特別是云上端點應用的大量增加,導致了企業端點安全威脅態勢不斷惡化,企業安全運營團隊面臨著比預期中更大的安全挑戰。
2023年,企業在零信任安全建設中,只有進一步提升端點安全的防護能力,才能確保整體建設目標的實現。在此背景下,傳統端點安全技術由于面臨全面性、兼容性、智能化等應用挑戰,正在被新的防護需求與理念重新定義。企業應該根據零信任框架要求和最小化訪問授權原則,推動新一代端點安全的能力建設與應用優化。
01確定身份優先的安全原則
據CrowdStrike發布的《2023年全球威脅報告》指出:身份是組織最寶貴的資產之一,含有豐富的個人數據。目前,基于身份的端點安全攻擊激增。而確保身份安全是構建穩健零信任安全框架的核心。要在零信任環境下定義端點安全,首先要認識到端點安全和身份管理系統融合的價值和必要性。每家企業的端點設備上都會有很多個數字身份,包括從端點訪問的應用程序、API接口、平臺和使用者,以及設備本身的數字身份。
新一代端點安全方案,需要以實現身份安全作為優先原則,在完善數據采集、提升數據質量、增強數據分析能力以及在保護身份方面進行更快速的創新。
02實現持續的監控和驗證
實現端點設備的持續監控和驗證對于獲得可靠可擴展的零信任框架至關重要,從端點設備上獲取的監控數據,對于識別潛在的入侵和破壞活動非常寶貴。企業組織需要能夠實時監控、驗證和跟蹤每個端點的安全運行狀態,發現可能的安全威脅。在目前最新的端點安全方案中,都能夠實現較完善的監控管理服務,比例思科的SecureX和身份服務引擎(ISE),微軟公司的AzureActiveDirectory和Defender,CrowdStrike公司的Falcon平臺、Okta公司的IdentityCloud,以及PaloAlto的PrismaAccess解決方案。
03自動化的漏洞管理與端點彈性
攻擊者會掃描企業擁有的每個端點設備,以發現其中沒有受到保護或配置錯誤的薄弱端口。而研究人員發現,過度配置的端點與沒有實施任何安全措施的端點一樣易受攻擊。因此,需要為端點設備提供更大的彈性,來幫助緩解端點安全漏洞管理復雜和混亂的現狀現象。
根據零信任的理念定義,端點設備應該能夠根據安全態勢變化自行關閉,并驗證其核心組件的安全性,當發現存在安全漏洞時,端點將能夠自動執行補丁版本控制,并在沒有人干預的情況下重置為經過優化的配置。在零信任的環境下,端點設備自動化的漏洞管理與修復能力對于安全團隊是不可或缺的,因為他們現在正面臨著時間緊張的問題。考慮到做好漏洞管理的重要性,采用數據驅動的自動化方法將會給企業帶來幫助。
04端點隔離與攻擊面管理
以目標為導向是零信任方面變得更強大的關鍵,其假設入侵和闖入活動在任何情況下都會存在。而端點安全是企業零信任安全建設的第一道防線,攻擊者只要突破了一個端點,就有機會控制企業整個的信息化基礎設施及寶貴數據資產。
因此,在新一代端點安全建設中,需要通過應用微隔離策略,端點設備的隔離和攻擊面管理。正如NIST的零信任框架所定義,微隔離是零信任的關鍵組成部分,其將網絡劃分為最小化的孤立網段,減小端點系統的攻擊面,并提高數據和業務資源的安全性。通過微隔離技術,企業還可以迅速識別和隔離網絡上的可疑活動。在一些較先進的微隔離技術方案中,可以將端點上的每個數字身份都視為單獨的實體,并根據上下文信息執行訪問的細粒度策略控制,有效地防止了任何危險的橫向移動。
05向一體化安全能力演進
研究數據顯示,2023年的端點安全威脅正變得比CISO們預期的更具挑戰性,與此同時,很多企業還面臨安全預算縮減和提升投資回報率的要求。在此背景下,實現各種端點安全能力的融合才是真正保障客戶利益的最大化。在Gartner發布的《2022年端點安全技術成熟度曲線報告》中,也再次指出:傳統的單點式端點安全建設面臨巨大挑戰,需要向多種功能融合的UES方向邁進,單獨的EDR、DLP、微隔離、EPP等安全防護功能最終會融入到一體化解決方案中,其本質原因還在于端點安全需要立體化、縱深化、智能化防御,任何一方面的短板都會組織造成巨大的損失。
