随着零信任架构的广泛流行,我们已经能看到其理论原则、适用场景、落地方案在各个行业、各个安全领域都有所体现。SANS研究院最近发布了一份零信任网络环境下与传统网络环境下事件响应的对比测试研究论文,测试结果显示,在满分40分的情况下,零信任架构下的事件响应达到38分,而传统边界架构下只有13分。在零信任原则和云服务结合使用的场景下,事件响应的效率和能力相较于传统网络架构会有明显提升。同时,随着组织面临的安全风险不断激增,威胁态势日益严峻,这几乎要求组织在转向关键服务功能的云服务时必须拥抱零信任架构原则。
1. 背景
零信任网络是一种新的安全模型,它使组织能够提供对资产的持续验证访问,随着组织采用云资源,零信任的落地变得越来越普遍。这种新模型使组织可以通过使用各种信号来更严格地控制对其资源的访问。随着这种方法的日益普及,事件响应必须了解零信任网络如何增强现有流程。本文将零信任网络中的事件响应与传统的以边界为中心的模型进行了比较,在此基础上提供零信任环境下的事件响应指导。
2. 事件响应
SANS提供了一个非常普遍的事件响应流程,缩写为PICERL,通常分为六个关键阶段(SANS,2019年):
•在准备阶段(preparation phase),组织将制定书面策略,获取所需的必要材料和资源,并准备对事件做出响应。
•在确定阶段(identification phase),组织确定事件的范围和严重性,并采取应对措施。
•一旦组织识别出事件,他们便进入遏制阶段(containment phase),并采取措施防止攻击者进一步移动或破坏。
•组织遏制事件后,组织将开始清除阶段(eradication phase),以从目标系统中删除攻击者的任何痕迹。
•在恢复阶段(recovery phase),将对受影响的系统和数据进行验证并恢复常规服务。
•最后,在复盘阶段(lessons learned phase),组织从事件中提取见识和改进机会,并将此信息提供给准备阶段以完成周期。
3. 基于网络的安全模型
组织通常会采用一种通用安全架构的某种变体,一般至少集中三个网络域,包括Internet、DMZ和Intranet/专用网络。主机按用途和敏感度分组,并分配给一个域。每个域承载不同级别的信任,公共网络上的主机信任程度低于DMZ,而DMZ区域信任程度低于私有区域。
为了跟上当前的威胁和建立安全网络的最佳实践,安全防御通常分布在网络的每个“阻塞点”,以确保足够的覆盖范围。在此以网络为中心的模型中,IDS/IPS、DLP和Web代理等安全防御在网络边界运行,这意味着监控、检查和保护必须跨越这些网络边界的所有活动(参见图1)。
图1 常见的安全防御网络布局
但是,这种方法有许多潜在的缺点。首先是存在一个隐含的信任,即在边界安全防护措施后面连接的任何设备都默认是安全,这意味着受感染的端点可以在网络中随意移动;另一个主要缺陷在于,流量必须始终通过这些网络边界以得到保护。在高度移动的用户和云服务中,这可能给用户体验带来许多挑战。组织经常通过使用虚拟专用网络(VPN)等技术将所有流量重新带回安全网络,然后通过外围控件将其路由出去,从而减轻此限制。但是,这种方法带来了其他挑战,包括额外的复杂性和潜在的更高的延迟,并且可能在诸如BYOD之类的场景中引起非组织拥有设备的隐私问题。
4. 零信任网络
零信任网络(也称为零信任架构)通过对资源访问进行更严格的控制,打破了上一节中强调的广泛隐式信任。它的核心是确保每次访问尝试均得到验证,并使用所有可用数据来验证它是合法请求。
为了在事件响应的上下文中更好地描述零信任,最好基于以下原则:
•假设企业网络(包括边界防御和内部人员)不可信;
•需要对身份、设备、应用和数据进行跟踪评估;
•必须对每个资源访问尝试进行验证;
•自动化响应至关重要。在当前的威胁形势下,自动检测和修复是我们分析足够的数据并可能足够迅速地做出响应的唯一方法,以便有机会及时捕获和阻止高级对手。
理解了上述零信任原则,即可了解零信任逻辑组件的含义(见图2)。在NIST发布的《零信任架构》草案模型中,策略决策点(PDP)的概念是访问活动的汇集点,管理员策略通过资源访问来强制执行,应用细粒度访问策略来对资源实施最小化特权。
图2 零信任访问概念模型(NIST,2019)
在策略和后续决策要求方面,“零信任”的下一项重点就是将未经授权的访问最小化。通过具有最小信任区和强大执行点(PDP)的强大控制平面,可以将行为信号进行组合,以确保使用最佳数据来做出访问请求决策。这意味着零信任系统可以天然地将诸如基于风险的用户行为模型、设备运行状况、数据分类甚至合规基线等来源整合在一起,以确保在正确的条件下以正确的方式进行正确的资源访问。
安全是动态的,相对的,没有银弹。在零信任架构下,仍然会发生安全事件。必须考虑零信任网络的根本所在,即缩小信任区域的考量,也可能导致针对任何单个事件减少其他资源的参与的考量。这意味着,当事件发生时,较小的信任区将减少对其他系统造成更广泛的风险。通过这样做,我们还可以减少检测的延迟,并使事件响应效率更高。
直到最近才有像NIST这样的标准机构开始提出关于零信任网络的指南,例如NIST草案800-207。但零信任仍处于起步阶段,还有很多工作要做。
5. 测试实验
SANS设计了一项实验从代表性环境中(传统边界和零信任)捕获数据,并通过一系列受控事件来定量比较。
测试过程包括四种方案,以模拟使用云服务时的常见真实事件。
•通过上传测试文件夹来模拟未经批准的云服务的使用:包含Microsoft Word文档的数据发送到云服务。
•失陷的用户凭据(占安全事件的近29%,Verizon,2019年),模拟通过使用可通过网络钓鱼或社会工程获得的合法用户凭据来访问公司服务。在这种情况下,对抗行为将在公司网络外部进行模拟。
•使用可疑邮箱转发规则是利用漏洞利用的常见技术。通过创建邮箱规则将邮件转发到外部域来模拟这种情况,从自动删除已发送邮件中删除。
•通过与外部收件人共享云存储服务中的敏感文件来模拟无意中的文件过度共享。这种情况有多种形式。
为了定量评估结果,使用评分模型根据PICERL的识别和遏制阶段评估环境。选择这两个阶段是为了简化测试,因为检测和初始响应是事件响应后续阶段的基础。换句话说,如果其中一个环境无法检测到该事件或无法采取任何措施来遏制该事件,则以下阶段不太有效。评分基于以下条件:
得分 | 结果 |
0 | 无法完成目标。 |
3 | 能够部分完成目标。需要进一步的工作才能进入事件响应的下一个阶段。 |
5 | 能够完成事件响应阶段。 |
除了得分外,每种环境的优点与缺点还以下列方式显示:
阶段 | 零信任架构 | 基于边界的架构 |
识别 | 优点: 缺点: 得分: | 优点: 缺点: 得分: |
遏制 | 优点: 缺点: 得分: | 优点: 缺点: 得分: |
5.1 基于边界架构的网络环境
由Windows 10客户端PC和pFSense防火墙组成的简单网络用作测试床,用于评估基于网络的安全环境中的事件识别和遏制(图3)。
图3 基于边界的安全环境网络
Windows 10 1909客户端设备作为虚拟机在VMware Fusion(主机名“ Win10Trad”)上运行,并安装了Office 365 ProPlus以及所有适用的更新,充当模拟用户或攻击者从中执行其操作的设备。
配置pFSense防火墙,该防火墙也运行在主机名为FW01的VMware Fusion Pro上。安装了Snort以及OpenAppID规则,以提供有关SaaS软件使用情况的上下文。Snort使用默认配置运行,此外还启用了适当的OpenAppID规则类别,并使用“安全性”设置启用了IPS模式。
Squid还安装在PFSense防火墙VM上,以充当可见用户活动的代理,并且还配置为执行SSL检查。还安装了SquidGuard,以提供针对特定应用程序URL的URL过滤,如下图4所示。
图4 pFSense防火墙上的安装包
5.2 零信任网络环境
为了保持基于网络环境的简单性,实验使用了一台PC和几个云组件用于为零信任网络概念建模(图5)。
图5 零信任网络环境
在VMware Fusion(主机名Win10-ZTN)上运行的Windows 10 1909虚拟机(配置为直接Internet访问)用作客户端活动的测试平台。Office 365 ProPlus已与所有适用的更新一起安装。
其他安全工具也已启用,可以为身份、设备和应用程序提供信令。Microsoft Azure Active Directory(AAD)在用户身份认证(包括可疑登录)上提供基于身份的信令。Microsoft Defender ATP(MDATP)提供了来自客户端的信令,包括对所访问URL的可见性以及通过终结点上的阻止URL进行响应的能力。最后,将Microsoft Cloud App Security(MCAS)配置为分析正在使用的云应用程序,并部署策略以查找异常或恶意活动。
需要注意的是,由于对工具的预先熟悉,作者选择了上述工具作为组成零信任网络的组件。其他服务商提供的组件工具也可以提供类似的功能。
6. 实验发现
6.1 使用未经批准的云应用
在这种情况下,一批总计30MB的文档从每个端点上传到一个文件存储应用程序,表示为一个免费的DropBox帐户。
基于网络的环境提供了有助于识别发送到未经批准的云服务的信息的数据。LightSquid显示了许多与DropBox URL关联的事务(包括文件大小)(图6)。尽管这不一定仅表示数据已离开网络,但值得进一步调查。在遏制方面,一支有能力的团队可以迅速采取行动,在代理中阻止有问题的应用程序,然后与用户合作以确保从云服务中删除数据。
图6 LightSquid显示的与DropBox 关联的数据
零信任网络还提供了有助于识别数据发送到未经批准的云服务的数据。图7显示了为Dropbox生成的MCAS警报,并在红色框中突出显示了可以通过从端点阻止站点来发起遏制/根除活动(图7)。对于事件响应者和分析人员,这意味着通过在检测到事件的CASB中采取措施,无论在何处连接设备,它都会在端点上强制采取措施。
图7 MCAS显示检测和阻止应用的选项
在该测试中,每种环境的得分都很高,两项得分也很高。尽管分数相同,但两边的表现还是存在差异,能看出零信任网络在识别和遏制事件方面具有明显优势。
阶段 | 零信任架构 | 基于边界的架构 |
识别 | 优点:来自端点的信令提供了数据,而没有在公司网络上。警报不是实时的,而是迅速突出显示未批准的应用程序。 缺点:必须配置策略以识别新的高容量应用程序,需要管理/注册端点(可以自动执行)。 得分:5 | 优点:LightSquid提供报告以突出显示数据流,显示完整的URL,并能够突出显示DropBox流量。 缺点:在繁忙的环境中,此报告很难理解。某些云服务提供商(Amazon,Microsoft等)的原始URL实际上可以由合法服务使用。另外,如果此端点不在外围之后,则此可见性将不可用。 得分:5 |
遏制 | 优点:能够快速阻止该应用程序,并确保无论网络位置在何处,阻止程序都可以正常运行。 缺点:在这种情况下,阻止非常广泛。如果需要针对每个用户或每个组进行更精细的控制,则将批准该应用程序并将其加入,以提供更丰富的控制机制。 得分:5 | 优点:Snort可以配置为主动阻止已知的不良应用程序,并且在允许特定业务部门访问应用程序的情况下,有可能允许更大的粒度。 缺点:仅当在受保护的网络上或始终在线VPN将远程设备连接到受保护的网络时,阻止才有效。 得分:5 |
总分 | 10/10 | 10/10 |
6.2 失陷的用户凭证
这种情况代表了云服务中最常见的事件之一,其中用户凭据由于网络钓鱼或其他社工手段受到损害。攻击者获得用户的凭据后,用它们来冒充员工访问资源并继续进行攻击。通过Tor连接使用用户的凭据来模拟攻击者远程访问资源以测试此方案。
在这种情况下,如果没有其他控件,基于边界的体系架构将无效。由于对手使用的是来自网络边界外部终结点的凭据,因此存在可见性不足。在企业方案中,通常会有一些简单的架构中未表示的其他控件,这些控件可以帮助识别方案,其中包括来自身份提供商的集中式日志记录或Office 365活动日志。
零信任网络将登录标识为异常,并从身份的丰富信号中受益,因此带来可视化,并能够控制、消除和修复用户凭证(图8)。在此示例中,登录根据一个新位置触发了两个风险警报,并且攻击者源自Tor地址。此外,仅在通过多因素认证技术验证了其身份之后,系统才提示用户更改密码。
图8 异常登录检测
通常为防止这种情况而部署的许多防御工具都会被刻意禁用或未在两个环境中部署。举例来说,诸如多因素身份认证之类的工具将阻止这些失陷凭据的使用,还有其他基于身份的访问控件,会限制仅允许通过EDR或MDM等认证过的合法设备的登录。
阶段 | 零信任架构 | 基于边界的架构 |
识别 | 优点:能够基于多种因素快速发出异常登录警报。 缺点:由于员工出差等原因,容易产生误报。 得分:5 | 如果未部署其他功能,则无法检测到。 得分:0 |
遏制 | 优点:用户访问下一个资源时,会提示其通过多因素身份认证进行验证,并且会提示用户密码将被更改。 缺点:如果不做其他工作,这仅适用于适配了身份服务商的应用,可能会造成系统间不兼容。 得分:5 | 如果未部署其他功能,则无法检测到。 得分:0 |
总分 | 10/10 | 0/10 |
6.3 可疑邮箱转发规则的使用
一旦攻击者获得了用户的凭据,下一步通常是访问用户的邮箱以搜索敏感信息或进一步破坏。此活动的常见结果之一是,攻击者将创建邮箱规则,以通过转发或删除邮件或将邮件从收件箱移至另一个文件夹来窃听电子邮件。
仅凭网络检查很难检测到这一点,因为它需要对API和其他应用程序的深入了解,而这些将在网络流量中被遮盖。结果,以边界防护为中心的网络无法检测到此行为。同样,通常可以通过从应用程序中获取日志数据并为这些活动编写检测规则来缓解这种情况,但这也需要创建手动规则。
零信任网络的实施在很大程度上依赖于CASB发出的应用信号,以洞悉应用中的可疑行为。在这种情况下,一旦在邮箱中检测到邮箱转发规则,内置策略就会创建警报(图9)。如果未配置,则其他的遏制、清除和恢复步骤可能会禁用用户的身份或触发其他工作流程以采取其他步骤,例如扫描设备中的恶意软件。
图9 发现可疑邮箱规则时创建的警报
阶段 | 零信任架构 | 基于边界的架构 |
识别 | 优点:MCAS发出警报,指示配置了可疑收件箱转发。 缺点:N/A。 得分:5 | 如果未部署其他功能,则无法检测到。也可以通过检查SMTP邮件流或其他邮件日记来检测到。 得分:0 |
遏制 | 优点:基于策略定义的自动遏制,包括对受感染用户的遏制,以驱动用户凭据的重置。 缺点:本条控制仅适用于有“嫌疑”的用户,不适用于已经受制于攻击者的下游用户。 得分:3 | 如果未部署其他功能,则无法检测到。 得分:0 |
总分 | 8/10 | 0/10 |
6.4 用户无意间共享敏感文件
这种情况表示的事件并不总是由攻击者引起的,而是可能是用户的失误,但仍然会带来严重的影响。在这种情况下,用户会将包含敏感PII的文件上传到批准的云服务,但无意中将其上传到权限过大的共享链接与公众共享的文件夹。
此特定示例使用OneDrive for Business中的文件夹。基于网络的安全模型能够识别到OneDrive for Business的流量,但是这也可以与仅基于URL和数据流的其他经批准的流量融合在一起。在遏制、根除和恢复方面,基于边界的控件在这种情况下没有任何附加价值。
当基于边界的方法仍在苦于难以检测到如此深层、且特定于某应用的事件的时候,零信任模型则为该场景提供了丰富的上下文。在这种情况下,CASB识别了该活动,并基于为寻找这种情况而定义的策略,发出了警报,告知组织用户信息已被共享(图10)。
图10公开共享敏感文档时,由MCAS创建的警报
此外,在这种情况下,CASB还可以识别该文档是否已经通过共享链接被访问了(图11)。这对于事件响应者很重要,因为他们可以使用此数据来了解有多少个可能已经访问了相关数据。
图11 活动日志显示了一个匿名链接访问
这是另一个示例,其中传统的以边界防护为中心的网络需要其他工具来准确检测此事件。在这种情况下,来自Office 365管理API的源可能已经为警报机制提供了此数据。
阶段 | 零信任架构 | 基于边界的架构 |
认证 | 优点:通过定义策略,MCAS能够识别此应用程序级别的信号。有关访问尝试的更多详细信息。 得分:5 | 优点:LightSquid能够突出显示离开网络的数据,如果部署了其他拦截或DLP工具,它们将识别出敏感数据。 缺点:对于这种用例,报告是原始的,因为它以URL和数据流为中心-是识别未经批准的应用程序的理想选择,但没有足够的详细信息。 得分:3 |
遏制 | 优点:即便未为此测试特意配置,MCAS仍可以实现撤消共享,隔离文件,应用加密,通知用户或启动其他工作流等功能——全都是有效的遏制步骤。此外,可以部署预防性实时控件来防止敏感文件上载到共享位置。 得分:5 | 如果未部署其他功能,将无法遏制使用。 得分:0 |
总分 | 10/10 | 3/10 |
6.5 结果
汇总数据,很明显与控制环境相比,零信任网络模型具有明显的优势。随着方案发展到更深的应用程序和端点上下文,基于边界防护的安全控件将失去提供有意义的洞察力和控制力的能力。
测试 | 零信任架构 | 基于边界的架构 |
将数据泄露到未经授权的云服务 | 10 | 10 |
失陷的用户凭证 | 10 | 0 |
可以邮箱转发 | 8 | 0 |
疏忽共享敏感文件 | 10 | 3 |
总分 | 38/40 | 13/40 |
7. 建议
虽然这些测试是在简单的环境中进行的,但数据突出显示了在不同安全模型之间识别和控制事件的关键差异。此外,当与云服务一起使用时,基于边界的模型中的差距非常明显。
为了回答本文前面提出的假设,很明显,零信任网络对于云服务具有同等的可见性,并且可以为事件响应者提供更多好处。
首先,基于边界防护无法完成两个目标,因为它缺乏识别特定方案所需的深度应用上下文。这是因为可见性仅限于活动的网络视角,在这种情况下,如果没有丰富的数据包重组和大量的上下文,网络设备就无法做到足够智能来识别活动。
相反,零信任网络能够快速识别并遏制事件,因为它包括应用程序日志作为信号。在其他情况下,通过身份和端点发出不同的信令,重复进行此操作。事件响应者应考虑以下建议:
•统一应用身份。这可以用作核心PDP,并提供单一的日志记录表面来检测异常的身份认证和授权。
•使用应用活动数据。在该示例中,CASB使用了丰富的活动数据,该数据用作应用内部用户活动信息的合并点。否则,可能作为基于网络的安全模型的临时步骤,可以将来自应用程序的源合并到SIEM等系统中,并且可以配置规则以创建警报。
•考虑事件响应集成的力量。在上面的示例中,识别事件和控制活动之间存在直接关联,并且通常通过组件之间的内置集成来完成此关联。在这两个阶段之间发生的时间越短,可以更快地解决事件,并且可能更重要的是,可以减少关键性或影响。
8. 结论
这项研究是针对企业环境的简单模拟而进行的,明确指出企业将零信任原则与云服务结合使用,因此在识别和遏制阶段中,防御与响应工作会明显受益。在监管应用需要比检测网络所能提供的更多上下文或必须组合多个行为信号的情况下,零信任架构提供了优于传统网络的优势。同时从本研究提供的数据中,我们可以看到,当前的威胁态势几乎要求组织在转向关键服务功能的云服务时接受零信任原则。
*本文由奇安信战略情报团队基于SANS研究院发布公开论文Incident Response in a Zero Trust World编译完成,原文版权归SANS研究院及原作者Heath Lawson所有。如涉及版权问题,请联系删除。
声明:本文来自零信任安全社区,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
