零信任和加密的普及将牺牲一些网络可见性,导致大量传统网络安全工具“失明”。

越来越严格的合规要求和零信任架构的普及正在推动企业网络进入全面加密的时代,这反过来又迫使网络安全专家改变原有的网络安全方法。

根据Gartner的信息安全和风险管理研究预测,到2024年全球75%的人口的个人数据将受到隐私法规的保护。受到远程工作者增加的推动,零信任网络访问(ZTNA)将是增长最快的网络安全细分市场,预计到2023年将增长31%。混合办公的趋势已经不可逆转,VPN也将被零信任网络访问替代。

零信任的“副作用”

零信任网络访问能够极大改善企业的网络安全态势。随着原子化网络的不断发展以及应用程序和人员的“随时随地”,零信任网络访问提供了对移动性和访问的更大控制。与传统的一次验证,到处访问(资源和设备)的安全控制不同,零信任针对每次访问都会进行验证和授权(永不信任,始终验证)。

但是,零信任网络访问使用加密来保护所有连接,这也产生了一个不容忽视的新的安全难题。因为加密的普及意味着牺牲网络可见性,导致大量传统安全工具的“失明”。

即便是使用安全访问服务边缘(SASE)平台管理零信任网络访问的企业也会为了身份验证和加密而牺牲一定程度的可见性。当用户连接到其提供商的专用云时,SASE将管理身份验证和授权。从用户的角度来看,这种体验非常“丝滑无缝”,但安全团队却“有苦难言”,因为这意味着他们失去了完成安全管理工作的“抓手”,只能查看身份验证日志和访问日志,无法实时查看云环境中实际发生的情况。

其实零信任并非“加密蔓延”的唯一原因。即使企业不采用零信任方法,仍然会为了保护数据隐私或满足合规要求而实施加密,应用于面向互联网的主机,以及内部保护静态和传输中的数据。

加密与检测的风险悖论

随着加密变得无处不在,企业安全团队面临的第一个挑战就是故障排除和威胁搜寻等操作的复杂性增加。加密蔓延和网络原子化趋势正迫使企业弃用许多基于深度数据包检测(DPI)和数据包捕获技术的传统工具,因为加密使这些工具的部署和管理成本和复杂性大大增加。

传统的安全思维是,为了检测和响应,安全团队必须看到一切,这意味着必须解密一切,但这个逻辑已经难以适应今天的数字环境。在没有定义安全边界的离散动态环境中,对其中某个设备(的流量)进行解密正变得越来越困难。我们有越来越多的流量要解密,越来越多的证书要管理,任何需要破坏加密以进行检测和响应的点都可能是敏感数据的暴露点。这似乎产生了一个悖论:为了保证网络安全,我们往往需要引入更多(数据泄露)风险。

零信任不是网络安全的敌人

网络安全行业当下迫切需要一个全新的网络安全方法,在进行威胁检测和响应时,即保证网络安全的可见性,同时又不引入额外的数据安全风险。

许多计算机设备都安装了端点检测响应(EDR)代理,这些代理提供对网络上的主机和本地进程的可见性。但是,并非IT环境中的每个联网设备都能够支持EDR代理,并且EDR无法实时提供对网络流量的可见性。而流数据形式的元数据此时可以发挥作用,无需捕获和检查每个数据包即可查看和监视网络流量以进行检测和响应。元数据在多云、本地和混合环境中广泛可用,并且在使用上下文进行富化时,可以对整个原子化网络中的流量提供高级实时可见性。

总的来说,EDR和元数据可以很好地监测网络上的信息、正在执行的操作以及正在发生的情况,并且可以在不破坏加密的情况下检测大多数攻击。在我们看到需要更深入研究的异常行为的情况下,我们可以缩小调查和解密范围。通过将程序配置为仅在必要时解密,我们可以相应地降低风险状况,同时最大限度地降低数据安全的成本和复杂性。

事实证明,加密和零信任与原子化网络安全并不存在不可调和的矛盾,相反,零信任正在推动网络安全方法的进化。企业不再需要全域全生命周期100%加密(难以扩展并带来新的风险),享受零信任和加密组合的好处,并且不会牺牲原子化网络安全防护的全面可见性和覆盖范围。

参考链接:

https://www.securityweek.com/are-encryption-and-zero-trust-breaking-key-protections/

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。