评估零信任安全方案的七个关键因素

零信任是当下最热门的网络安全细分市场,自从五月份拜登总统行政令强推零信任框架后,零信任已经成为未来十年撬动全球网络安全市场规模的“倍增器”,不但是创业公司的乐园,也是领先安全厂商的兵家必争之地。

发展最快,最热,也最难评估的网络安全方案

根据ThycoticCentrify的最新调查,77%的组织已经在其网络安全策略中使用零信任方法。对于42%的受访者来说,“减少网络威胁”是采用的首要动机,其次是更好的合规性(30%)、减少特权访问滥用(14%)以及检查和记录流量/访问请求(也是14%)。

根据Gartner的数据,2020年安全业界对零信任的兴趣比2019年增长了230%以上。20到30家新供应商声称每个季度都拥有零信任的原生产品或服务,在今年的RSA大会上至少发布了十几种全新的零信任解决方案。事实上,如今全球已有超过160多家网络安全供应商宣称提供零信任解决方案。

虽然零信任市场如火如荼,但是,对于企业用户来说,如何评估不同技术路径和框架的零信任方案是一件头疼的事情。值得注意的是,零信任不仅仅是一种架构,也不仅仅是一种平台和技术实施,零信任也是一种思维方式和文化,这为零信任方案的选择标准增加了更多纬度。

如今,用户需求和供应商炒作信息的杂糅混合使得零信任框架特别难以评估。给定的零信任解决方案能否经得起审查和考验?在做出购买决定之前,企业需要定义和测试一套公正、平衡的复杂标准。

需要考虑的因素包括可扩展性、高级补丁管理和最低权限访问,而这仅仅是开始。随着基于人工智能的自动化网络和应用程序发现越来越受欢迎,企业采购者还必须准备好评估人工智能软件的有效性,这也是一个艰难的任务。

总之,深入评估零信任框架已经或即将成为企业用户构建网络安全战略和架构时的关键任务。以下,是企业选择零信任架构网络安全供应商时需要考虑的七个重要因素:

01

可扩展性

零信任解决方案架构在设计上是否能灵活适应组织不断变化的需求,决定了其能否具备保护从中小型企业(SMB)到大型企业的扩展和适配能力。接受测试的零信任解决方案是否可以同样快速地保护远程办公室、区域办公室中心或整个组织?值得注意的是,对那些作为大型企业独立合作伙伴的中小企业则往往被安全厂商忽视。

对于中小企业和中型企业如何实施零信任架构,Ericom Software的首席战略官,前美国海军密码学家Chase Cunningham指出:相比大型企业,如今中小型企业和中型企业的网络安全能力严重滞后——依然依赖过时的基于边界的技术,这些差距难以弥补。

Cunningham表示,对于那些希望通过实施零信任解决方案获得与大型企业相同的安全级别和能力的企业,安全策略的实施必须着重在用户、设备、应用程序和工作负载交互的边缘。可扩展性还意味着系统必须对用户透明,以便用户可以专注于他们的工作,而不是试图弄清楚安全性。此外,系统必须易于激活、设置策略、扩展和修改,因为组织需要适应新环境。最重要的是,可扩展性需要一个完全集成的、免费的身份访问管理(IAM)工具,可与任何身份验证提供商配合使用。

02

自动化技术能力

为了提升零信任解决方案的表现,网络安全供应商需要提供一种或多种方法来获得对所有端点资产、设备和数据存储的实时洞察力和可见性。同时,识别和隔离恶意设备对于保护每个端点也至关重要。通过评估厂商的自动化技术路径和能力,企业能快速甄别“技术正确”的厂商,这些厂商会充分利用机器学习、人工智能和相关高级分析功能来不断提升资产和威胁的可见性,安全自动化程度,以及零信任方案的整体表现。

这是一个很有价值的考量因素,因为厂商无法在依赖域或基于组控制的传统网络安全平台或应用上伪造此功能。

在自动化网络发现和优化工作流程方面大力投入研发支出的零信任供应商正在加快创新步伐。寻找基于AI的零信任应用程序和平台,并将客户参考作为良好的评估标准。该领域的领导者包括Akamai、Forescout、Fortinet和Ivanti。自动网络发现工作流是网络访问控制平台的基本要素。

该领域最先进的零信任解决方案应当包括用户和实体行为分析(UEBA)异常检测、与第三方网络的基于警报的集成以进行OT威胁检测和响应、无代理分析以及支持在第三方公共云平台上托管。

03

同时保护人和机器的身份

根据Forrester最近的网络研讨会“如何保护和管理非人类身份”,机器身份(包括机器人、机器人和物联网)在企业网络上的增长速度是人类身份的两倍。根据Venafi的一项研究,机器身份攻击在2018年至2019年间增长了400%,在2014年至2019年间增长了700%以上。任何组织都必须采用最低特权访问方法。

对于声称为机器身份提供零信任服务的供应商,需要提供能够在所有机器上运行集中式IAM的客户案例进行验证。理想情况下,每个客户案例都需要在机器级别运行IAM和特权访问管理(PAM)。

依赖实时监控作为日常运营核心部分的金融服务、物流、供应链和制造公司需要优先考虑零信任供应商的这一产品功能。在金融服务中,机器身份和机器对机器交互的增长速度快于IT,网络安全团队难以跟上。领先的机器身份零信任安全提供商(包括机器人、机器人和物联网)是BeyondTrust、ThycoticCentrify、CyberArk和Ivanti。HashiCorp已证明其有能力保护主要基于机器对机器的DevOps周期。

04

同时进行端点安全和 IT 资产跟踪

对零信任供应商的创新进行基准测试——他们是否具备超越端点安全并提供更具弹性、持久性和自愈性端点的能力。网络安全风险投资、早期投资者和私募股权投资者都在关注自修复端点,因为这类技术有可能超越更广泛的网络安全市场。

组织需要更自动化的方法来识别需要自我修复应用程序、安全客户端或代理、固件和操作系统的端点。每个组织都可以在IT和OT系统中使用更高的可见性和控制力。领先的零信任供应商将有参考资料证明他们可以提供IT和OT洞察力。

此外,选择端点检测和响应(EDR)供应商需要优先考虑是否能与尽可能多样化的IAM系统、日志系统、零信任移动平台和反网络钓鱼电子邮件系统的集成。

这种评估绝不简单。正如设计、开发和实施自愈端点的Absolute CTO Nicko van Someren所指出的那样,关于端点设备的零信任,未知远大于已知。

他的建议是:“在评估零信任端点解决方案时,重点是迫使供应商思考还有哪些未知和空白,如何弥补。

05

在DevOps、SDLC中实施零信任

零信任供应商在整个软件开发生命周期 (SDLC)中保护特权访问凭证的有效性方面差异很大。SolarWinds漏洞之后,这一点变得更加明显,这表明DevOps团队面对高级持续攻击是多么的脆弱。在同一个开发平台上同时确保安全性和DevOps本身就是一个挑战。缩小这些差距是缩短产品开发时间同时又能交付满足定期安全审计要求的更高质量代码库的最有效方法之一。

声称支持SDLC和CI/CD的零信任供应商需要展示他们的API如何扩展和适应快速变化的软件、配置和DevOps要求。该市场领域领先的零信任供应商包括Checkmarx、Qualys、Rapid7、Synopsys和Veracode。

06

在基线要求方面的深厚专业知识

领先的零信任供应商继续投资涵盖广泛核心认证技术的研发资源,包括那些降低密码依赖,或通过更丰富的上下文和人工智能简化身份验证的技术。

零信任供应商应该超越MFA和微隔离技术,因为这些只是参与零信任竞争的基本要求。企业应该在该领域最先进的零信任供应商中寻找那些在自适应身份验证方面具备深厚专业知识,并支持上下文和用户角色作为验证因素的厂商。

远程办公和虚拟团队的快速增长正在加速这一需求。为了保护远程工作人员的身份和端点需要零信任,应通过自动化技术尽可能多的简化与身份验证相关的任务,以优化体验。在当今许多基于零信任的身份验证创新中,Ivanti的零登录(ZSO)——现在是收购MobileIron后平台的核心部分,借助成熟的生物识别技术,包括Apple的Face ID,作为辅助身份验证因素访问工作电子邮件、统一通信和协作工具以及公司共享的数据库和资源。检验密码替代方案的最好办法就是测试其在网络、设备和身份层面的移动威胁防御能力。

身份验证的创新方法之一是Ericom软件自动化策略生成器,它可以了解如何将零信任策略应用于用户或应用程序或两者,而无需管理员输入。

07

加密算法能否在所有流程中全程保护数据

评估零信任供应商是否,或在多大程度上可以启用本机操作系统加密机制也是区分销售炒作与真材实料的供应商的实用方法。

正如Zoom在2020年使用GCM(伽罗瓦/计数器模式)将其安全性升级到256位AES一样,考察对加密标准的选择“品味”有助于挑选出最有经验的零信任供应商。GCM专为通过块传输进行高性能数据流而设计,可在主要依赖网络会议呼叫应用程序进行通信的虚拟团队之间很好地扩展。GCM还可以验证加密,进一步支持零信任安全架构。

更先进的零信任供应商还将支持传输层安全(TLS)1.2密码套件,以保护开放互联网上的传输数据。

总结:信任,从零(信任)开始

总体而言,本文提供的七个考量因素旨在帮助企业选择真正能够扩展并支持业务快速变化的零信任供应商。

在评估零信任框架时,关键是要了解供应商在高速变化的零信任领域的竞争力如何。其中包括机器身份级别的IAM和PAM,以及新的机器对机器零信任实施。

无密码和高级身份验证技术以及加密算法的不断发展也是很好的评估基准,适用于考核任何参与投标的零信任供应商。

前一篇恶意软件进入GPU时代
后一篇周刊 | 网安大事回顾(2021.8.30—9.05)