不要讓勒索軟體溜過零信任盲點

對於資訊長們來說，網路罪犯似乎可以隨意攻擊，而且太容易得逞。為了應對日益增長的威脅，網路安全專業人士對“零信任”(Zero trust)達成了新的共識——這種防禦方法基於這樣一種理解:網路威脅可以起源於傳統網路邊界以外或內部的任何地方，從惡意的內部人員到犯罪團伙和民族國家。因此，不應信任任何使用者、裝置和流量，並應定期對其進行安全檢查和審查。

透過按照最低許可權訪問、網路微分段、快速事件檢測和響應以及全面安全整合的原則重新設計網路防禦，組織可以阻止大多數攻擊，並將那些確實透過的攻擊的影響降到最低。

所以:問題解決了嗎?不完全是。雖然零信任毫無疑問代表了一個重要的進步，值得廣泛採用，但它不是魔法，也不是萬無一失的。事實上，在模型的大多數定義中，都存在一個固有的盲點:假設網路流量完全可見，以確保它不會帶來風險。

實際上，Internet上的絕大多數流量都是用SSL或TLS加密的，這使得傳統安全裝置看不到它，也不受零信任策略的影響。

零信任可能會錯過什麼

作為線上通訊的基礎，加密一直是資料保護和隱私的福音，但它對安全的影響一直存在更多問題。

一方面，加密可以非常有效地防止欺騙、中間人攻擊和其他常見的exploit。另一方面，你不能監視、過濾或分析你看不到的東西——所以任何隱藏在加密網路流量中的勒索軟體或惡意軟體都不會被你的安全堆疊檢測到。

一旦惡意軟體進入環境，近一半的惡意軟體現在使用TLS建立連線並與命令和控制伺服器通訊，使受害者無法跟蹤或阻止正在進行的攻擊。

當然，安全廠商和許多資訊長都很清楚SSL和TLS加密對網路安全構成的挑戰。因此，SSL和TLS解密已成為許多安全裝置的共同特性。

不幸的是，這一過程的移動速度往往和機場安檢線一樣快，尤其是當有問題的裝置沒有將加密作為主要功能設計出來，而且缺乏必要的硬體。對於安全堆疊中的每個元素，這個過程也需要不斷重複，每增加一跳就會增加延遲。

這可能會顯著降低安全裝置的效能，同時增加網路延遲、瓶頸、成本和複雜性。而且，隨著每個後續安全元件(DLP、防病毒、防火牆、IPS和IDS等)為自己的目的依次對流量進行解密和重新加密，這種影響會成倍增加。

除了危及業務使用者和客戶的服務質量之外，跨安全堆疊的分散式、迴圈解密、檢查和重新加密破壞了零信任模型核心的簡單性。

透過在多供應商、多裝置安全基礎設施的多個位置部署私有加密金鑰，組織不可避免地擴大了攻擊面，在試圖降低風險的同時增加了風險。

實現零信任的完全可見性

零信任的前提是合理的。SSL和TLS加密的價值也是如此。我們需要的是在滿足現代業務的效能需求的同時，讓它們在相同的體系結構中共存。

解決“零信任”盲點的方法很簡單——事實上，關鍵在於簡單。與其在逐裝置或逐跳的基礎上執行解密、檢查和重新加密，組織應該集中此功能，並使用單一、專用、高效能的SSL和TLS檢查元素來一次性支援整個安全堆疊。

透過這種方式，流量可以被解密一次，由任意數量的單獨安全裝置串聯進行檢查，然後在繼續進入或離開環境之前重新加密。雖然對效能可能仍然有很小的影響，但它只是迴圈方法複合效果的一小部分，而且為有效的零信任所需的全面可見性付出的代價很小。

當前的網路犯罪浪潮需要CIO和CISO緊急應對。在當今高度分散式的環境、多孔的企業網路和在任何地方工作的勞動力中，零信任提供了一種加強安全性的方法，但前提是它的模型能夠在不犧牲服務質量的情況下完全實現。

對全面交通檢查的需要常常迫使組織在安全與效能之間做出不可能的權衡。但是透過採用一種集中的方法來進行SSL和TLS檢查，CIO和CISO可以實現對他們的業務需求的保護——以及他們的客戶所期望的效能。