零信任是网络安全计划的关键要素,但制定策略可能会很困难。安全和风险管理领导者应使用美国国防部模型的七大支柱以及 Gartner 研究来设计零信任策略。
战略规划假设
到 2026 年,10% 的大型企业将拥有全面、成熟且可衡量的零信任计划,而 2023 年这一比例还不到 1%。
分析
人们对零信任安全的兴趣主要来自政府授权、混合劳动力的需求、公开的违规行为和供应商炒作。不同的政府(以及部分政府)正在为某种版本的零信任制定授权。
Gartner 估计,大多数组织正处于零信任之旅的起步阶段。Gartner 客户对零信任的承诺感到兴奋,但很少有人关注实施后的现实情况。
Gartner 的2023 年零信任安全计划实施战略路线图指出,安全和风险管理 (SRM) 领导者必须为零信任计划建立清晰的路线图,以优化其组织的风险态势。
启动或完善零信任计划的一种方法是评估领先组织已经取得的成就。美国国防部 (DoD)、网络安全和基础设施安全局 ( CISA)和 Google 等组织已将零信任概念应用于多个领域和资源。在本研究中,我们重点关注国防部提出的建议。
2022 年 1 月,美国国防部成立了国防部零信任投资组合管理办公室 (ZT PfMO),以协调工作并从零信任角度加速网络安全。该计划的成果包括国防部零信任战略和国防部零信任能力执行路线图 。
这项研究包括了与美国国防部模型相一致的七份文件,该模型列出了七大支柱方面的能力:
1. 用户
2. 设备
3. 应用程序和工作负载
4. 数据
5. 网络与环境
6. 自动化与编排
7. 可视性和分析
负责零信任策略的 SRM 领导者如何利用美国国防部的零信任模型来制定自己的网络安全策略?SRM 领导者可以参考此处汇编的 Gartner 研究,了解哪些技术和最佳实践可以映射到国防部模型用户支柱中的能力,从而塑造、充实和发展该策略的相关部分。
研究亮点
美国国防部零信任战略指出:
“这项零信任战略是国防部的首个此类战略,它为推进零信任概念发展提供了必要的指导;差距分析、需求开发、实施、执行决策,以及最终采购和部署所需的零信任能力和活动,这些将对对手产生有意义且可衡量的网络安全影响。”
该战略指出,零信任功能将在由七大支柱定义的组织结构内进行开发、部署和运行(见图 1),这为国防部零信任安全模型和国防部零信任参考架构提供了基础领域。
图 1. 美国国防部用户支柱内的零信任功能
支柱1:用户
用户支柱的目标和目的是:
“持续验证、评估和监控用户活动模式,以管理用户的访问和权限,同时保护和确保所有交互的安全。”
该支柱包括图 1中列出并在以下章节中详细说明的能力。
1.1 用户清单
美国国防部模型
功能描述:识别普通用户和特权用户,并将其集成到支持定期修改的清单中。拥有本地用户的应用程序、软件和服务都是清单的一部分,并突出显示。
能力结果:系统所有者可以控制(可见性和管理权限)网络上所有授权和经过身份验证的用户。
对 ZT 的影响:未在授权用户列表中的用户将被策略拒绝访问
活动:存量用户。
Gartner 研究
身份生命周期管理是身份治理和管理 (IGA) 解决方案的决定性功能之一。为了实现这一点,IGA 工具会汇总并关联分散在组织内多个身份存储库(包括本地和云中)中的不同身份(用户库存)数据,供普通用户和特权用户使用。身份数据管理是这里的基础。
1.2 有条件用户访问
美国国防部模型
功能描述:通过成熟度级别,条件访问可以为环境中的用户创建动态访问级别。这从跨联邦 ICAM 的传统基于角色的访问控制开始,扩展到以应用程序为中心的角色,最终利用企业属性来提供动态访问规则。
能力结果:最终,组织通过动态改变用户风险配置文件和细粒度访问控制来控制用户、设备和非用户实体 DAAS 访问,包括使用用户风险评估。
对 ZT 的影响:系统未知的用户和存在不可接受风险的用户将被更准确地拒绝访问
活动:为每个企业实施基于应用程序的权限;基于规则的动态访问;企业政府角色和权限。
Gartner 研究
授权和自适应访问是访问管理 (AM) 工具的一项关键功能。此功能包括授权决策和执行、策略创建,并提供用于评估风险和动态呈现访问决策的存储和上下文数据源。它还可能包括可以推动基于风险的自适应访问决策的其他功能,包括帐户接管 (ATO) 预防和用户和实体行为分析 (UEBA) 功能,无论是本地实现还是通过与其他工具集成实现,包括零信任网络访问 (ZTNA) 和安全服务边缘 (SSE) 工具。
1.3 多主体认证(MFA)
美国国防部模型
功能描述:此功能最初侧重于开发以组织为中心的 MFA 提供程序和身份提供程序,以实现用户的集中化。本地和/或内置帐户和组的退出是此功能的关键部分。在后期成熟度级别,可以使用替代和灵活的 MFA 令牌为标准用户和外部用户提供访问权限。
能力结果:国防部组织要求用户和非用户实体使用以下三个属性中的至少两个进行身份验证:知识(用户 ID/密码)、所有权(CAC/令牌)或某些自己(固有,例如虹膜/指纹),以便访问 DAAS。
对 ZT 的影响:未提供多种身份验证形式的用户将被拒绝访问 DAAS 系统和资源。
活动:组织 MFA/IDP;替代灵活 MFA。
Gartner 研究
用户身份验证是一项基本控制措施,它必须在身份声明中提供足够的可信度,以使访问权限在组织的风险承受范围内。MFA 通常通过在旧密码中添加某种令牌来实现,可以显著降低风险。因此,审计人员、监管机构和网络安全保险公司对 MFA 的需求越来越大。AM 工具通常充当组织的身份提供者,并在越来越广泛的用例中提供 MFA。
1.4 特权访问管理 (PAM)
美国国防部模型
功能描述:该功能侧重于删除永久管理员/提升权限,方法是首先创建特权帐户管理 (PAM) 系统并将特权用户迁移到该系统。然后通过使用权限提升批准的自动化并将分析输入系统进行异常检测来扩展该功能。
能力结果:国防部各机构在其 IT 环境中控制、监控、保护和审计特权身份(例如,通过密码保管、使用 PAWS [特权访问工作站] 的 JIT/JEA)。
对 ZT 的影响:通过限制管理员访问来保护、控制、监控和管理关键资产和应用程序。
活动:实施系统和迁移特权用户;实时批准和 JIT/JEA 分析。
Gartner 研究
特权、管理或过度授权的账户仍然是攻击者的主要目标之一,并且经常造成重大违规行为。特权包括管理权限、机密和云权限。PAM 和 CIEM 工具支持最佳实践方法来保护人类和机器的特权账户。
1.5 身份联合和用户认证
美国国防部模型
功能描述:此功能的初始范围侧重于标准化身份生命周期管理 (ILM) 流程并与标准组织 IDP /IDM 解决方案集成。完成后,该功能将转向通过单一解决方案或身份联合建立企业 ILM 流程/解决方案。
能力结果:国防部各机构手动签发、管理和撤销与国防部人员、设备和 NPE 身份绑定的凭证。身份信息在实体和信任域之间开发和共享,为已识别(经过身份验证和授权)的用户和设备提供“单点登录”的便利性和效率。
对 ZT 的影响:用户身份验证信息的可见性和准确性得到提高,包括国防部用户和其他机构管理的用户。根据既定政策,缺乏足够凭证的用户将被拒绝访问。
活动:组织身份生命周期管理;企业身份生命周期管理。
Gartner 研究
组织必须采取强有力的方法进行凭证管理,尤其是账户恢复,因为薄弱的流程会增加账户接管 (ATO) 的风险。与身份验证 (又称身份验证) 的集成越来越重要。用户注册 (凭证) 是 B2B 客户 IAM (CIAM) 环境中的重要一步。机器身份管理 (MIM) 对非个人实体 (NPE) 至关重要。身份联合是 AM 工具环境中实现单点登录 (SSO) 的一种支持方法。
1.6 行为、情境ID和生物识别
美国国防部模型
功能描述:利用企业 IDP,可使用基本用户属性实现用户和实体行为分析 (UEBA)。完成后,使用可用的组织 IDP 将其扩展为组织特定属性。最后,UEBA 与 PAM 和 JIT/JEA 系统集成,以更好地检测异常和恶意活动。
能力结果:国防部组织利用行为、情境和生物特征监控技术来增强基于风险的身份验证和访问控制。
对 ZT 的影响:行为、情境和生物特征监控技术增强了 MFA。
活动:实施用户和实体行为活动(UEBA)和用户活动监控(UAM)工具;用户活动监控。
Gartner 研究
尽管 MFA 可以减轻 ATO 风险,但漏洞仍然存在,过度依赖此类主动身份验证方法会让用户和组织面临风险。在登录过程中以及整个用户旅程中收集情境和行为信号(包括被动行为生物识别)可以提供持续的被动身份验证。将高级分析应用于更广泛的识别和风险信号可以提高灵活性和弹性,并进一步优化所有用户的用户体验,而不仅仅是在 PAM 环境中。信号分析可以通过 AM、ZTNA、SSE 和其他工具中的 UEBA 功能提供。
1.7 最小特权访问
美国国防部模型
功能描述:国防部组织使用执行常规、合法任务或活动所需的绝对最低访问权限来管理对 DAAS 的访问。国防部应用程序所有者确定标准和特权用户访问所需的角色和属性。所有国防部组织 DAAS 的特权访问都会受到审核,并在不需要时删除。
能力结果:国防部组织使用执行常规、合法任务或活动所需的绝对最小访问权限来管理对 DAAS 的访问。
对 ZT 的影响:网络上的用户只能在特定时间范围内访问他们被授权和验证的 DAAS。
活动:按默认策略拒绝用户。
Gartner 研究
快速识别过度许可(最小特权违规)的情况并进行补救是IGA 工具的功能之一。访问审查和认证(证明)活动被广泛使用。这是一个可以使用高级分析功能并为安全风险管理提供高价值的例子。PAM 和 CIEM 工具满足了特权用户访问的这种需求。ZTNA 和 CASB 可以实施细粒度的访问控制,当可能不需要完整安装 PAM 时,可以将访问权限限制为管理员,或者确保只有授权用户才能访问 PAM。
1.8持续认证
美国国防部模型
功能描述:国防部各组织和整个企业将有条不紊地转向基于属性的持续身份验证。最初,该功能侧重于将传统的单一身份验证标准化为组织批准的用户和群组 IDP。第二阶段将添加基于规则(时间)的身份验证,并最终根据应用程序/软件活动和请求的权限发展为持续身份验证。
能力结果:国防部组织使用 MFA 在会话内和跨会话持续验证并授权用户对 DAAS 的访问。
对 ZT 的影响:未持续提供多种形式的身份验证的用户将被拒绝访问 DAAS 系统和资源。
活动:单次认证;定期认证;持续认证。
Gartner 研究
如前所述,在用户整个旅程中包括情境和行为信号(包括被动行为生物识别)可以提供持续身份验证。SSE 提供了强大的基础,可提供持续身份验证,并映射到对访问风险的动态评估,包括威胁情报、资产敏感性和资产关键性。根据应用程序的托管方式,将利用 ZTNA 或 CASB 功能。AM工具为持续身份验证和持续自适应访问提供了依据。
1.9集成ICAM平台
美国国防部模型
功能描述:国防部各组织和整个企业采用企业级身份管理和公钥基础设施 (PKI) 系统来跟踪整个网络中的用户、管理员和 NPE 身份,并确保访问权限仅限于有需要和知情权的人员。各组织可以通过凭证管理系统、身份治理和管理工具以及访问管理工具来验证他们是否需要并有权访问。PKI 系统可以联合,但必须信任中央根证书颁发机构 (CA) 和/或交叉签名标准化组织 CA。
能力结果:国防部各组织采用企业级身份管理系统来跟踪网络上的用户和 NPE 身份,并确保访问权限仅限于有需要和有权知道的人员;各组织可以通过凭证管理系统、身份治理和管理工具以及访问管理工具来验证他们是否需要并有权访问。
对 ZT 的影响:用户和 NPE 的身份集中管理,以确保跨平台对 DAAS 资源的授权和身份验证访问。
活动:企业 PKI/IDP。
Gartner 研究
提供集成的 IAM 平台(或更广泛的可组合基础设施)需要一种能够实现身份优先安全性的架构方法。现代 IAM 基础设施(Gartner 称之为身份结构)利用和代理上下文,以一致的方式为范围内的任何人或机器提供和支持自适应、持续的风险感知和弹性访问控制。它是零信任方法的基石。
图 2:美国国防部设备支柱内的零信任功能
支柱2:设备
设备支柱的目标和目的:
“国防部网络安全实践纳入并实施零信任,以实现国防部信息系统的企业弹性。”
该支柱包括图 2 中列出并在以下章节中详细说明的能力。
2.1 设备清单
美国国防部模型
功能描述:国防部各机构建立并维护一份获准访问网络的所有设备的核准清单,并在网络连接之前登记网络上的所有设备。设备属性将包括 PKI (802.1X) 机器证书、设备对象、补丁/漏洞状态等技术细节,以便开展后续活动。
能力结果:国防部组织建立并维护所有获得授权访问网络的设备的可信清单,并在网络连接之前在网络上注册所有设备。
对 ZT 的影响:根据默认策略,设备将被拒绝访问网络。唯一允许访问网络的设备应是已知的、经过授权的且列在设备清单中。
活动:设备健康工具差距分析、非个人实体 (NPE)/PKI、管理中的设备、企业身份提供者 (IdP) Pt1 和企业 IdP Pt2 。
Gartner 研究
设备清点和识别是实现零信任和差异化访问的基础步骤。建立用于设备和非人员实体识别的详细设备信息的方法和存储库是定义可扩展零信任策略的第一步。
2.2 设备检测与合规性
美国国防部模型
功能描述:国防部各组织开展基础和扩展设备工具(例如 下一代防病毒软件 ( AV )、应用控制、文件完整性监控 [FIM])集成,以更好地了解风险状况。集成组织 PKI 系统,将现有的企业 PKI 扩展到设备。还集成了实体活动监控,以识别异常活动。
能力结果:国防部各组织建立流程(例如企业 PKI)并利用工具来识别试图访问网络的任何设备(包括非托管设备、基础设施设备和端点设备),并确定是否应授权该设备访问网络。该能力的成熟包括实时监控和检测端点和 IT 基础设施上的此类活动。
对 ZT 的影响:组件可以使用策略默认拒绝设备,并明确允许仅符合强制配置标准的设备访问 DAAS 资源。通过持续的活动检查可以更快地修复已识别的安全威胁。
活动:实体活动监控 Pt1、实体活动监控 Pt2、实施应用程序控制和 FIM 工具;将 NextGen AV 工具与 C2C 集成;将设备安全堆栈与 C2C 完全集成;企业PKI Pt1;以及企业 PKI Pt2 。
Gartner 研究
实现一致的设备检测和状态监控功能是实现动态访问的基石。在访问时使用恒定且一致的设备状态监控机制,可以根据实时或近实时的设备环境,精细地执行最低权限访问。以一致的方式收集详细的设备合规性信息,测试然后操作这些信息,确保它适合在零信任访问中发挥基础作用。
2.3 设备授权与实时检测
美国国防部模型
功能描述:国防部各组织开展基础和扩展设备工具(例如 NextGen AV、AppControl、FIM)集成,以更好地了解风险状况。组织 PKI 系统也进行了集成,以将现有的企业 PKI 扩展到设备。实体活动监控也进行了集成,以识别异常活动。
能力结果:国防部各组织建立流程(例如企业 PKI)并利用工具来识别试图访问网络的任何设备(包括非托管设备、基础设施设备和端点设备),并确定是否应授权该设备访问网络。该能力的成熟包括实时监控和检测端点和 IT 基础设施上的此类活动。
对 ZT 的影响:组件可以使用策略默认拒绝设备,并明确允许仅符合强制配置标准的设备访问 DAAS 资源。通过持续的活动检查可以更快地修复已识别的安全威胁。
活动:实体活动监控 Pt1、实体活动监控 Pt2、实施应用程序控制和文件完整性监控 (FIM) 工具、将 NextGen AV 工具与 C2C 集成、根据需要将设备安全堆栈与 C2C 完全集成、企业 PKI Pt1、企业 PKI Pt2。
Gartner 研究
零信任架构需要能够收集深入、最新的设备和用户详细信息,以便快速做出情境访问决策。有关尝试访问的设备的详细信息更为丰富(最重要的是最新),这是可防御且可扩展的零信任策略的命脉。
由于攻击者专注于使用被盗的有效凭证获取访问权限,因此检测异常使用或连接模式的能力可以成为攻击者入侵网络的可靠预警。端点保护平台 (EPP) 等工具可以提供设备的详细风险态势。持续监控态势和设备行为是使访问系统更能抵御先进而无情的攻击者的必要元素。
2.4 远程访问
美国国防部模型
功能描述:国防部组织审核现有的设备访问流程和工具,以设置最低权限基准。在第 2 阶段,此访问权限将扩展到使用企业 IdP 对已批准应用程序提供基本的自带设备 (BYOD) 和物联网支持。最后阶段将扩大覆盖范围,包括使用已批准的设备属性集提供服务的所有 BYOD 和物联网设备。
能力结果:国防部组织制定政策,允许授权用户和设备通过网络连接访问网络或从地理距离访问设备。
对 ZT 的影响:使经过适当授权和认证的用户和非个人实体能够从远程位置访问 DAAS。
活动:创建默认策略拒绝设备;托管和有限的 BYOD 和 IoT 支持;托管和完整;BYOD 和 IoT 支持 Pt1;托管和完整 BYOD 和 IoT 支持 Pt2。
Gartner 研究
ZTNA 产品正变得越来越流行,它是一种为用户提供最低权限访问业务应用程序的方法,可以替代传统的远程访问 VPN。传统的远程访问 VPN 仍然主要以许可证续订和网关升级的形式出现。尽管 ZTNA 的采用持续稳定,并且具有安全优势,但最终用户组织仍然难以制定策略以成功部署 ZTNA。
制定一个由一组核心应用程序、用户和设备组成的结构化范围(通常从“简单用例”开始,例如完全远程的知识型员工),作为初步概念验证的一部分。然后与业务主管合作,确定该组中最复杂的用户,例如进行远程维护的特权承包商或远程工作的本地管理员。
2.5 部分和完全自动化的资产、漏洞和补丁管理
美国国防部模型
功能描述:国防部组织建立流程来自动测试和部署连接设备的供应商补丁;采用混合补丁管理(人工和自动)。
能力结果:组件可以确认设备是否满足最低合规标准;组件具有资产管理、漏洞和修补系统,以及可实现跨系统集成的 API。
对 ZT 的影响:通过自动将供应商补丁部署到所有网络设备,最大限度地降低风险。
活动:实施资产、漏洞和补丁管理工具。
Gartner 研究
漏洞管理 (VM) 和主动补救构成了风险管理的基础。它回答了以下问题:“目前有哪些软件以及我的组织设置了哪些配置,导致其易受攻击?”攻击面管理 (ASM) 和漏洞管理之间会存在一些重叠,因为 ASM 为 VM 提供了丰富的资产风险背景,而 VM 为 ASM 提供了漏洞威胁数据,以便更好地定义风险。即使企业采用统一端点管理 (UEM) 工具进行现代管理以简化其端点管理策略,修补仍然是 Gartner 客户讨论的主要话题。
2.6 统一端点管理 (UEM) 和移动设备管理 (MDM)
美国国防部模型
功能描述:国防部各组织建立了一个集中式 UEM 解决方案,无论设备位于何处,都可以选择通过单一控制台对计算机和移动设备进行代理和/或无代理管理。国防部发放的设备可以进行远程管理,并强制执行安全策略。
能力成果:国防部各组织建立了一个集中式 UEM 工具,该工具可在单个控制台上提供计算机和移动设备的代理和/或无代理管理选择。国防部发放的移动设备可进行远程管理,并可执行安全策略。
对 ZT 的影响: DAAS 资源通过代理和无代理管理得到保护。IT 能够从单个控制台管理、保护和部署任何设备上的资源和应用程序,以解决网络安全威胁。通过 IT 对国防部发放的移动设备的远程管理,可以缓解安全漏洞并接收政策执行措施。
活动:实施UEDM或同等工具;企业设备管理 Pt1;企业设备管理 Pt2。
Gartner 研究
Gartner 将 UEM 工具定义为基于软件的工具,这些工具使用基于代理或无代理的操作系统级集成与各个端点集成,在多个端点平台上提供集中管理、配置和报告。这些工具可以处理 PC 设备(主要是 macOS 和 Windows 端点),也可以完成 Android 和 iOS/iPadOS 设备的移动设备管理任务。这些工具还可以处理 Linux 端点,但很少用于服务器端点管理。
UEM 工具提供以用户为中心的跨设备平台端点资产视图,并可以根据外部触发条件自动配置设备。除了维护采用最低权限访问方法实现零信任的核心配置和状态之外,这些工具还可以响应基于零信任的触发条件(例如更改用户或设备上下文)来更改设备配置。
2.7 端点和扩展检测与响应
美国国防部模型
功能描述:国防部各机构使用端点检测和响应工具来监控、检测和补救端点上的恶意活动。扩展功能以包含 XDR 工具可让各机构负责端点以外的活动,例如云和网络。
能力成果:国防部各机构使用 EDR 工具来监控、检测和补救端点上的恶意活动,以此作为基准。升级到 XDR 工具可让各机构负责端点以外的活动。
对 ZT 的影响:通过主动调查和响应,最初可以减少来自网络连接端点的威胁。成熟度侧重于取证,通过关联多个安全层(例如电子邮件、云、端点)之间的数据,可以实现更快的威胁检测和补救。
活动:实施 EDR 工具并与 C2C 集成;实施 XDR 工具并与 C2C Pt1 和 C2C Pt2 集成。
Gartner 研究
端点保护平台是针对服务器和面向用户的端点部署的最常用的恶意软件预防和主动防御层,被视为所有组织基本安全卫生的基础方面。EDR 的功能是成熟端点安全策略的一个要素,也是 EPP 不可或缺的组成部分。
XDR扩展检测和响应为安全基础设施提供安全事件检测和自动响应功能。XDR 将来自多个来源的威胁情报和遥测数据与安全分析相结合,以提供安全告警的情境化和关联。XDR 从本机传感器获取输入,包括以端点为中心的工具和其他基础设施安全工具(如网络和身份保护资产),以进行关联的威胁情报、分析和响应。
图3:美国国防部应用程序和工作负载支柱中的零信任功能
支柱3:应用程序与工作负载
应用程序和工作负载支柱的目标和目的是:
“保护并正确管理应用程序层以及计算容器和虚拟机。”
该支柱包括图3 中列出并在以下章节中详细说明的能力。
3.1 应用清单
美国国防部模型
功能描述:系统所有者确保所有应用程序和应用程序组件都得到识别和清点;只有经过适当授权官员/CISO/CIO 授权的应用程序和应用程序组件才可在系统所有者的职权范围内使用。
能力结果:系统所有者确保所有应用程序和应用程序组件都得到识别和清点;只有获得适当授权官员/CISO/CIO 授权的应用程序和应用程序组件才可在系统所有者的职权范围内使用。
对 ZT 的影响:未经授权的应用程序和应用程序组件不得在系统上或系统内使用 。
活动:应用/代码识别
Gartner研究
应用程序清单可识别组件及其使用位置。构建此类功能需要添加针对特定类型资产的发现和清单功能的工具。软件组合分析 (SCA) 是一种旨在协助开源软件完成该任务的技术。还有不同的态势管理技术,分别专注于基础设施即服务 (IaaS)、Kubernetes 和 SaaS。此外,一些应用程序安全态势管理 (ASPM) 工具还具有应用程序清单功能。应用程序清单功能也是攻击面管理的一部分,它使用攻击面评估 (ASA) 工具来持续发现、清点和管理组织的资产,包括应用程序。
3.2 安全软件开发与集成
美国国防部模型
功能描述:根据零信任原则和最佳实践建立基础软件和应用程序安全流程和基础设施。代码审查、运行时保护、安全 API 网关、容器和无服务器安全等控制措施均已集成并实现自动化。
能力成果:将组织定义的安全控制和实践(包括零信任安全控制和虚拟化)集成到软件开发生命周期和 DevOps 工具链中。定制软件开发团队使用 DevSecOps 根据组织的要求(政策、技术和流程)将静态和动态应用程序安全测试集成到软件交付工作流中。
对 ZT 的影响:零信任安全概念、流程和功能在整个 DevOps 工具链中被接受和集成,包括在应用程序开发过程中发现弱点和漏洞所必需的静态和动态应用程序安全测试。
活动:构建 DevSecOps 软件工厂 Pt1;构建 DevSecOps 软件工厂 Pt2;自动化应用程序安全和代码修复 Pt1;自动化应用程序安全和代码修复 Pt2。
Gartner研究
现代 DevSecOps 流程需要在 CI/CD 管道的多个阶段协调控制。开发人员的安全意识至关重要。各种各样的技术涵盖应用程序安全测试、态势管理和 API 保护。应用程序安全测试工具已发展成为提供此类别中多种功能的复杂套件。其他专用工具专注于特定方面或交付方法,例如容器或 API。
无论在开发过程中多么谨慎,应用程序都必须经过精心设计,才能在恶劣的环境中生存。由于许多应用程序正在(并将继续)遭受越来越多的复杂攻击,因此需要适当组合缓解技术来保护它们。
3.3 软件风险管理
美国国防部模型
功能描述:国防部各组织建立软件/应用程序风险管理计划。基础控制包括物料清单风险管理、供应商风险管理、经批准的存储库和更新渠道以及漏洞管理计划。其他控制包括在 CI/CD 管道内进行持续验证以及利用外部来源进行漏洞成熟。
能力结果:国防部制定政策和程序,通过评估和识别批准来源的供应商采购风险、创建供开发团队使用的存储库和更新渠道、为应用程序创建物料清单以识别来源、可支持性和风险态势,并建立用于 DevSecOps 的行业标准 (DIB) 和批准的漏洞数据库,确保国防部和 DIB 系统内代码组件的供应链网络安全。
对 ZT 的影响: DAAS 和供应链相关组件中使用的代码是安全的,漏洞减少了,并且 DoD 意识到了潜在的风险。
活动:批准的二进制文件/代码;漏洞管理计划 Pt1;漏洞管理计划 Pt2;持续验证。
Gartner研究
管理已批准二进制文件和代码的有条不紊的方法需要跟踪代码的来源,包括其依赖项。软件物料清单 (SBOM) 等技术有助于实现这一点。它们需要更改内部流程,并允许在 DevSecOps 管道内实现自动化。随着组件的使用时间推移,它们很容易受到新漏洞的影响,必须识别、跟踪和评估这些漏洞以进行缓解。
此外,组织需要规划对软件开发存储库的安全访问,尤其是远程访问。SASE 和 SSE 等技术已经发展到可以满足这一要求。全面的软件风险管理需要成熟度模型,以及组织处理流程和人员的协调方法,包括对交付团队的技能和支持。
3.4 资源授权与整合
美国国防部模型
功能描述:国防部通过 CI/CD 管道建立标准化资源授权网关,采用风险方法审查用户、设备和数据安全状况。授权在实时/生产环境中采用编程(例如软件定义)方法。利用其他支柱活动以及 API 和授权网关丰富属性。使用授权对已批准的企业 API 进行微分段。
能力结果:国防部建立了一种标准方法,以风险方法管理资源授权,审查用户、设备和数据安全态势。
对 ZT 的影响:资源授权允许在后期以编程方式对这些资源进行有限访问。这提高了在不需要时删除访问权限的能力。
活动:资源授权 Pt1;资源授权 Pt2;SDC 资源授权 Pt1;SDC 资源授权 Pt2;丰富资源授权 Pt1 的属性;丰富资源授权 Pt2 的属性;REST API 微段。
Gartner研究
资源授权是一个广泛的话题,因为可以应用授权的资产类型很多,授权范例也有很多种。软件定义边界可以通过SASE 和 SSE 等技术实现。授权网关通常集成在 API 网关中。如果无法实现这一点,可以将外部授权管理器与代码集成以提供内联授权。
作为此功能的一部分,来自用户和实体活动监控、微分段服务、DLP 和 DRM 等来源的初始属性被集成到资源授权技术堆栈和策略中。
3.5 持续监控和持续授权
美国国防部模型
功能描述:国防部组织采用自动化工具和流程来持续监控应用程序并评估其运行授权。
能力结果:国防部组织采用自动化工具和流程来持续监控应用程序并评估其运行授权。
对 ZT 的影响:近乎实时地了解所部署的安全控制的有效性。
活动:持续运营授权(cATO)Pt1;持续运营授权(cATO)Pt2。
Gartner研究
高级零信任功能需要标准化控制监控和识别偏差,以便解决或缓解偏差。许多态势管理技术都属于这一领域。它们通常专注于云工作负载、容器、开发的应用程序、SaaS 或基础设施。虽然跨多个环境的集成仪表板难以捉摸,但单个工具提供了大量可以汇总的信息。
其中许多技术都集成在 DevSecOps 工具链中,并附带相关功能,允许自动监控、检测,在某些情况下还可以实现与此高级功能相符的自动响应功能。
图 4:数据支柱内的零信任功能
支柱4:数据
数据支柱的目标和目的:
“组织需要根据任务关键性对其 DAAS 进行分类,并利用这些信息制定全面的数据管理策略,作为其整体 ZT 方法的一部分。这可以通过提取一致的有效数据、对数据进行分类、开发模式以及加密静态和传输中的数据来实现。”
该支柱包括图4中列出并在以下章节中详细说明的能力。
4.1 数据目录风险对齐
美国国防部模型
功能描述:数据所有者确保数据得到识别和清点,并且数据格局的任何变化都会被自动检测并包含在目录中。然后必须审查数据格局,以识别与数据丢失、攻击或任何其他未经授权的更改和/或访问相关的潜在风险。
能力成果:数据所有者确保数据得到识别和清点,并且数据格局的任何变化都会被自动检测并包含在目录中。然后必须审查数据格局,以确定与数据丢失、攻击或任何其他未经授权的更改和/或访问相关的潜在风险。
对 ZT 的影响:数据资产是已知的,因此可以根据优先级框架按照风险级别进行收集、标记和保护,并进行加密以进行保护。
活动:数据分析。
Gartner研究
数据分类是此功能的核心。它代表使用商定的分类、分类法或本体来组织信息资产的过程。结果通常是大量的元数据存储库,可用于做出进一步的决策。这可以包括将标签或标签应用于数据对象以促进其使用和治理,无论是通过在其生命周期内应用控制措施,还是使用数据结构激活元数据。
4.2 企业数据治理
美国国防部模型
功能描述:国防部制定可执行的企业数据标记/标签和 DAAS 访问控制/共享政策(例如 SDS 政策)。制定的企业标准确保国防部各组织之间具有适当的互操作性。
能力结果:国防部建立可在现场级别执行的企业数据标签/标记和 DAAS 访问控制/共享政策(例如,SDS 政策)。
对 ZT 的影响:决策权和问责框架确保在数据和分析。
活动:定义数据标记标准;互操作性标准;制定软件定义存储 (SDS) 政策。
Gartner研究
与之前的功能类似,数据分类也是此功能核心的一项关键活动。此外,数据安全治理作为数据安全的一项总体活动,对于建立通用标准、程序和互操作性至关重要。Gartner 对此功能的指导从数据分类最佳实践延伸到数据安全治理。第4.2.3节提到了软件定义存储 (SDS) 策略,其中包括 Gartner 对数据存储和保护的研究。
4.3 数据标记和标签
美国国防部模型
功能描述:数据所有者根据国防部关于标签/标记政策的企业治理对数据进行标记和打标签。随着阶段的推进,自动化被用于满足扩展需求并提供更好的准确性。
能力结果:数据所有者根据国防部关于标签/标记政策的企业治理对数据进行标记和打标签。
对 ZT 的影响:建立机器可执行的数据访问控制、风险评估和态势感知需要一致且正确的标记和标签数据。
活动:实施数据标记和分类工具;手动数据标记 Pt1;手动数据标记 Pt2;自动数据标记和支持 Pt1;自动数据标记和支持 Pt2。
Gartner研究
随着手动数据标记从企业级开始,并扩展为附加属性,技术可以通过自动方式识别和分类数据来提供帮助。这里相关的是数据安全态势管理 (DSPM)功能和数据安全平台 (DSP)。Gartner研究还涵盖了Microsoft 堆栈中的数据安全性。
4.4 数据监测与传感
美国国防部模型
功能描述:数据所有者将捕获活动元数据,其中包括有关其数据资产的访问、共享、转换和使用的信息。进行数据丢失防护 (DLP) 和数据权限管理 (DRM) 执行点分析,以确定工具的部署位置。使用替代工具主动监控 DLP 和 DRM 范围之外的数据(例如文件共享和数据库)是否存在异常和恶意活动。
能力结果:数据所有者将捕获活动元数据,其中包括有关其数据资产的访问、共享、转换和使用的信息。
对 ZT 的影响:所有状态下的数据都是可检测和可观察的。
活动: DLP 执行点日志记录和分析;DRM 执行点日志记录和分析;文件活动监控 Pt1;文件活动监控 Pt2;数据库活动监控;综合数据活动监控。
Gartner研究
此功能预示着为部署 DLP 和 DRM 做好准备,Gartner 将其归类为企业数字版权管理 (EDRM)。数据库活动监控属于数据安全平台 (DSP) 的一部分。文件监控属于 Gartner 对非结构化数据保护的研究的一部分。
4.5 数据加密和权限管理
美国国防部模型
功能描述:国防部各组织制定并实施使用数据权限管理 (DRM) 工具加密静态和传输中数据的策略。DRM 解决方案利用数据标签来确定保护,最后与 ML 和 AI 集成以自动化保护。
能力结果:国防部各组织建立并实施了静态和传输中数据加密策略。
对 ZT 的影响:在所有状态下加密数据可降低未经授权的数据访问风险并提高数据安全性。
活动:实施 DRM 和保护工具 Pt1;实施 DRM 和保护工具 Pt2;通过数据标签和分析 Pt1 实施 DRM;通过数据标签和分析 Pt2 实施 DRM
*通过数据标签和分析 Pt3 实施 DRM。
Gartner研究
数字版权管理(Gartner 将其称为企业数字版权管理)和加密是此功能的核心。企业密钥管理用于跨各种加密技术创建强大的数据保护策略。数据安全平台使用包括数据标签和分析在内的各种方法来帮助实施策略。
4.6 数据防泄漏 (DLP)
美国国防部模型
功能描述:国防部各组织利用已确定的执行点部署已批准的 DLP 工具并将标记数据属性与 DLP 集成。最初,DLP 解决方案处于“仅监控”模式以限制业务影响,随后使用分析进入“预防”模式。扩展数据标记属性用于为 DLP 解决方案提供信息,最后与 ML 和 AI 集成。
能力成果:国防部各机构已确定执行点,在这些执行点部署了经批准的 DLP 工具,并将标记数据属性与 DLP 集成 。
对 ZT 的影响:检测并缓解数据泄露和数据泄露传输。
活动:实施执行点;通过数据标签和分析 Pt1 实施 DLP;通过数据标签和分析 Pt2 实施 DLP;通过数据标签和分析 Pt3 实施 DLP。
Gartner研究
此功能专注于 DLP,目前已在多种不同技术中发现其示例。Gartner 涵盖传统 DLP 市场,以及用于云用例的云访问安全代理 (CASB) 和安全服务边缘 (SSE) 。
4.7数据访问控制
美国国防部模型
功能描述:国防部组织根据数据和用户/NPE/设备属性确保对数据的适当访问和使用。软件定义存储 (SDS) 用于扩展对 DAAS 的管理权限。最后,SDS 解决方案与 DRM 工具集成,以增强保护。
能力结果:国防部组织确保根据数据和用户/NPE/设备属性适当地访问和使用数据。
对 ZT 的影响:未经授权的实体或未经授权的设备上的任何实体都无法访问数据;零信任网络安全将足够强大,可以将同一分类数据的利益社区数据访问分开。
活动:将 DAAS 访问与 SDS 策略 Pt1 集成;将 DAAS 访问与 SDS 策略 Pt2 集成;将 DAAS 访问与 SDS 策略 Pt3 集成;将解决方案和策略与企业 IDP Pt1 集成;将解决方案和策略与企业 IDP Pt2 集成;实施 SDS 工具和/或与 DRM 工具 Pt1 集成;实施 SDS 工具和/或与 DRM 工具 Pt2 集成。
Gartner研究
组织数据、应用程序、资产和服务 ( DAAS ) 策略需要一种基于属性的访问控制 (ABAC) 机制,该机制可延伸至细粒度访问控制。多种技术提供授权服务。Gartner 对 DAAS 授权的研究重点是使用 ABAC 的基于策略的访问控制。它从策略决策点延伸到执行和信息点,以及通过多种授权模式集成到 DAAS。在执行点方面,还包括其他相邻技术,例如数据屏蔽。
图5:美国国防部用户网络和环境支柱内的零信任功能
支柱5:网络与环境
网络和环境支柱的目标和目的是:
“通过细粒度的策略和访问控制对网络进行分段、隔离和控制(物理和逻辑)。”
该支柱包括图 5中列出并在以下章节中详细说明的能力。
5.1 数据流映射
美国国防部模型
功能描述:国防部组织通过收集、映射和可视化网络流量数据流和模式来协调数据流,以确保对网络和 DAAS 资源的授权访问和保护,特别是在可能的情况下标记程序(例如 API)访问。
能力结果:国防部组织通过收集、映射和可视化网络流量数据流和模式来协调数据流,以确保对网络和 DAAS 资源的授权访问和保护。
对 ZT 的影响:零信任必须执行精细的网络资源访问策略。数据流映射揭示了谁在访问什么,以确定访问策略的基准。
活动:定义细粒度控制访问规则和策略并部署到现有网络技术中;利用数据标记和分类标准定义细粒度控制访问规则和策略来开发用于 API 访问 SDN 基础设施的数据过滤器。
Gartner研究
数据流映射是各种安全产品的关键组件,但通常不作为独立产品存在。数据流通常提供网络对话的映射,包括源 IP 地址、目标 IP 地址和正在使用的端口/协议。它通常是大型产品(例如组织的 NDR 或 NPM 产品)的一部分。具有此功能的其他产品包括基于主机的微分段和 CPS。
5.2软件定义网络(SDN)
美国国防部模型
功能描述:国防部各组织定义 API 决策点并实施 SDN 可编程基础设施,以分离控制平面和数据平面,并集中管理和控制数据平面中的元素。通过与决策点和分段网关进行集成,实现平面分离。然后将分析集成到实时决策中,以访问资源。
能力结果:国防部组织定义 API 决策点并实施 SDN 可编程基础设施以分离控制和数据平面,并集中管理和控制数据平面中的元素。
对 ZT 的影响:零信任需要动态策略更新功能,以确保允许持续的流量流动。传统网络的访问执行能力有限。软件定义网络提供了一种技术,可以提供访问执行,并结合本机的动态更新访问策略功能。
活动:定义 SDN API:实施 SDN 可编程基础设施;将流分段分为控制、管理和数据平面;网络资产发现和优化;实时访问决策。
Gartner 研究
SDN 是一种设计、构建和运营网络的架构方法,可提高灵活性和可扩展性。开放网络基金会将 SDN 具体定义为“网络控制平面与转发平面的物理分离,以及控制平面控制多个设备。”将网络控制平面与转发平面分离的 SDN 产品从未被主流企业采用。SDN 带来了自动化、编排和可编程性的创新。它为软件定义广域网 (SD-WAN)、微分段、brite-box 交换和 SD-branch 产品等创新铺平了道路。
5.3 宏分段
美国国防部模型
功能描述:国防部组织通过在连接之前每次尝试访问远程资源时验证设备、用户或 NPE,建立网络边界并提供针对环境内联网资产的安全保障。
能力结果:国防部组织通过在连接之前每次尝试访问远程资源时验证设备、用户或 NPE,建立网络边界并为环境内的设备提供安全保障。
对 ZT 的影响:零信任的一个关键可交付成果是能够限制所访问资源之间的横向移动。传统网络采用“扁平”架构设计,对资源之间的横向移动几乎没有任何限制。宏分段是超越扁平网络设计的开始。宏分段可以从分离不同层级的应用程序、分离用户与应用程序、分离生产与非生产等环境或按物理位置开始。
活动:数据中心宏分段;B/C/P/S 宏分段。
Gartner 研究
宏分段是一项必不可少的功能,它使用网络中很可能已经部署的技术进行部署。从运营角度来看,这允许对资源进行逻辑分段,而从安全角度来看,分段可以对横向移动进行粗略控制。宏分段可以与传统网络组件(例如路由器或防火墙)一起部署,但通常基于使用连续 IP 地址构建的分段。
5.4 微分段
美国国防部模型
功能描述:国防部各机构根据其虚拟化和/或云环境中的身份和/或应用程序访问定义和记录网络分段。自动化用于通过编程(例如 API)方法应用策略更改。最后,在可能的情况下,各机构将利用主机级流程微分段。
能力结果:国防部组织根据其虚拟化云环境中的身份和/或应用程序访问定义并记录网络分段。
对 ZT 的影响:零信任的一个关键交付成果是限制所访问资源之间的横向移动的能力。宏分段是控制资源之间横向移动的关键第一步,但它充其量只是一种粗略的安全控制。一旦宏分段边界到位,就会使用微分段来强制对分段内的横向移动进行精细控制。
活动:实施微分段;应用程序和设备微分段;流程微分段;保护传输中的数据。
Gartner 研究
微分段是限制细粒度横向移动的基础。微分段的核心是承诺在网络上的任何一对端点之间插入安全服务,无论它们是共享一个公共广播域还是位于完全不同的物理位置。微分段有几种选择,包括主机代理产品、SDN 产品和基于虚拟机管理程序的产品。每种产品都有优势,但也存在局限性。
图6:美国国防部自动化和编排支柱内的零信任功能
支柱6:自动化与编排
自动化与编排支柱的目标和目的:
“自动化安全响应需要在 ZT 企业的所有环境中定义流程并实施一致的安全策略,以提供主动的指挥和控制。”
该支柱包括图6 中列出并在以下章节中详细说明的能力。
6.1 策略决策点(PDP)和策略编排
美国国防部模型
功能描述:国防部各组织最初收集并记录所有基于规则的政策,以便在整个安全堆栈中进行协调,实现有效的自动化;将定义、实施和更新国防自动寻址系统 ( DAAS )访问程序和政策。各组织通过建立策略定义点 (PDP) 和策略执行点 ( PEP )(包括下一代防火墙)来完善此功能,以便根据预定义的策略进行 DAAS 资源确定并启用、监控和终止用户/设备与 DAAS 资源之间的连接。
能力成果:国防部各组织最初收集并记录所有基于规则的政策,以便在整个安全堆栈中进行协调,实现有效的自动化;DAAS 访问程序和政策将得到定义、实施和更新。各组织通过建立 PDP 和 PEP(包括下一代防火墙)来完善这一能力,以便根据预定义的策略做出 DAAS 资源决定并启用、监控和终止用户/设备与 DAAS 资源之间的连接。
对 ZT 的影响: PDP 和 PEP 确保对正确连接(或拒绝访问)请求资源的用户或端点正确实施 DAAS 访问策略。
活动:政策清单与开发;组织访问配置文件;企业安全配置文件 Pt1;企业安全配置文件 Pt2。
Gartner 研究
整个组织中的多个解决方案中都存在 PDP,这些解决方案在NGFW 、安全服务边缘 (SSE)、端点解决方案和应用层等 PEP 上实施。有时,PEP 和 PDP 会混合到单个解决方案中,例如下一代防火墙 (NGFW)。然而,组织发现很难确保 PDP 策略符合零信任原则并在不同的 PDP 和 PEP 之间保持一致,即使它们可能利用通用身份结构。
单一供应商解决方案(例如 SSE)使单个 PDP 管理多个 PEP 变得更加容易,但这并不总是可行的。网络安全策略管理( NSPM ) 和云安全态势管理 (CSPM) 等工具有助于为 NGFW 云和微分段解决方案中的策略提供治理和可见性。
6.2 关键流程自动化
美国国防部模型
能力描述:国防部各组织采用自动化方法,例如机器人流程自动化 ( RPA ),根据系统安全工程原理处理关键功能(例如数据丰富、安全控制和事件响应工作流)的重复性、可预测任务。
能力结果:国防部组织采用 RPA 等自动化方法,根据系统安全工程原理解决数据丰富、安全控制和事件响应工作流等关键功能的重复性、可预测任务。
对 ZT 的影响:通过协调工作流程和风险管理流程,响应时间和能力得到提高。
活动:任务自动化分析;企业集成和工作流程配置 Pt1;企业集成和工作流程配置 Pt2。
Gartner 研究
组织使用不同的方法实现自动化。那些优先考虑特定领域自动化用例的人可以使用现有工具的自动化功能。专注于广泛安全自动化用例的组织可以利用 SOAR 平台来管理和促进开发。专注于自动化主要在传统 IT 系统中执行的关键手动流程的组织可以利用 RPA 解决方案来自动化此类流程,这些系统既不提供内置自动化功能,也不提供与 SOAR 平台交互的 API 。
6.3 机器学习
美国国防部模型
能力描述:国防部各部门采用机器学习来执行(并增强执行)关键功能,例如事件响应、异常检测、用户基准测试和数据标记。
能力结果:国防部各组织采用机器学习来执行(并增强执行)关键功能,例如事件响应、异常检测、用户基准测试和数据标记。
对 ZT 的影响:通过协调工作流程和风险管理流程,响应时间和能力得到提高。
活动:实现数据标记和分类 ML 工具。
Gartner 研究
随着组织越来越依赖机器学习提供的增强结果,它们必须确保机器学习的使用安全。数据是训练和操作机器学习的核心,组织在整个机器学习使用生命周期中建立数据治理和安全措施至关重要。确保机器学习遵守现有的数据标记标准对于数据完整性至关重要。此外,保护机器学习本身免受不同攻击媒介的侵害对于维护数据安全和流程保真度至关重要。
6.4 人工智能
美国国防部模型
能力描述:国防部各机构采用人工智能来执行(并增强执行)关键功能——特别是风险和访问确定以及环境分析。
能力结果:国防部各组织采用人工智能来执行(并增强执行)关键功能——特别是风险和访问确定以及环境分析。
对 ZT 的影响:通过协调工作流程和风险管理流程,响应时间和能力得到提高。
活动:实施 AI 自动化工具;由分析驱动的 AI 决定 A&O 修改。
Gartner 研究
AI 是一套广泛的高级分析功能,从传统的 ML 到最近快速发展的 LLM。安全供应商一直在使用传统的 ML 技术来识别异常值并检测日志中的异常模式。一旦添加到安全产品中,LLM 独特的逻辑推理能力就会提供以前无法提供的额外智能决策层。
6.5 安全编排、自动化和响应 (SOAR)
美国国防部模型
能力描述:国防部各组织实现了安全技术的初始作战能力,通过获取警报数据、触发自动响应和补救的剧本,协调和自动化政策(例如 PEP 和 PDP)和规则集,以改进安全操作、威胁和漏洞管理以及安全事件响应。
能力结果:国防部各组织实现安全技术的妥协指标 (IOC),以协调和自动化政策(例如 PEP 和 PDP)和规则集,通过获取警报数据、触发自动响应和补救的剧本来改善安全操作、威胁和漏洞管理以及安全事件响应。
对 ZT 的影响:从收集到事件响应和分类的预定义剧本实现了初始流程自动化,从而加快了安全团队的决策和响应速度。
活动:响应自动化分析;实施 SOAR 工具;实施剧本。
Gartner 研究
组织面临着分布式 IT 生态系统、复杂的安全监控需求和 SOC 人才短缺的挑战。安全自动化提供了使用脚本化剧本执行明确定义和重复的安全运营任务的能力。剧本是确定性的,只执行预编码的任务。他们不会自己思考。组织通常使用现有工具的自动化功能或专用的 SOAR 平台实现安全自动化。
6.6 API标准化
美国国防部模型
功能描述:国防部建立并执行企业范围的编程接口(例如 API)标准;所有不合规的 API 都会被识别和替换。
能力结果:国防部建立并执行企业范围的 API 标准;所有不合规的 API 都会被识别和替换。
对 ZT 的影响:跨部门标准化 API 可改善应用程序接口、实现编排并增强互操作性。
活动:工具合规性分析;标准化 API 调用和模式 Pt1;标准化 API 调用和模式 Pt2。
Gartner 研究
组织在将其应用程序和服务发展为以 API 为中心的架构方面取得了很大成功。以 API 为中心的架构不一定能确保所有 API 都符合零信任原则,也不一定能确保它们设计安全并遵守 API 标准。组织必须制定和实施 API 标准和保护措施,但这不能一次性完成。利用 API 成熟度模型将确保 API 安全性不仅标准化,而且在组织部署的现有和新 API 中一致实施。
6.7 安全运营中心和事件响应
美国国防部模型
功能描述:如果不存在计算机网络防御服务提供商 (CNDSP),国防部组织将定义并建立安全运营中心 (SOC),以部署、运营和维护 DAAS 的安全监控、保护和响应;SOC 为状态(向上可见性)和战术实施(向下可见性)提供安全管理可见性。SOC 内的工作流程使用自动化工具实现自动化,服务提供商和技术之间实现丰富化。
能力结果:如果不存在 CNDSP,国防部组织将定义并建立 SOC 来部署、操作和维护 DAAS 的安全监控、保护和响应;SOC 为状态(向上可见性)和战术实施(向下可见性)提供安全管理可见性。
对 ZT 的影响:标准化、协调化和加速化事件响应和调查工作。
活动:工作流程丰富 Pt1;工作流程丰富 Pt2;工作流程丰富 Pt3;自动化工作流程。
Gartner 研究
安全运营是有效安全计划的重要组成部分。为了帮助组织创建、维护、管理和增强其安全运营,Gartner 研究涵盖了三个关键领域。这些重点是:
-
能够快速检测和应对内部和使用服务合作伙伴的威胁
-
识别导致各类业务风险的威胁暴露
-
管理和衡量安全运营中心 (SOC) 团队绩效的能力,证明他们为更广泛的业务使命做出贡献。
图7:美国国防部可视性和分析支柱内的零信任功能
支柱7:可视性和分析
可见性和分析支柱的目标和目的:
“ZT 企业将捕获和检查流量,超越网络监控,深入数据包本身,以准确发现网络上的流量并观察存在的威胁,并更智能地定位防御。”
该支柱包括图7 中列出并在以下章节中详细说明的能力。
7.1 记录所有流量(网络、数据、应用程序、用户)
美国国防部模型
功能描述:国防部组织收集和处理所有日志,包括网络、数据、应用程序、设备和用户日志,并将这些日志提供给适当的计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC)。日志和事件遵循标准化格式,并根据需要制定规则/分析。
能力结果:国防部组织收集和处理所有日志,包括网络、数据、应用程序、设备和用户日志,并将这些日志提供给适当的计算机网络防御服务提供商 (CNDSP) 或 SOC。
对 ZT 的影响:自动搜寻和事件响应剧本开发的基础 。
活动:规模考虑;日志解析;日志分析。
Gartner 研究
将所有日志数据存储在威胁检测、调查和响应 (TDIR) 工具中成本过高,因此使用特定路由将日志存储在成本较低的存储中(例如日志收集器、数据湖或基于云的冷存储)。并非所有日志数据都与安全相关,必须解析为相关格式。在支持 TDIR 的工具和另一个工具(如网络操作工具)之间拆分馈送非常重要。在日志数据到达最终目的地(或第三方实体)之前清理或删除敏感信息是必要的,不仅可以降低成本,还可以降低敏感数据泄露的风险。
7.2 安全信息和事件管理 (SIEM)
美国国防部模型
功能描述:计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC) 监控、检测和分析记录到安全信息和事件管理 (SIEM) 工具中的数据。使用安全控制创建用户和设备基线并将其与 SIEM 集成。SIEM 中的告警在各个阶段逐渐成熟,以支持更高级的数据点(例如,网络威胁情报、基线等)
能力结果: CNDSP/SOC 监控、检测和分析记录到安全信息和事件管理 (SIEM) 工具的数据。
对 ZT 的影响:处理和利用 SIEM 中的数据可以对异常用户行为进行有效的安全分析,并针对常见威胁事件发出警报和自动执行相关事件响应 。
活动:威胁告警 Pt1;威胁告警 Pt2;威胁告警 Pt3;资产 ID 和告警关联;用户/设备基线。
Gartner 研究
SIEM 是一种可配置的安全记录系统,可汇总和分析来自本地和云环境的安全事件数据。SIEM 可协助采取响应措施,以缓解对组织造成危害的问题并满足合规性和报告要求。评估 SIEM 平台的要求很复杂,因为它需要了解 SIEM 将从中获取数据的架构以及实现 SOC 目标所需的用例、报告和输出。
7.3 常见的安全和风险分析
美国国防部模型
功能描述:计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC) 在其企业内使用多种数据类型的数据工具来统一数据收集并检查事件、活动和行为。
能力结果: CNDSP/SOC 在其企业内使用大数据工具来处理多种数据类型,以统一数据收集并检查事件、活动和行为。
对 ZT 的影响:跨多种数据类型集成分析以检查事件、活动和行为。
活动:实施分析工具;建立用户基线行为。
Gartner 研究
跨多种技术产品的内置功能。分析功能,尤其是专注于检测安全威胁的功能,并不是可以单独获得的功能。诸如 SIEM 之类的平台解决方案是使用 UEBA 等功能的主要载体,但是许多更特定于监控的功能(包括 EDR、NDR、XDR 和电子邮件安全)也经常使用分析方法进行检测。风险分析使用户能够将上下文添加到技术供应商提供的基于威胁的计算中。以人为主导的评估(例如资产的关键性或数据分类)通常是定制和情境化风险评分的关键因素。
7.4 用户和实体行为分析(UEBA)
美国国防部模型
功能描述:国防部各机构最初使用分析来描述和确定用户和实体的基线活动,关联用户活动和行为并检测异常。计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC) 通过使用高级分析来描述和确定用户和实体的基线活动,关联用户活动和行为并检测异常,从而使此功能更加成熟。
能力成果:国防部各机构最初采用分析技术来描述和确定用户和实体的基线活动,关联用户活动和行为并检测异常。CNDSP/SOC 通过使用高级分析技术来描述和确定用户和实体的基线活动,关联用户活动和行为并检测异常,从而使这一能力更加成熟 。
对 ZT 的影响:高级分析支持检测异常用户、设备和 NPE 操作以及高级威胁。
活动:基线和分析 Pt1;基线和分析 Pt2;UEBA 基线支持 Pt1;UEBA 基线支持 Pt2。
Gartner 研究
用户和实体行为分析 (UEBA) 是识别非法活动和应用机器学习技术检测导致数据被盗或恶意使用的“未知”威胁的重要工具。UEBA 对现代网络安全工具集至关重要,但主要不是一项独立功能。
7.5 威胁情报集成
美国国防部模型
功能描述:计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC) 将有关身份、动机、特征以及策略、技术和程序 (TTP) 的威胁情报信息和流与 SIEM 中收集的数据相结合。
能力结果: CNDSP/SOC 将有关身份、动机、特征以及策略、技术和程序 (TTP) 的威胁情报信息和流与 SIEM 中收集的数据相结合。
对 ZT 的影响:将威胁情报集成到其他 SIEM 数据中可增强监控工作和事件响应 。
活动:网络威胁情报计划 Pt1;网络威胁情报计划 Pt2。
Gartner 研究
威胁情报是关于现有或新出现的资产威胁或危险的基于证据的知识(包括背景、机制、指标、影响和行动导向建议)。这种情报可用于为主体应对威胁或危险的决策提供信息。组织经常在未做好充分准备的情况下获取威胁情报服务或信息。威胁情报的集成必须围绕优先情报需求 (PIR) 进行设计,以实现最佳预防和可见性。
7.6 自动动态策略
美国国防部模型
功能描述:国防部组织的 ML 和 AI 解决方案通过持续的安全态势监控、风险和信心评分以及自动补丁管理,动态地自动更新安全配置文件和设备配置。
能力结果: CNDSP/SOC通过持续的安全态势监控、风险和信心评分以及自动补丁管理,动态地自动更新安全配置文件和设备配置。
对 ZT 的影响:根据外部条件和不断变化的风险和信心分数,根据自动、实时的安全配置文件拒绝用户和 NPE 访问。
活动:人工智能支持的网络访问;人工智能支持的动态访问控制。
Gartner 研究
在网络安全自动化方面,技术能力很少成为限制因素。实现自动策略更新的技术手段不仅限于内联和实时技术。Gartner 观察到,通过持续控制监控 (CCM) 或云安全态势管理 (CSPM) 等工具增强的全自动响应或策略更新流程的实施有限,因为让人类参与其中可以确保有人对变化负责。要从即时、按需的自动策略生成转变为持续更新的授权,技术需要在策略推荐引擎中集成实时元素——可能是网络安全网格架构 (CSMA) 的一部分。这包括外部因素,例如正在进行的攻击活动和基于行为的风险评估。然后,技术实施必须足够可靠,以证明没有误报,或者包括快速检测和补救不良变化的机制。