零信任和加密的普及将牺牲一些网络可见性,导致大量传统网络安全工具“失明”。
越来越严格的合规要求和零信任架构的普及正在推动企业网络进入全面加密的时代,这反过来又迫使网络安全专家改变原有的网络安全方法。
根据Gartner的信息安全和风险管理研究预测,到2024年全球75%的人口的个人数据将受到隐私法规的保护。受到远程工作者增加的推动,零信任网络访问(ZTNA)将是增长最快的网络安全细分市场,预计到2023年将增长31%。混合办公的趋势已经不可逆转,VPN也将被零信任网络访问替代。
零信任的“副作用”
零信任网络访问能够极大改善企业的网络安全态势。随着原子化网络的不断发展以及应用程序和人员的“随时随地”,零信任网络访问提供了对移动性和访问的更大控制。与传统的一次验证,到处访问(资源和设备)的安全控制不同,零信任针对每次访问都会进行验证和授权(永不信任,始终验证)。
但是,零信任网络访问使用加密来保护所有连接,这也产生了一个不容忽视的新的安全难题。因为加密的普及意味着牺牲网络可见性,导致大量传统安全工具的“失明”。
即便是使用安全访问服务边缘(SASE)平台管理零信任网络访问的企业也会为了身份验证和加密而牺牲一定程度的可见性。当用户连接到其提供商的专用云时,SASE将管理身份验证和授权。从用户的角度来看,这种体验非常“丝滑无缝”,但安全团队却“有苦难言”,因为这意味着他们失去了完成安全管理工作的“抓手”,只能查看身份验证日志和访问日志,无法实时查看云环境中实际发生的情况。
其实零信任并非“加密蔓延”的唯一原因。即使企业不采用零信任方法,仍然会为了保护数据隐私或满足合规要求而实施加密,应用于面向互联网的主机,以及内部保护静态和传输中的数据。
加密与检测的风险悖论
随着加密变得无处不在,企业安全团队面临的第一个挑战就是故障排除和威胁搜寻等操作的复杂性增加。加密蔓延和网络原子化趋势正迫使企业弃用许多基于深度数据包检测(DPI)和数据包捕获技术的传统工具,因为加密使这些工具的部署和管理成本和复杂性大大增加。
传统的安全思维是,为了检测和响应,安全团队必须看到一切,这意味着必须解密一切,但这个逻辑已经难以适应今天的数字环境。在没有定义安全边界的离散动态环境中,对其中某个设备(的流量)进行解密正变得越来越困难。我们有越来越多的流量要解密,越来越多的证书要管理,任何需要破坏加密以进行检测和响应的点都可能是敏感数据的暴露点。这似乎产生了一个悖论:为了保证网络安全,我们往往需要引入更多(数据泄露)风险。
零信任不是网络安全的敌人
网络安全行业当下迫切需要一个全新的网络安全方法,在进行威胁检测和响应时,即保证网络安全的可见性,同时又不引入额外的数据安全风险。
许多计算机设备都安装了端点检测响应(EDR)代理,这些代理提供对网络上的主机和本地进程的可见性。但是,并非IT环境中的每个联网设备都能够支持EDR代理,并且EDR无法实时提供对网络流量的可见性。而流数据形式的元数据此时可以发挥作用,无需捕获和检查每个数据包即可查看和监视网络流量以进行检测和响应。元数据在多云、本地和混合环境中广泛可用,并且在使用上下文进行富化时,可以对整个原子化网络中的流量提供高级实时可见性。
总的来说,EDR和元数据可以很好地监测网络上的信息、正在执行的操作以及正在发生的情况,并且可以在不破坏加密的情况下检测大多数攻击。在我们看到需要更深入研究的异常行为的情况下,我们可以缩小调查和解密范围。通过将程序配置为仅在必要时解密,我们可以相应地降低风险状况,同时最大限度地降低数据安全的成本和复杂性
事实证明,加密和零信任与原子化网络安全并不存在不可调和的矛盾,相反,零信任正在推动网络安全方法的进化。企业不再需要全域全生命周期100%加密(难以扩展并带来新的风险),享受零信任和加密组合的好处,并且不会牺牲原子化网络安全防护的全面可见性和覆盖范围。
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,
那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析