對於零信任架構(Zero Trust Architecture,ZTA)的介紹,NIST從基礎認知,談到元件組成與部署方式,特別的是,NIST還針對零信任架構的相關風險進行探討。
第五章 零信任架構相關威脅
在SP 800-207的第五章中,NIST希望用戶對於網路安全及零信任的觀念,要有正確的認知,因此,他們一開始就強調,任何企業都不可能完全防範網路安全風險,並不會有百分百的安全。
在現有的網路安全政策與指南之下,加上身分識別與存取管控、持續監控、普遍網路衛生的相輔相成,實施ZTA的主要目標就是,降低總體風險,防範共同威脅。
然而,在導入ZTA時,也將面臨一些特定的風險。NIST共歸納出七大威脅面,並說明其風險,這將成為企業與業者在設計或導入ZTA時,可以考量或注意的面向。
第五章第一節 ZTA決策過程遭破壞
零信任架構的第一個風險,就是存在於策略引擎(PE)與策略管理器(PA),因為它們是整個系統的關鍵組成,企業資源的請求都需經由此機制來存取放行。這意味著,這些元件必須要被正確的設置與維護。
據理來說,若是可存取PE政策的任一企業的系統管理者,執行了未經授權的變更或是犯了錯,都可能擾亂企業的運行;同樣地,遭入侵的PA可能允許存取未經核准的資源,例如個人裝置遭入侵。
因此,要防範PE與PA的相關風險,就必須具有適當的設定與監控,對於任何變更設定,都要做到紀錄與稽核。
第五章第二節 遭遇DoS阻斷服務或網路中斷
如上所述,PE與PA是整個系統的關鍵,而零信任架構的第二個風險,就是若是攻擊者透過DoS攻擊,或是路由劫持等方式,造成與PEP或PE/PA連線的中斷或拒絕存取,也可能對企業系統運行造成影響。
基本上,企業可以遵照SP800-160v2網路彈性指南,將政策落實放在安全可靠的雲端環境或是設於多個位置,來緩解這樣的威脅。
不過,這並無法完全消除風險,畢竟,過去Mirai等僵屍網路曾發起大規模的服務阻斷攻擊,而攻擊者也可能只攔截或中斷部分流量,使部分用戶受影響,此外,還有像是雲端服務提供者也可能發生意外,使設於雲端的PE或PA離線。
第五章第三節 帳密被盜/內部威脅
由於零信任原則是不再有隱性的信任,攻擊者只能靠入侵既有的帳戶或裝置,才能在企業中獲得立足點,因此,對於企業組織而言,要能正確開發與實施ZTA,應防止遭入侵的帳戶或資產以超出其正常權限或存取模式的行動。這意味著,具有資源存取權限的有價值帳戶,將成為攻擊者的主要目標。
攻擊者將如何獲取這類具有價值的帳戶?一般而言,攻擊者慣用網路釣魚、社交工程,以及兩者合併使用的手法。對於成為目標的具有價值帳號,NIST提醒,這需要從攻擊動機來看,企業管理者的帳號通常被認為很有價值,但對於財務有興趣的攻擊者,可能還會考慮具有財務與支付資源存取權限的帳號。
在因應上,NIST表示,實施多因子身份驗證(MFA),將可降低資料遭被入侵帳戶存取的風險。不過,一旦攻擊者或是惡意的內部人員獲得了有效憑證,仍然能夠存取已授予權限的資源。因此,這樣的風險仍需要注意。
NIST強調,零信任架構可降低風險,以及防止被入侵帳戶或資產在整個網路中的橫向移動。
防止橫向移動攻擊是關鍵。因此,被入侵帳戶若原本沒有的存取權限,其實依然會被繼續拒絕存取。而且,在第三章說明ZTA演算法時,曾提到基於裝置情境(Contextual)的信任演算法,這將比傳統的邊界防護策略,更容易偵測出超過正常存取模式的攻擊行為,並拒絕遭入侵帳戶或內部威脅去存取敏感資源。
第五章第四節 網路可視性
在第三章說明ZTA網路環境元件時,NIST提到對於網路上的所有流量,都需經過檢查、記錄與分析,目的是要識別與應對潛在的攻擊活動。
然而,企業網路中的多數流量,對於第三層(Layer 3)的網路分析工具而言,可能並不透明,加上這些流量可能並非來自所有企業資產,或是應用程式與服務本身可抵抗這類被動監控。因此,企業無法執行深度封包檢測(DPI)或檢查加密流量,必須使用其他方法來評估,網路上是否可能存在攻擊者。
但NIST指出,這並不代表企業無法分析這些加密流量,企業還是可以蒐集加密流量元資料(metadata),並使用這樣的資料來檢測網路上的攻擊者活動,或是可能存在的惡意軟體通訊行為。此外,機器學習技術將有助於分析這類無法被解密的流量。
在此,NIST提及了2017年一篇由Blake Anderson與David McGrew發表的研究報告,名為「用於加密惡意軟體流量分類的機器學習-考慮雜訊標籤與非平穩性」,並說明使用此類型的機器學習,將幫助企業將流量分類,包括有效的流量,以及可能存在惡意有待補救的流量。
第五章第五節 系統與網路資訊的儲存
當企業針對網路流量進行監控與分析時,這裡同樣存在一個相關的威脅,那是分析元件本身的安全性。
如果有監控機制進行的掃描結果、網路流量、備用作裝置情境(Contextual)演算的元資料、鑑識結果,以及後續調查等資料,這些資料也將成為攻擊者的目標。這就如同網路拓樸、配置文件,以及各種網路架構文件一般,這些資訊也都應受到保護。一旦攻擊者能夠存取這些資訊,意謂著對方能夠深入瞭解企業架構並識別資產,幫助他們未來進一步的偵測與攻擊。
在零信任企業環境中,另一個攻擊者資訊偵察的來源,是編碼存取政策的管理工具,這如同網路流量的儲存,這個元件包含資源存取政策,將提供給攻擊者資訊,瞭解那些帳號最有價值被入侵,例如,知曉可存取特定資源的帳戶。
因此,對於所有具有價值的企業資料,都應採取適當保護措施,防止未經授權的存取與嘗試存取的行為。由於這些資源的安全更是至關重要,因此需採取最嚴格的存取政策,只能透過指定或專用的管理者帳戶去存取。
第五章第六節 依賴專有資料格式或解決方案
從ZTA核心元件來看,零信任架構會依據多方資料做出存取決策,這當中包括請求的主體、使用的資產,以及企業與外部威脅情資等資訊。
普遍而言,這些資訊的交換並沒有一個通用的開放標準,這樣的互動性問題,將導致企業可能被限制在同一個供應商。如此一來,當該供應商出現安全問題或服務中斷時,可能無法搬移到新的供應商,除非是要付出高昂成本更換多項資產,或是需要經歷漫長的轉換計畫。
基本上,這樣的風險並非ZTA特有的問題,但因為ZTA非常依賴動態存取政策控管,因此,這樣的問題將會影響到企業核心業務功能。
因此,NIST指出了供應鏈安全的議題。為了要降低相關風險,企業需要對服務提供商進行整體評估,不只是考量效能、穩定性,並要考量供應商資安控管,以及企業轉換成本與供應鏈風險管理等因素。
第五章第七節 ZTA管理者採非人實體的風險
最後一個威脅面,NIST談到的是自動化引發的風險,也就是具有數位身分的實體、非人類實體(Non-person Entities,NPE),也將會與ZTA核心元件的互動,因此而帶來風險。
隨著AI與其他基於軟體的代理程式的部署,用以管理企業網路上的安全問題。這些元件,將與ZTA的核心元件(如PE、PA)互動,有時也將代替人工管理者去執行,在零信任架構中,這些元件該如何做到本身的驗證,是一個仍未解決的問題。基本上,假設大多數自動化技術系統在使用資源組件的API時,將以某種方式進行身分驗證。
不過,當政策設定與政策執行使用自動化技術時,這時的最大風險,就是「誤報」,當中包括兩種情形,分別是無害行為被認定為攻擊,或是攻擊行為被判為正常活動。
因此,相關風險就是攻擊者可能透過誘使或強迫方式,讓NPE執行攻擊者無權執行的動作。NIST解釋,與人類用戶相比較,軟體代理程式在執行管理或安全相關任務上,可能採用較低的身分驗證標準,例如API金鑰與多因素驗證,一旦攻擊者可與代理程式互動,理論上可以欺騙代理程式,允許攻擊者獲得更大的存取權限,或是執行某項任務。另外,還有一種風險要注意,攻擊者可獲得軟體代理程式的憑證,並在執行任務時冒充代理程式。
更多ZTA 101內容
熱門新聞
2024-04-24
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
