BY RYAN OLIAEE
从最近发生在美国政府网络上的一系列网络攻击可见，无论是SolarWinds事件还是俄罗斯对美国财政部和商务部的情报破坏，各国黑客都在寻找渗透政府系统的新方法。正如网络安全与基础设施安全局代理局长布兰登·威尔斯（Brandon Wales）最近向国土安全与政府事务委员会的立法者解释所说： “我们的对手已经取得了进步，他们不再使用相同的基础结构来反复瞄准我们。” “我们必须调整我们的安全实践。”
讨论中的方法之一是零信任
零信任基于以下假设：网络内部或外部的每个人都可能构成威胁。
但是，在当前的形势下，零信任已经成为一个流行语。重要的是要检查术语的部署方式和含义。美国国家标准技术研究院和美国国家网络安全卓越中心提供了所谓的零信任体系结构的特定定义，而基本构想则要求使用经过身份验证的用户身份的单一来源，并结合诸如策略合规性之类的其他上下文。
实际上，零信任涉及采用非常精细、严格的用户标识策略，严格的身份验证、基于角色的访问、明确时间或位置，以及许多其他条件，这些条件定义了员工何时、何地以及如何访问系统和数字资产。数据和资源细分为个人级别。有了新的控制级别，可以遏制任何威胁，甚至是内部威胁。

零信任与以前的方法有何不同
零信任与几十年来制定的指导性安全原则相去甚远。腓特烈大帝曾经说过：“平庸之人想保住一切，而理智者只关注主要事物。”  这一原则导致了基于边界的方法，即建立防御措施以保护外围防御的严密性，从而保护网络免受任何外部威胁。
只要有代理机构，就可以绝对保证不会出现任何威胁，并且要明确组织内没有不良行为者，这种方法就能行之有效——这根本不再是现实。国内外的黑客都在寻找方法来穿越外围防御系统-可能是通过未修复的错误，未安装的补丁程序或过时或配置错误的系统来进行的。一旦进入外围，攻击者就可以探索未被发现的系统，通常长达数月甚至数年，窃取秘密，肆虐，监视……攻击者的清单还在继续。
此外，由于在疫情期间有这么多政府雇员在远程工作，安全围墙变得模糊且非常复杂。员工不再可以随时访问其IT部门，也无法从常规保护中受益。因此，威胁的数量和潜在危险都在增加。入侵者即使从很小的漏洞中也看到了巨大的机会。
零信任没那么简单
从这个角度来看，零信任技术似乎正是美国政府保护其最敏感的数据和运营所需要的。但是，真的有那么容易吗？代理商不仅仅需要打开一个开关来开启零信任环境。它需要重大的承诺和持续的管理。访问和特权不断变化，需要不断监控。通常必须更改策略以立即切断访问。这是一个费力的工作。
如果各机构试图以最大规模实施零信任，它也会降低生产力。如果不这样做，他们可能会采用一种零碎的方法来解决问题，该方法仍然包含一些漏洞（甚至很小的漏洞），这些漏洞可能会暴露出更多的漏洞。
话虽如此，零信任已形成多年，但随着相关技术的成熟，现在才引起人们的关注。它是围绕当今世界精心制造设计而出的。它需要进行大量规划才能有效实施，并且需要不断进行调整，由此说来，它必须从某个切入点开始。
为了实现零信任，首要的是，各机构应该期望遗留系统能够保留一段时间，这意味着它们不会浪费现有的投资。然后，各机构应审查其最敏感的数据和工作流程，以确定哪些方面需要更大的保护，并在何处限制访问或管理会话，首先应从需要多因素身份验证、特权访问或会话管理的机密文档开始。其他一切都可以在边界控制下继续进行，直到可以进行其他更改为止。这样零信任可以逐步推出。
没有零信任策略是完美的，并且每次部署都会随着需求的评估而发展。但是，如果一个机构以正确的姿态和期望进入零信任状态，那么对于保护政府最敏感的资产免遭攻击和剥削，将是有利而无弊的，这将有很长的路要走。注：本文由E安全报道,转载请注明原文地址
https://www.easyaq.com推荐阅读：解析RSAC 2021
走进 RSAConference2021  第一天
英国国家网络安全中心：专家制定蓝图，保护未来智慧城市亲临RSAC2021：“弹性”网络安全社区
Apiiro在2021年RSA大会创新沙盒竞赛中被评为“最具创新力的初创企业”

▼稿件合作  15558192959  小E微信号：Eanquan0914