近日,工业和信息化部发布 2023 年第 38 号中华人民共和国工业和信息化部公告,正式批准发布 YD/T
4574-2023《零信任安全技术参考框架》。这是由工作组成员牵头提案、多个工作组单位联合研制的首个国家部委批准发布的行业标准,意味着行业今后在产业技术的发展升级、改善品质服务、降低部署成本等层面,都将“有标可依”,填补了国内在零信任领域的技术标准空白。随着零信任网络标准不断完善、数字化转型的加速,企业和组织正面临着前所未有的网络安全挑战。传统的基于边界的安全防护策略已经无法满足现代网络环境的需求。在这样的背景下,企业如何构建下一代可信任的身份安全体系?
01.什么是零信任?
零信任三基本原则 经有了标准化定义,根据 TD/T
4574-2023标准,零信任是指:一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始,通过持续的身份鉴别和监测评估、最小权限原则等,动态调整访问策略和权限,实施精细化的访问控制和安全防护。
与传统安全不同,零信任安全架构认为网络是不可信任的,把防护措施建立在应用层面,构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制,极大地收缩了攻击面,采用智能身份分析技术,提升了内外部攻击和身份欺诈的发现和响应能力。零信任安全架构的应用场景包括但不限于:企业网络、云计算环境、移动设备、远程办公和远程访问、供应链安全、物联网(IoT)设备安全、应用程序安全和数据安全。
02.零信任三基本原则
身份验证和访问控制
零信任网络中的身份验证和访问控制是建立整个安全体系的基石。
无论是用户、应用程序还是服务,任何实体在尝试访问网络或资源时,都必须通过严格的身份验证程序。保证网络每个参与者都能够被明确定位和验证,从而排除未授权的访问可能性。每个实体都需要通过身份验证和授权过程,才能获得相应的访问权限。通过实施最小权限原则,系统能够确保每一个单个实体只能获得其所需的最低权限,有效降低了内部威胁的潜在风险,更好地保护敏感资源,确保网络的整体安全性得以维护。
动态权限管理
零信任网络中的动态权限管理是一项灵活而强大的安全措施,其核心理念是通过动态监测实体的行为和信任状态,调整其访问权限,以保证网络的安全性和合规性。
即使某个实体已经通过了身份验证,其权限也不是静态的。相反,这些权限会根据实体的实际行为和当前的信任状态而动态调整。例如,如果系统监测到某个用户账户存在异常行为,例如大规模数据下载或未授权的系统访问权限,动态权限管理系统将能够立即做出响应,限制或取消该用户的访问权限,从而防止潜在的进一步威胁扩散。
持续监控和验证
零信任网络需要对所有网络活动进行持续的监控和验证。
这不仅包括网络流量分析,也包括用户行为分析。用户行为分析是对系统内部用户活动的持续观察与分析,通过建立基准行为模型,系统能够检测出与正常行为明显不同的活动,从而识别潜在的风险。通过这种方式,可以实时检测并响应潜在的安全威胁。特别对于异常事件的感知,能够帮助企业在安全威胁尚未造成重大影响之前采取措施,为持续的验证和监控网络提供了坚实的安全基础,能够更好地适应动态的威胁环境,确保网络的可靠性和可靠性。
03.构建下一代身份管理平台是实施零信任的关键步骤
下一代多因素安全认证平台——持续自适应 MFA
持续自适应多因素作为下一代多因素安全认证平台被推出,能够分析用户登录和使用行为,有效识别风险,自动配置合适的 MFA
策略,在风险出现时拉起二次认证,全面提升安全风控能力。
它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
持续自适应信任体系能确保企业实现真正意义上的零信任安全环境,而实现持续自适应信任体系的最佳实践则是实施「持续自适应多因素认证」。
通过持续自适应多因素认证提供持续风险评估能力来判断外部风险信号和内部数据,同时基于「持续自适应多因素认证」的策略引擎来根据组织设定的安全策略对这些风险信号和访问请求进行评估。
下一代访问控制平台——基于 NGAC 模型的访问控制
在 ABAC 的情况下,需要跟踪所有对象的属性,这造成了可管理性的负担。RBAC
减少了负担,因为提取了所有角色的访问信息,但是这种模式存在角色爆炸的问题,也会变得不可管理。NGAC
通过使用一种新颖、优雅的革命性方法来修复这些差距:在用户提供的现有世界表示之上叠加访问策略。你也可以对 RBAC 和 ABAC 策略进行建模。
NGAC 真正出彩的地方在于灵活性。它可以被配置为允许或不允许访问,不仅基于对象属性,而且基于其他条件 ——
时间、位置等,包括能够一致地设置策略(以满足合规性要求)和设置历时性策略的能力。例如,NGAC
可以在中断期间授予开发人员一次性的资源访问权,而不会留下不必要的权限,以免日后导致安全漏洞。NGAC
可以在一个访问决策中评估和组合多个策略,同时保持其线性时间的复杂度。
结合自动化能力,实时调整全系统身份权限
使用Authing一次配置好入/转/调/离涉及的业务流程,实现自动化、 0 人工参与的身份管理,减少人力成本,
并保障流程配合业务的实时性变化,一人离职,全系统权限及账号秒级收回,降低企业数据泄露风险。 当员工入职、离职或组织架构变动时,
能自动触发管理流程并进行权限的申请、审批、开关,能有效减少管理成本,和漏关/错开权限带来的数据泄漏风险。目前身份自动化已预集成了飞书、企业微信、钉钉、北森、金蝶云、阿里云、MySQL
等上百个应用与工具,身份同步模板覆盖 IM 应用、HR 应用、云服务、开发工具等多个主流应用。
一键生成权限视图,统一查看人员多应用权限
Authing以用户为单位,提供可视化、全局的权限视图,清晰展示每个用户在不同应用下的资源权限和关联策略,为企业提供了全面的可视化信息,帮助企业管理员轻松查看和管理员工的权限情况。
通过筛选生成多个权限视图,企业能够更轻松地进行事后审计,降低了重复低效的工作。企业不再需要手动检查每个用户在每个应用中的权限,而是可以依靠全局的权限视图来实现快速的权限管理和审计,提高工作效率,减少潜在的失误和风险,确保企业在个人信息保护相关法律和法规方面数据合规。
04.最佳行业实践案例
某金融业领军企业
需求挑战
金融行业因其高度的信息敏感性和资金密集度,常常成为黑客和内部恶意人员的首选攻击目标。从社会工程学到高级持久性威胁(APT),攻击手段层出不穷,这要求金融企业必须具备先进的身份管理和安全防护能力。为了应对不断变化的威胁环境,金融企业需要定期更新和优化其身份管理策略和工具。这包括使用持续自适应多因素认证、用户行为分析、AI
等先进技术来识别和阻止不正常的访问或操作。同时,企业通常也需要建立一套完善的安全审计和监控体系,以便及时发现和应对任何潜在的安全威胁。
解决方案
Authing
提供了创新持续自适应多因素认证。基于自适应多因素认证的基础上引入了风险评估技术,对用户进行动态实时评估安全,可以根据上下文信息,如用户的位置、设备的安全状态和网络环境等,智能地调整身份认证的要求,以提供更加灵活和精确的安全保护。在时间维度上,持续在用户整个使用过程中持续进行信任评估,以智能地判断是否需要增加额外的认证流程。在用户体验上实现了更加超越的认证过程。通过全面的信任评估,企业能够更好地适应不断演变的威胁环境,提供更高水平的数据保护和身份验证安全性。
某制造业龙头企业
需求挑战
由于业务架构、技术能力、区域法规等多种客观因素的差异,各子公司基于自身业务架构和管理需求独立建设数字化体系,不同子公司中员工、经销商、供应商、上下游合作伙伴等角色各不相同。随着企业业务的不断扩展和复杂化,涉及资源共建共享和跨部门协同协作等,用户的角色和资源授权关系复杂且常常发生变化,企业管理员对各个系统的使用情况难以把控,容易造成数据安全隐患。传统权限管理方法无法实现细粒度的权限授予,缺乏统一的权限实体,难以贴合业务现况。
解决方案
Authing
为企业提供精细化权限管理,以用户为单位进行授权,提供可视化的全局权限视图,清晰呈现每个用户在各个应用中的资源权限和相关策略。这为企业提供全面的可视化信息,帮助管理员轻松查看和管理员工的权限情况通过灵活的筛选功能,企业可以轻松进行多个权限视图的生成,进而进行事后审核,从而降低了繁琐、低效的工作负担。不再需要手动逐一检查每个用户每个应用中的权限,提高工作效率,减少潜在的错误和风险,确保企业数据安全合规。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
