正如 Gartner ®报告“快速解答:零信任的核心原则是什么? ”中所述:“零信任是一种范式。它用基于身份和背景的持续评估风险和信任级别取代隐性信任。”
在零信任安全模式中,检查某人或某物是否值得信任不再是一次性事件,仅在响应访问尝试或其他潜在风险事件时发生。相反,组织必须不断验证可信度。可以将其视为摆脱“信任但要验证”作为安全基础的理念,而是拥抱“永不信任,始终验证”的概念。
如今,世界上一些安全级别最高的组织(直接或间接隶属于政府的组织)正在强制采用零信任来提高其安全性。美国管理和预算办公室 (OMB) 的行政备忘录M-22-09提出了针对政府的联邦零信任架构战略。而在欧洲,NIS2 指令是欧盟范围内的网络安全立法,它包含了美国国家标准与技术研究所 ( NIST )定义的零信任七大原则。
将零信任原则付诸实践
您可能想知道上述关于零信任的高级政府指令如何具体适用于打击网络钓鱼。 Gartner报告指出:“安全和风险管理领导者可以标准化五项核心原则,以推动其组织的零信任战略向前发展。” 我们认为,其中一些核心原则似乎与反网络钓鱼工作直接相关:
“建立身份。” 为了满足这一零信任原则,Gartner 报告指出,组织需要“制定‘谁应该有权访问什么、何时访问以及为什么访问’的组织政策”。
我们认为,该政策是组织可以采取的最有效的措施之一,可以增强其整体安全性,并特别防范网络钓鱼。实施该政策后,遭受网络钓鱼的用户就不太可能获得不良行为者想要获得的高价值目标。网络钓鱼帐户也将无法横向移动并找到或请求新的权限来利用。
报告还指出,满足这一原则所需的另一项要求是“实现多因素身份验证的技术支持”。
由于网络钓鱼的目标是凭证,因此 RSA 多因素身份验证 (MFA) 之类的解决 泰国电话号码大全 方案可以大大限制单个受损凭证可能造成的损害。
“限制访问”。组织不仅应确定身份并事先确定特定用户需要哪些权利,还应尽可能限制访问。在网络钓鱼的情况下,限制访问将有助于确保不良行为者无法依赖用户的凭据来获取他们想要的东西。这就是为什么 Gartner 报告建议,为了走向零信任,“用户或系统应该只根据执行所需功能的需要才能访问资源。”
同样,报告指出,限制访问需要“减少隐式信任区域和授予用户帐户的权利”。我们认为,更少的人拥有更少的访问权限,更多的锁定共同创造了一个环境,让坏人无法利用太多机会。
为了支持这种环境
RSA Governance & Lifecycle提供了一个管理访问的框架,该框架不仅注重了解用户可以访问什么,还注重了解他们如何使用该访问权限。
“提供基于风险的自适应访问。”如果您读过有关零信任 为提高安全性的最有效方更有效地应对威胁 的任何内容,您就会知道该架构背后的关键思想之一是“永不信任,始终验证”。这样做意味着组织在扩展更多权限或访问权限之前会立即验证每个访问请求。Gartner 报告中的这一点提到了持续验证的想法:“从一次性门禁检查转变为会话期间的持续风险评估。”
基于风险的身份验证对于实现零信任和防止网络钓鱼至关重要,因为拥有网络钓鱼凭据的网络犯罪分子可能会尝试注册新设备、从新位置工作或尝试在实际用户正常工作时间之外进行访问。RSA Risk AI可以检测到这些信号并相应地挑战访问尝试。 (即使坏人最初以某种方式进入,基于风险的情报能力也会限制他们在那里停留的时间。)
虽然使用零信任打击网络钓鱼的前景令人兴奋,但还需要注 电报号码 成为提高安全性的 意的是,网络钓鱼绝不是组织可以使用零信任防御的唯一威胁载体。