• 首頁
  • 最新消息
  • No.012 百分百掌握連網裝置是落實零信任網路的重中之重

電子報

No.012 百分百掌握連網裝置是落實零信任網路的重中之重

四, 08/18/2022 - 14:11


數位轉型帶來了網路互聯,實現了資訊共享和協作。這對提高效率和生產力很有好處,但許多網路都是扁平式設計,使得公司容易受到網路威脅的影響,這些威脅在入侵後更能橫向移動,也讓駭客能夠搜尋並竊取對他們最有價值的資料。

為什麼這樣的破口會層出不窮?關鍵在於連網裝置的數量和多樣性不斷增加,其中許多是不受管理的物聯網和 OT 設備,這無疑大幅增加了風險。一般常見的情況是,不需要的傳輸連接不受檢查,漏洞就隱藏在顯而易見的設備中,這是由於連網裝置經常是隨時連網,即便在不需要連網時,依然與網路保持連結。同時,由於行動辦公、居家辦公及全球化營運,網路邊界正在消失,種種原因都導致攻擊破口的增加。

網路分段 (Network Segmentation) 是落實「零信任」和「最低特權存取」的重中之重。絕大多數網路威脅都可以通過分段來緩解,網路分段將流量限制在那些應該相互通訊的裝置上,並隔離易受攻擊的設備,直到它們被修復完成。不幸的是,網路分段的專案失敗率很高,而且許多專案甚至在規劃階段就不了了之。如果沒有正確的執行方案,網路分段經常會變得過於複雜、成本高昂並且可能對公司營運造成影響。

為什麼網路分段會失敗

與所有網路資安方案一樣,網路分段的基礎是「全方位了解您的網路」。許多公司花費數月時間收集連網裝置資料,但仍然無法識別所有連接的裝置。IT團隊人為的分析網路流量日誌,這段過程極其緩慢且容易出現錯誤,從而導致結果有效性的不確定性。建立在如此不穩定的基礎上,IT 團隊對如何設計有效的策略將缺乏足夠信心。

如果無法充分瞭解連網裝置的傳輸方式以及引入網路分段策略時可能出現的問題,IT 團隊不得不進一步放慢部署速度。由於擔心代價高昂的停機和服務中斷時間,使得最終將目標定得很低,試圖在限制安全風險和對關鍵業務流程產生負面影響之間取得平衡。

簡化網路分段的五步方法

為此,我們為您分析整理出以下五個步驟,讓您的網路分段專案變為切實可行。

●  實現網路上所有連接裝置的 100% 可見性

●  掌握網路流量與各種裝置的關連

●  預先模擬網路分段策略實施後的影響

●  持續監控違反網路分段策略的行為

●  違反網路分段策略時的協同運作控管能力

 

步驟1:資產可見性

在面對資安風險時,您必須先捫心自問:我的所有裝置是什麼? 它們是如何相互通信的? 它們的業務關鍵性、風險等級和合規狀態又是如何?

利用自動化且不需安裝程式的發現功能,您可以獲得 100% 的連網裝置可見性,從而能清楚掌握公司網路環境中各種裝置資訊,清楚洞察各種裝置的安全狀態。然後,您可以應用這種洞察力將所有連接的裝置分類到一個邏輯業務層次結構中,從而加快您的網路分段專案的規劃階段。

步驟2:網路流量與裝置的對應

接下來,您希望將流量自動對應到整個網路中的用戶、應用程式、服務和裝置的邏輯分類。同樣的,可見性在這裡是基礎。 如果您可以在一個矩陣中看到所有端點,該矩陣可以識別它們之間的流量,並讓您能夠根據需要對它們進行過濾和分組以強化策略設計,那會怎樣?

使用這樣的矩陣,您可以清楚地看到所有連接的裝置當前如何互動,並根據用戶或服務需要做什麼,輕鬆確定它們應該如何通信、通過哪些端口和協議進行通信。以這種方式查看流量和裝置(PC、Notebook、行動裝置、伺服器到IoT、OT 和醫療設備等專業設備),自動收集並進行分析,肯定要比查看日誌要容易得多。

步驟3:政策模擬

在啟用網路分段策略前,無疑您會希望能有方法先評估分析其影響與成效。 同理,可視化是必不可少的。流量矩陣有助於確定您在哪裡制定了政策、對這些政策的遵守程度以及它們如何相互重疊或衝突。 它還可以根據新策略標記可能發生不需要的策略違規的位置,以便您可以在上線之前對其進行微調和驗證,而不會造成實際傷害。

步驟4:持續監控

將 NIST SP 800 -207 (NIST 零信任準則) 控制平面中的單個策略決策點 (PDP) 與數據平面中的多個策略執行點 (PEP) 進行邏輯分離。 PDP 充當宏觀策略引擎,制訂所有必要的執行策略並在不同的 PEP 和網路分段中執行它們。

您的 PDP 永遠不應該改變。PDP具體呈現基於風險降低原則和維持運營環境的安全框架。 另一方面,PEP 會隨著公司的擴張、併購、硬體更新等不斷變化。 您如何確保按設計劃分的內容在這種動態條件下仍保持細分? 對與預期政策的任何偏差進行持續監控和警報。

步驟5:精心規劃的協同運作

一旦部署,執行分段策略就會帶來持續的挑戰,因為管理員很難在多家網路及資安設備上,進行相關設定調整以使它們之間確保沒有落差。 通常,網路分段專案需要防火牆、訪問控制列表 (ACL)、SDN 控制器等的組合,需要不同的策略和控制。 這些很難跨區域、資料中心、公/私有雲、遠端和其他網路的不同基礎架構技術進行管理,並且隨著業務需求和威脅的變化,通常會導致策略的增加與複雜化。

為了保持網路分段的良好運作,您需要一個統一的框架(即單一 PDP)來協調您環境中不同安全工具的控制,並強制遵守網路分段策略。 用於可見性和持續監控的同一工具應該能夠跨不同技術和網段編排分段控制。

成功的網路分段限制了可能發生的任何違規行為的影響,並有助於使您的網路環境與您的資安框架保持一致。 如果您只依賴傳統的手動工具,這些工具無法全面了解您的所有連網裝置及其通信環境,透過使用自動化的互動式可視化來呈現資產和流量,將能加速網路分段策略的設計、模擬和部署。

天鉞科技助您一臂之力

天鉞科技身為專業的資安服務夥伴,針對連網裝置管理的導入與應用,我們擁有豐富的實戰經驗,已經協助許多客戶導入IoT/OT 裝置管理方案,並透過上述五個步驟,協助客戶加快實現零信任的進程,降低監管風險並最大限度地減少威脅暴露。在日常維運及面對零時差漏洞時,提供快速應變措施,避免造成重大損失!!!

歡迎您與我們業務同仁聯繫,我們將為您詳細說明網路分段具體做法,並依據您的環境與應用,推薦最佳的方案!!!