今天是零信任三重奏的第三天,
我們前面談了關於閘道端與身份端的特色,
以及如何呼應與落實零信任的概念,
零信任首部曲:SIEM 與零信任 (閘道端)
零信任二部曲:SIEM 與零信任 (身份端)
今天最後一篇零信任是要來談資料端,
當我們獲得網路授權存取、身份認證通過之後,
接下來就是登入在應用程式、資料庫與檔案系統,
開始就「資料」的層級開始存取使用。
在實務上做資料保護(Data Protection),
大致因應四大威脅與挑戰:
企業組織經常遭遇資料外洩風險,
常見原因多是資料存取管控不當,
或是遭受勒索病毒攻擊。
因此時有所聞的科技公司、金融機構,
或是醫療院所等產業均有發生資料外流的資安事件。
常見員工為有利至競爭公司,
透過竊取原公司營業秘密獲取相關利益,
通常會在離職前從大量存取公司內部資料,
直接或間接造成企業嚴重的營運風險與商譽損失。
企業或公部門單位常委託業者建置,
或是實施與管理相關資訊系統。
但常因系統管理不當或防護程度不足,
導致大量的客戶資料洩漏,
導致相關單位均蒙受相關損失。
基本上資料存取的:人、事、時、地、物,
都是在實現零信任的資料保護前要考慮的五大要素。
而資料安全保護的手段非常多,
有資料保護、資料分析、資料隱私、弱點管理,
或是資料去識別化、加密機制與標籤化機制的等。
如何透過適當的資料保護技術/工具,
將資料的存取威脅可視化,
是實現零信任策略的首要之步,
在做資料保護前,
我們會需要知道敏感資料的位置,
而發掘敏感資料時,可能會通過訪談、人工盤點的方式,
來將相關資產與資料位置做個梳理,
再進一步導入相關工具來協助更快速的日常維護化作業。
而無論是人工或工具機制,發掘資料位置都會是首要的第一步。
昨天談的在身份端的「職責分離(SoD)」管控,
除了在身份端需要依據不同職責給予不同身份權限,
當我們把權限顆粒縮緊至資料層級時,
也應當有適當存取權限、授權控管與稽核紀錄的機制,
來讓最後一哩路的零信任能夠落實到資料層級位置。
資料存取政策負責定義存取權限授予的規則,
而這些規則必須根據企業的使命、角色和需求來制定,
透過相關工具對資料系統,例如資料庫或檔案系統,
進行存取管控與政策限縮,有效防止與監控資料活動。
隨著組織持續動態發展與變化,
相關檔案系統或資料庫隨著組織調整,
或相關專案計畫的整併或結束,
如何適時調整相關人員的資料存取權限?
以及如何有效週期性彙整資料授權情形?
定期與不定期的進行權限盤點,
是盡可能確保資料授權的對象與角色,
不會有「漏網之魚」導致有脫管或未納管的帳號,
被當作突破口或跳板帳號使用。
通常特定產業的相關公司,
都或多或少會需要面臨內、外部稽核,
以及產業相關標準法規需要因應。
因此目前企業的資料活動需遵守哪些法律?
現況上存有哪些合規性問題未解?
又有多少已經部署實現的資料控制項目?
有無訂定資料外洩後的緊急應變程序?
這些都會在資料控管層級裡需要著墨的地方。
零信任所提倡的新型網路安全模式,
基本上,無論是網路、身份或資料層級,
著重的都是在資料與服務的保護,
同時也擴展到所有企業資產與主體,
資產可能包括裝置、基礎架構元件、應用程式以及虛擬與雲端元件,
而服務則是包括來自使用者、應用程式或機器的資源請求。
當資源(身份)從網路層獲得准許進入後,
針對身份識別、認證與權限授權,
然後適當地存取剛剛好的資料範圍與內容,
如此環環相扣,達到最綿密的資安防護效果。
零信任的三重奏,今天到了結尾篇,
「零信任」主要還是一個概念,
傳遞「永不信任與總是驗證」的保護概念。
當網路、身份與資料等由粗至細的安全層級逐級限縮後,
重要的還是要透過一套完整的威脅生命週期機制,
來管理方方面面的機制實施、確保與監控。
因此呼應到「威脅管理 (Threat Management)」的範疇,
透過威脅管理框架來整合組織內方方面面的監控機制,
運用「洞察」、「可視性」、「偵測」、「調查」與「回應」循環流程,
實現可持續執行與可精進的企業資訊安全策略。
SIEM 就是一個這樣能上至整合威脅方法框架,
下至整合網路、身份與網路工具的平台角色,
故無論市場新興趨勢為何,
最核心、最廣泛、最完整性的解決方案,
始終會有 SIEM 解決方案的一席之地。
謝謝各位邦友支持零信任三部曲,
可能稍微比較偏離些 SIEM 的核心內容,
但卻是與 SIEM 密不可分的周遭生態關聯,
希望透過網路、身份與資料三重奏的介紹,
能讓大家熟悉零信任本身的概念,
以及當它落實到各實際層級的保護時實現的做法。
明天開始我們就進入到另一個篇章了,
開始進入到市場篇的購買指南,
這段會把主流的 SIEM 品牌與方案做個整理與介紹,
期待明天繼續與各位空中相見。
CYBERSEC 2022 我在 B57 與邦友實體與空中相會。
iThome鐵人賽
看影片追技術