最近向远程工作环境的转变给许多企业和政府机构带来了新的挑战,对组织安全模型产生了深远的影响。突然之间,许多用户不再受到企业网络中的多层安全保护。相反,大量不可信的设备连接成为常态,安全策略必须与时俱进。整合零信任等安全概念可能是保护这些远程工作环境的关键部分,这些环境通常包括企业笔记本电脑、BYOD(Bring Your Own Device,指携带自己的设备办公)设备和家庭网络设备。
什么是零信任?零信任安全架构的核心基于现代身份管理技术进行构建,本质是基于身份的访问控制,其策略就是不相信任何人.零信任避开了旧的“内部受信任,外部不受信任”的模型,而是提出每个连接在经过验证之前都是不可信的。在授予访问权限之前,必须从安全角度评估每个会话,并不断重新评估信任。因此,零信任模型不断地适应新的信息,理想情况下,当呈现访问决策时,它将包含多个安全上下文。用户的身份是否经过验证,是否允许他们访问特定的资源?用户设备的完整性是否得到验证?使用哪些应用程序和服务进行连接?
设备的安全态势和完整性是这些环境中最基本的重要因素之一,但仍然是当今零信任最容易被忽视的方面之一。随着远程工作者越来越不受基于网络的安全保护,越来越多的网络安全战转移到用户的终端设备上。设备的硬件和固件可以说是这场战斗中最具战略价值的资源。如果在这一基本级别受到破坏,攻击者可以破坏设备上的一切,包括操作系统、端点安全控制以及用户身份。对于许多组织来说,设备完整性仍然是一个盲点,在那里零信任原则还没有得到应用,因此,安全性只是被假定而不是被验证。
攻击设备完整性的兴起
零信任的首要目标之一是组织在其安全实践中识别和消除假设。例如,在过去,许多组织认为网络中的用户是可信的,并且不受威胁。多年来,攻击者学会了利用这一假设,重点是用恶意软件感染有效的最终用户,然后在内部传播,并从网络内的可信位置窃取数据。
然而,这远非网络安全中唯一危险的假设。攻击者自然会寻找那些被认为是安全的、安全性最弱的区域。近年来,攻击者越来越多地将注意力转向设备的基本层,包括硬件和固件组件。这些关键组件控制机器如何引导、如何加载操作系统,并提供设备上可用的一些最强大的权限。
攻击者越来越多地将这些组件作为攻击目标,既可以保持设备的持久性,也可以破坏运行在上层的安全性。曾经是理论上的一类威胁已经转变为组织必须应对的现实。关键示例包括:
APT28(又名Fancy Bear或Sednit)在广泛的活动中使用LoJax恶意软件会破坏笔记本电脑的固件,以保持感染主机的持久性。
使用恶意EFI引导程序的勒索软件可防止系统引导。
APT41的广泛间谍活动,针对思科,Citrix和Zoho设备。
基于ROCKBOOT MBR的启动工具包,用于维护基于Windows的设备上的持久性。
APT29的攻击企图窃取Covid-19研究。
这些只是现实世界中针对设备完整性的攻击的一些近期示例。最值得注意的是,这些攻击已影响到广泛的行业和广泛的设备类型。最终用户的笔记本电脑,服务器和网络基础设施都被证明是公平的游戏。这意味着安全团队无法再盲目地信任内部用户,他们也无法简单地假设自己的设备可以信任。
零信任下的设备上下文和完整性
设备级上下文和安全态势已经成为基于零信任的访问决策的一个日益标准的部分。最终的目标是验证连接设备本身是否可以作为访问决策的一部分进行信任。
由于BYOD已成为企业中更为普遍和必要的部分,因此仅将不受管理的设备归类为“不良”或不可信通常是不够的。相反,组织越来越需要评估设备本身的环境和状态。这可以包括在授予对资源的访问权限之前检查操作系统的补丁程序级别或验证批准的防病毒(AV)工具的存在。但是,这些只是检查设备上安装的软件的示例,与验证设备的完整性不同。
设备的硬件或固件中的漏洞或威胁可能会破坏操作系统,并使所有更高层的设备保护无济于事。由国家支持的攻击者已经利用这种能力对安全隐瞒了十多年。但是,这些相同的技术已被有组织犯罪和更广泛的机会主义攻击者采用。因此,验证设备的基本完整性必须是在设备上建立信任的第一步。
每个组织最终都有责任确保其设备的完整性。设备制造商自然希望提供安全的产品,而现代设备包括保护硬件和固件的各种组件。但是,对于操作系统和应用程序也可以这样说,但是组织非常清楚需要不断监视它们的漏洞和威胁。硬件和固件也需要类似的关注,并且这种需求已在各种安全标准和法规(例如PCI,FISMA和CMMC)中得到了越来越多的体现。相同的原则适用于零信任,并且组织有责任主动验证其设备的完整性。
对设备应用零信任需要几个基本步骤。所有关键设备都需要解决。组织需要评估与每个设备相关的风险,包括设备级别的漏洞,配置错误和设置。最后,团队需要具备了解设备是否受到威胁的能力。
设备的广泛覆盖
现代企业及其员工依赖于各种各样的设备,实际上,所有这些设备都应作为安全性零信任方法的一部分加以解决。任何可用于访问环境中关键内容或系统的设备都应视为范围内的设备。在大多数情况下,这将迫使组织同时考虑托管和非托管设备,用户BYOD设备以及除企业发行的传统笔记本电脑之外的各种企业基础设施。
零信任最近有了特殊的意义,特别是作为一种帮助组织适应越来越多的员工在家工作的方式。这种工作环境自然适合使用更多员工拥有的和非托管的设备。同样,远程用户也可能依赖消费级网络路由器,这类路由器更容易受到攻击,在“野外”一直是攻击者的热门目标。
同时支持托管和非托管设备的性质将要求设备上下文可以在端点上使用或不使用代理进行传递。对于安全团队来说,这似乎是一个挑战,因为设备级上下文是从运行在受保护设备上的端点代理派生的。然而,现代解决方案可以通过基于网络的扫描和分析为非托管、BYOD或家庭办公设备提供设备上下文。
组织也需要考虑他们的计算和网络基础设施。增加了对远程VPN连接的依赖性,为远程工作创造了条件。vpn中的漏洞也成为了攻击者非常普遍的攻击目标。网络和安全团队必须能够验证这个关键基础设施是安全的,并且没有被篡改,以确保连接的有效性。这些相同的考虑可能也适用于其他企业基础设施,如企业交换机、防火墙以及支持组织应用程序的各种服务器和管理系统。
如何确保设备覆盖
最初,将安全性扩展到如此多设备的硬件和固件层似乎令人望而生畏。但是,可以使用设备完整性工具来处理这些资产。解决方案可以使用基于代理和无代理技术的组合,以确保每个特定设备类型的最佳覆盖。现代设备完整性平台应能够解决以下所有问题:
企业笔记本电脑
BYOD和个人使用设备
非托管设备
家庭网络设备
VPN基础设施
企业网络设备
服务器和管理系统
识别设备级漏洞
企业确保所有拥有和关联的设备都处于最安全的状态,并监视资产以确保它们保持在尽可能安全的状态。这就要求有一个健全的监测和报告系统,以提供有关企业资源当前状态的可操作数据。
从历史上讲,确保设备处于最安全的状态需要检查操作系统是否是最新的,应用程序是否没有严重的漏洞。然而,设备可能有一个广泛的漏洞和问题,在这个传统的水线之下。例如,如果设备没有正确实现安全引导,攻击者可以在启动期间轻易地破坏整个操作系统。同样,系统UEFI或BIOS中的漏洞可能授予对设备的完全控制权。同样的问题也适用于设备内的各个组件,如驱动器、处理器、网络适配器等。
认识到这些弱点是了解连接设备整体风险状况的一个组成部分。由于漏洞,组织可能并不总是希望简单地阻止设备,但它可以提供必要的支持上下文。例如,存在漏洞的BYOD笔记本电脑可能仅限于访问基本服务,但只有经过验证使用安全引导且不存在关键UEFI漏洞的系统才能访问高价值资产。
如何获得设备级漏洞的可见性
扫描设备级漏洞应该是组织安全实践中自动化且持续的一部分,就像今天实施软件和应用程序漏洞扫描一样。设备完整性平台可以自动执行此扫描,以识别具有已建立CVE的漏洞以及可能使设备面临风险的设备级错误配置。团队可以使用此可见性来识别需要优先更新的设备并确定其优先级。同样,平台可以将此上下文提供给其他系统,以便可以将设备本身的状态实时纳入零信任访问决策中。
寻找妥协的迹象
最终,零信任访问决策需要回答一个非常基本的问题:设备是否受损?
攻击者越来越多地使用设备级植入、后门和恶意引导加载程序来破坏设备,而不会被传统工具(如防病毒软件和EDR软件)检测到。为了重新获得设备级别的信任,组织必须能够验证设备的固件和启动过程是否安全并且没有受到损害。可以通过使用适当的工具扫描设备来建立此验证,以确保所有UEFI和组件固件均与供应商认可的有效固件匹配,并且该固件不存在漏洞或植入。
监视设备的硬件和固件行为很重要,以便直接检测潜在的恶意行为。通过验证仅在设备上运行有效的,受信任的代码,然后监视该代码的实际行为,组织可以主动验证其设备的完整性。这提供了必要的坚实基础,从中可以支持所有其他与设备有关的上下文。
如何发现妥协的迹象
同样,安全工具可用于将威胁检测和修复扩展到设备层。这些工具可以验证所有固件和设备级代码是否与供应商提供的已知、有效的代码版本匹配。此外,安全解决方案应该自动检测任何已知的后门、植入物、rootkit或其他恶意软件的存在。最后,该工具应该监视有效代码的行为,以揭示任何未知威胁或恶意软件的迹象。这些基于威胁的上下文自然应该与其他安全工具共享,并作为零信任访问决策的一部分使用。
零信任示例和场景
零信任原则应该在整个组织中得到一致和普遍的应用。这些概念应该是组织应对新的和正在出现的安全挑战的标准部分。强调零信任经常被忽视的潜在问题领域是很重要的,这使得假定的信任重新回到安全模型中。以下示例突出了组织可能希望考虑应用零信任的一些领域。
远程工作者的安全访问
几乎在一夜之间,远程工作已成为许多组织的默认操作,并且在此过程中,进一步强调了零信任的重要性。内部用户不仅不能被隐式信任,而且即使在网络中,大多数用户也不再受信任。它们是从不受信任的环境连接的,并且通常依赖于可能不安全的个人设备和家用路由器。
了解设备级别的环境对于安全地启用远程工作人员同时确保公司资产的安全至关重要。随着对BYOD的依赖性越来越高,组织需要能够验证完整性并审核各种非托管设备的安全状况。组织还可能希望将漏洞和用户路由器的配置视为企业攻击面的扩展部分。这些类型的网络设备中的漏洞已成为各种大规模基于状态的攻击的目标。组织可能无法将直接可见性和保护范围扩展到这些设备,但是仍然希望为员工提供有关更新和维护其设备的指导。在授予设备对任何资源的远程访问权限之前,组织将希望验证设备的安全性和完整性。
同样,组织不应隐式信任其网络和VPN基础架构。最新警报指出,VPN中的漏洞已成为攻击者在2020年最受欢迎的目标。随着越来越多的企业流量默认通过VPN运行,组织需要能够确保其基础架构尚未受到损害。
零信任交付
在零信任模型中,用户和设备在被主动验证之前被假定是被泄露的。然而,组织经常忘记将此标准应用于新购买的设备,这些设备通常被认为是“干净的”。技术供应链中的弱点可能会使设备在被购买组织接收到很久之前就遭到破坏。例如,设备内众多硬件组件中的任何一个漏洞都可能允许攻击者修改固件并插入恶意植入来颠覆更高层的控制。可信计算小组最近在RSA 2020会议上谈到了这个主题以及对新的行业控制的需求。这些类型的问题使供应链风险管理(SCRM)成为许多企业的主要关注点。
因此,组织应确保将上述设备完整性验证和固件扫描实践应用于所有新购买的设备。这将使组织能够识别供应链中可能发生的任何漏洞或篡改。同样,组织应将固件扫描作为所有潜在技术的标准购买前评估的一部分。
不要盲目相信供应商更新
设备自然需要定期更新,并且很容易假设供应商的更新是可信任的。但是,事实证明这是一个错误的假设。早期的Eclypsium研究发现固件使用了不安全的更新做法,这可能使攻击者能够拦截更新流量并远程将恶意更新发送到固件。
更糟糕的是,供应商的更新基础架构本身可能会受到损害。例如,在前述的ShadowHammer案例中,攻击者能够渗透到ASUS更新基础结构,随后以经过正确签名并通过官方ASUS Live Update实用程序提供的更新的形式向ASUS客户发送恶意软件。
同样重要的是要注意,作为标准更新过程的一部分,设备通常需要访问受信任的供应商站点。这种与外界的可靠连接可以为攻击者提供机会,使其可以快速切入组织精心设计的微细分策略。
在这些情况下,组织将需要具有检测易受攻击的更新过程的能力,例如接受未签名的固件更新或不安全的连接问题。如果供应商的有效更新已被破坏,组织将需要能够监视固件异常行为。
零信任设备最佳实践
以上几点为思考零信任安全模型如何应用于设备完整性和基础固件提供了一个很好的起点。但是,这当然不是详尽的清单。有许多潜在的细节需要考虑,但是我们提供了一系列适用于大多数环境的最佳实践。这些功能如今已在现代安全工具中提供,并且可以集成到组织的现有安全实践中。
确保设备状态:仅检查设备是公司发行的还是具有最新修补的操作系统是不够的。固件中的缺陷甚至可以颠覆最受信任的设备和最新软件。建议的操作包括:
定期检查设备是否存在设备级别的漏洞。漏洞可以使恶意软件或其他攻击者更容易向设备添加恶意代码。
分析设备的漏洞和不安全的更新做法。诸如不需要签名固件更新之类的漏洞,可使攻击者轻松安装自己的恶意代码。通过网络进.行的不安全更新同样可以使攻击者有机会远程分发恶意固件。
对设备组件应用相同的漏洞和完整性检查。除了系统级BIOS和UEFI固件外,攻击者还可以将固件锁定在驱动器和网络适配器等关键组件中。
确保设备完整性:设备级的植入、后门或任何未经授权的代码都可以让攻击者完全控制设备,并规避设备上的传统安全控制。组织应该监控设备是否存在已知和未知威胁的迹象。关键步骤包括:
定期检查设备的完整性并检查植入物。固件中的恶意代码使攻击者能够在设备上持久存在,同时获得尽可能高的特权并控制该设备。团队应扫描设备,以了解已知和未知的植入物或后门。
扫描所有新购买的硬件。所有新设备都应在固件级别进行分析,以确保该固件是经供应商认可且未经供应商篡改的有效固件。
在发生任何安全事件后,请验证设备的完整性。攻击者可以在固件中植入恶意代码,这些恶意代码可以在对系统进行完全重新映像后幸免于难。在使设备恢复运行之前,工作人员必须验证硬件信任根是否完整。
固件更新后监视设备行为。如果供应商受到威胁,则即使正确签名,有效的固件也可能包含恶意代码。为检测此类威胁,安全性应监视固件的行为以识别任何恶意活动。
总结
以上内容只是将零信任方法应用于企业设备安全的一些方法。从根本上讲,零信任是指消除假设信任的领域,并用主动验证代替该假设。不幸的是,对于许多企业而言,固件和硬件组件一直是一个盲点,默认情况下是受信任的。
虽然对于零信任安全的研究目前尚处于探索阶段,但是在不远的未来,零信任将会持续推动企业网络安全架构的变革,建立起真正的信任,为企业提供敏捷高效的安全支撑。
