在政府中采用零信任安全模型的指南

一个拥抱一个指南零信任安全模型在政府一个安全策略的年龄云计算和远程工作 公共部门机构正处于大规模的数字化转型之中。云、移动、微服务等技术进步正在改变公共部门帮助他们:为了应对网络攻击的激增和这种扩大的攻击表面上看,拜登政府已经发布了行政命令(EO)关于通过更好的网络事件改善国家的网络安全准备和响应。•提供与商业企业一样高效的服务，•满足日益增长的关键任务的要求这EO导致OMB M-21-31授权制定的要求对于一些高级别的政府工作流程。它规定了一个企业日志记录成熟度模型，具有四个级别和实现每个级别的截止日期。每个级别都变得越来越复杂，需要更多数据来源、更长的保留期，最终需要业务分析以及安全编排和自动化 （SOAR） 功能。•赶上市场预期，提高效率。这允许公共部门员工和选民远程工作并有权访问其组织的应用程序和服务 — 从随时随地为选民和员工服务。虽然数字化转型和云迁移可以帮助机构获得收益许多好处，如效率、敏捷性和满意的客户，它移动来自本地系统感知安全性的宝贵数据。这有随后导致传统企业边界的解体。底线？尽管存在恐惧和挑战，但现在是时候了联邦机构实现安全运营现代化，强化网络并应用可用的专业知识，以获得更多信息和准备下一个网络攻击。这种转变也为网络威胁和扩展攻击面。与这些威胁和感知相关的恐惧迁移到云的挑战已经减缓了政府的迁移和采用现代工具，是主要原因之一许多遗留系统仍然主导着政府大厅。!在政府中采用零信任安全模型的指南|Splunk2 -19年COVID部队政府机构跟上时代大流行敲响了警钟，迫使许多政府机构加速转型。一夜之间，政府工作人员被迫远程工作，这给公共部门现有的它和安全的能力。有了这种心态，每个被授予访问权限的用户、设备、服务都是被视为敌对，即使它是已知和批准的设备或用户。并非所有数据都是平等创建的。随着安全团队努力保护企业，有一件事已经变得非常清楚：并非所有资产都可以 - 或者需要 — 在同一级别受到保护。衡量灵敏度至关重要以及数据的重要性，以帮助推动有意义和有效的安全性在外围消失和数据移动到企业围墙之外时进行度量。通常，政府机构依靠 VPN 解决方案来管理对企业，同时保持其安全态势。但机构发现了它难以扩展，因为解决方案的架构不是为了处理大量增加它的远程工作负载在一夜之间。如果不解决这些问题，只需迁移到云或进行现代化改造您的基础架构不会同时为两个容量产生有效的结果以及公共部门机构的安全。政府将无法妥善保护资产并实现技术的潜在效益的进步。这也使公共部门面临新的安全威胁。传统工具政府组织正在使用依赖老派的“纵深防御”安全方法，需要定义的企业边界来保护一个组织。但疫情带来的快速工作习惯将传统的网络安全方法扩展到了临界点。政府机构需要一种可以超越边界的现代方法基于安全策略，以在 COVID-19 时代及以后生存。在传统的安全方法中，威胁可能会渗透到网络中，一旦边界被破坏，黑客就可以利用现有的漏洞，以获得授权访问权限并横向移动网络以及任何连接的系统 — 损害资产和造成不可挽回的损失。传统的网络当组织迁移到云时，用户访问权限将移出其传统的边界，为可见性、控制和安全的数据。网络上的每个设备（以及它有权访问的数据）都需要本身就受到保护。应持续进行保护和身份验证应用于设备和用户级别，而不是传统的依赖周长。当与威胁和对手环境相结合时，政府机构必须假设他们已经受到损害并采取必要的措施措施来保护自己。在政府中采用零信任安全模型的指南|Splunk3 一个安全的新方法:相信没有人一种有可能改善政府方式的安全方法机构保护他们的数据和系统是一个被称为零信任.Forrester写道我们生活在一个组织必须“承担”的时代您已经被泄露了;你只是还不知道。那就是在当今充满敌意的环境中保持必要的心态。“信任但验证”离开了你平坦的，为您进行危机管理做好准备。零信任可能看起来很鲜明，但这是一种与任务优先级保持一致的主动架构方法。零信任通过消除对基于外围的保护。实际上，组织减少了对网络安全 — 而是保护端点和后端应用程序。这家分析公司更进一步表示，零信任是“最好的途径保护你的公司和品牌。”这确保了一定程度的信任，并消除了一些围绕保护的焦虑远程办公室。它还减少了“数据泄露”或员工的威胁意外丢失下载到个人设备的敏感公司数据。需要持续应用保护和身份验证在每笔交易的设备和用户级别，确保连续的和自适应的授权。云无线连接在现实世界中，这看起来像一个简化的例子是员工谁从托管访问组织的案例管理系统设备。他的访问权。家公共亭在现场一段时间后，他从一个他认为会对他的工作很有帮助。由于他的设备在零中连续监控信任策略，他访问该机构系统的访问权限将被撤销由于他的设备现在有一个未知的组件，因此增加了其对企业资源。这个例子就是为什么零信任策略包括绑定员工的访问其 IT 管理的设备，具体取决于组织，消除 - 或至少限制 - 数量可从个人设备访问的敏感信息。低灵敏度/更少的限制数据的敏感性高灵敏度/更多的限制在政府中采用零信任安全模型的指南|Splunk4 建立一个零信任模型行业和安全专家已经接受了零信任模型在COVID-19大流行。ACT-IAC列出了六个支柱零信任构建的安全模型在数据的基础上概括为:用户持续的信任用户的身份验证,持续的监控和验证的用户管理其访问权限和特权的可信度。例如,ACT-IAC写道,零信任可以被认为“战略举措，与组织框架一起，使决策者和安全领导者实现务实有效安全实现。”设备网络实时网络安全态势和测量可信赖的设备。分段、隔离和控制网络的能力，包括 SOF 软件定义的网络、SOF 软件定义的网络广域网和基于互联网的技术。应用程序保护并正确管理应用程序层零信任容器和虚拟机。自动化分析安全自动化、编排和响应 （SOAR）允许组织跨产品自动执行任务通过工作流程和交互式最终用户监督。可见性和分析是安全信息等工具和事件管理(SIEM)、先进的安全分析平台ORMS，用户和实体行为分析(UEBA)启用安全专家观察是什么发生和东方防御更聪明。数据来源：零信任网络安全当前趋势，2019 年 4 月 18 日，ACT-IAC在政府中采用零信任安全模型的指南|Splunk5 根据定义,一个成功的零信任安全程序必须:• 所有资源认证和授权都是动态且严格的允许访问之前执行。•承担网络总是充满敌意。• 企业尽可能多地收集有关当前的信息网络基础设施和通信的状态，并使用它来改进其安全的姿势。• 外部和内部威胁始终在网络上。• 网络位置的位置不足以决定信任在一个网络。所有这些报告都强调，零信任是组织的网络安全思维方式从基于防御的转变专注于网络防御和静态边界以聚焦的方法用户、资产和可用的资源。特别是在COVID-19,这已成为一个迫切需要解决的全球性问题。• 每个设备、用户和网络流都必须经过身份验证，并且授权。• 策略必须是动态的，并且根据尽可能多的数据计算得出尽可能的来源。• 请求访问的实体的风险评分可以是动态的基于各种条件和属性并连续信息将有助于确保始终保持信任。为了有效，零信任方法要求组织专注于利用全机构的数据作为其基础，并了解所有数据与安全相关。一旦数据受到监控和保护，组织的防御可以扩展到包括其所有资产，例如设备、基础设施和用户。NIST同样提供自己的指导方针实现一个成功的零信任策略:遗产现代静态的,基于保护资产、用户资源• 所有数据源和计算服务都需要被视为资源。• 无论网络位于何处，都需要保护所有通信。• 按会话授予对单个企业资源的访问权限。假设妥协的/连续的评估内隐式信任周长遵守连接到网络基于产品/工具• 获得资源的机会取决于动态政策，包括客户端身份、应用程序和请求资产的可观察状态 —和可能包括其他行为属性。遵守连接资源“总署”方法• 企业确保所有拥有和关联的设备都在最安全的状态，并监控资产以确保它们保持在最安全的状态。资料来源：零信任网络安全当前趋势，ACT-IAC，2019 年 4 月在政府中采用零信任安全模型的指南|Splunk6 Splunk和零信任模型Splunk 平台 orm 提供持续的监控和分析解决方案适用于首席信息安全官 （CISO） 和安全专业人员需要确保在现代环境中安全访问其数据和应用程序，perimeter-less企业。Splunk 以三种方式专门映射到零信任模型：1.Splunk 增强了对访问权限的信心和信任通过持续监控用户、资产或服务来管理企业资源可信赖性。平台 orm 有助于增强对访问决策的信心和持续信任，同时确保组件性能、策略合规性和可用性在零信任的生态系统。2.Splunk 提供对服务运行状况、组件的全栈可见性关系和基础结构，确保性能和可用性，以及使用机器学习在问题发生之前预测问题。3.Splunk 通过执行帮助减少手动工作、分析师疲劳和成本Splunk 平台或帮助组织从几乎任何来源摄取数据，端到端监控其基础架构，并帮助优化和增加零信任生态系统的有效性。通过自动执行任务和编排工作流来实施零信任策略。设备笔记本电脑、手机、Congurations,异常用户和实体行为分析(UEBA)用户使用,经验,性能、质量持续的监控实时Visibilitiy行为分析连续风险评分自动化/编制合规工作负载/应用程序笔记本电脑、手机、Congurations,异常企业安全幻影(上升)中间件/ apiTrac,异常,性能、身份物联网/不/机器身份,利用,行为,Congurations云可用性、性能行为服务的见解IT服务的情报(ITSI)威胁情报漏洞、威胁、ttp, IOsSaas云在政府中采用零信任安全模型的指南|Splunk7 增加信心,降低风险零信任的基本前提是保护组织的数据- 无论它位于何处 - 同时允许合法访问以下实体：需要他们。Splunk 平台 orm 增加了用户的信心和信任通过持续监控所有用户来授权企业资源，设备、服务和基础设施。此信息有助于策略引擎验证用户、资产和服务可信度并管理其访问权限每个步骤的权限由组织的安全策略决定。政府机构可以依靠 Splunk 软件来获取丰富的上下文详细信息在请求访问企业资源的任何用户、资产或服务上，在由机构政策决定的间隔，以便快速和明智的决策。通过结合一套复杂的事件管理和先进的安全和行为分析功能，通过机器学习进行增强，该解决方案使策略引擎能够确定可信度和风险由在任何给定时间请求访问企业数据的实体构成。接下来，我们将深入探讨特定的 Splunk 解决方案，这些解决方案有助于构建成功零信任模型。在政府中采用零信任安全模型的指南|Splunk8 感觉安全SplunkSplunk的安全套件充当组织的安全神经中枢，转动数据转化为见解，洞察转化为行动。软件帮助组织在整个机构中利用数据（包括与安全相关的和非与安全相关的数据）增强威胁检测和响应，并作为关键集成连续诊断和缓解 （CDM） 体系结构中的层。Splunk ES 具有全面的特定于安全性的数据视图，这有助于安全团队可以更快地检测网络威胁并优化事件响应。它还提供快速调查功能，从而可以确定恶意活动、违规检测和调查威胁范围或攻击。Splunk ES还提供持续的风险评估，提供对信息保障的精细可见性和实时洞察坚持控制。Splunk 的 sof 软件提供上下文并通过以下方式简化安全操作帮助组织收集、聚合、消除重复数据并确定威胁的优先级来自多个来源的情报。软件不断增强可操作的用例内容，有助于防范最新的网络安全威胁并评估风险概况和活动状态并进行沟通整个机构。Splunk非洲联合银行是一个用户和实体行为分析(UEBA)解决方案使用无人监督的机器提供高级内部威胁检测学习。这有助于组织发现未知威胁和异常在设备的行为,用户和应用程序。安全解决方案的核心Splunk企业安全(ES), Splunk用户行为分析(非洲联合银行)Splunk的幻影。额外的应用程序可用于扩展功能并缩短价值实现时间 （TTV）。Splunk UBA 扩展了 Splunk ES 的功能，允许组织应对高保真威胁，同时优化威胁检测并启用有针对性的事件响应。它提供动态风险评估功能通过持续监控访问控制和用户行为 — 内部和外部 — 检测任何