零信任指南

必要的指导零信任必要的指导零信任 零信任是什么?4零信任的进化5零信任模型...............................................................................6第一阶段:收集相关数据................................................12第二阶段:理解和说明你的数据...........................................1第三阶段:扩大您的数据................................................16阶段4:丰富和增强您的数据..............................................1第五阶段:先进的自动化和编制...........................................1第六阶段:先进的威胁检测...............................................2零信任需要一个生态系统方法23你零信任生态系统在工作中:一个例子.......................................26数据的方法为零信任27表的内容 零信任的重要指南| Splunk3现在，组织比以往任何时候都更多地转向零信任策略来保护其数据和系统。无论规模或行业如何，在 COVID-19 之后，零信任对任何企业都至关重要。备受瞩目的违规行为（参见：SolarWinds）、云迁移和不断扩大的攻击面意味着方法的转变变得更加重要。但这种举措似乎令人生畏。特别是当它涉及重新思考如何解决整个组织以及每个设备、应用程序和用户的安全性时这与它有关。更复杂的是，零信任不仅限于传统IT，还扩展到运营技术/工业控制系统（OT / ICS）和物联网（IoT） - 两者都是黑客的流行妥协点。好消息吗?零信任模型可以从根本上改善组织的安全状况，并通过消除对基于外围的保护的唯一依赖来最大程度地减少运营开销。零信任不是遵循传统方法，而是在每个接入点建立一定程度的信任，从而有效地保护用户、资产和资源。然而，这并不意味着摆脱周边安全。相反，在保护核心资产方面，这是组织方法的转变。底线:零信任不仅仅是一个架构框架。这是一种促使组织重新思考监控、分类和补救的心态。在本基本指南中，我们将探讨需要零信任策略的驱动力，以及该策略需要什么，如何实施，以及最终如何重新构想安全的真正含义。 零信任的重要指南| Splunk4零信任的基本原则是保护组织的数据，无论其可能位于何处，同时仅允许合法用户和实体访问相关资源和资产。在这种心态下，每个需要访问组织网络的用户、设备和服务都被视为敌对，除非另有证明。简而言之，这里的关键是了解谁想要访问，请求来自哪个设备，然后将其映射到每个应用程序或资产的访问策略。这相当于授予访问权限的白名单方法，基于员工的设备、用户凭据和行为。需要为每个会话在设备和用户级别持续应用身份验证，以确保在粒度范围内进行连续和自适应授权。例如，有权从新分配的设备使用组织的案例管理系统的员工。员工从该设备发出请求并被授予访问权限。最终，他们从网站下载驱动程序以提供帮助。由于在零信任策略中持续监视设备，因此会标记更新。这个新添加的组件改变了相关设备的配置，从而改变了信任评分。现在，当员工尝试连接到系统时，他们的访问可能会被拒绝或降级，具体取决于他们的新信任分数和相关策略。这显示了利用多个因素（在本例中为用户、设备和资源的组合分数）如何帮助安全团队动态降低企业资源的风险。零信任系统能够考虑不断变化的条件，以进行持续评估和持续保护。 零信任是什么?为了进一步细分这一点，成功的零信任安全计划必须：•假设网络总是充满敌意。•接受外部和内部威胁始终在网络上的事实。•要知道，网络位置的位置不足以决定信任网络。•对每个设备、用户和网络流进行身份验证和授权。•实施动态策略，并根据尽可能多的数据源计算策略。 零信任的重要指南| Splunk5这些技术包括（但不限于）：•身份和访问管理(我)•多因素身份验证(MFA)•数据损失预防(DLP)•云访问安全代理(CASB)•云基础架构权利管理 （CIEM）之前第一次被定义为零信任Forrester在2010年，安全从业者遵循基于网络的分段模型，建立在传统的网络安全解决方案之上。这看起来像一个硬化的边界，或者围绕组织网络的众所周知的城堡墙，容纳其所有宝贵的资源和数据。但是，如果威胁要渗透网络并突破边界，黑客就可以自由支配，在网络以及任何连接的系统中横向移动，破坏资产并造成不可挽回的损害。进入de-perimeterization最终，安全团队开始从以网络为中心的方法转向以以下理念为中心的方法：任何设备、用户或系统（无论是组织内部还是外部）都不应隐式信任，并且对所有资源的访问都应经过显式身份验证和授权。然而，直到最近，这说起来容易做起来难。某些技术根本缺乏必要的集成功能，限制了组织集中和全面监控其组织资源的整体安全性的能力，造成了进一步的碎片化，并需要安全工程师进行详细实施。现在，有无数的技术围绕着访问控制 - 也就是说，一组规则来确定谁应该被授予访问受限位置和/或关键信息的权限。零信任架构可以将这些系统拼接在一起，从而降低独立管理多个控件的复杂性。由于这些进步，零信任变得更容易实现。COVID-19 还推动世界各地的组织和公司加速数字化转型。一夜之间，员工被迫远程工作，给 IT 和安全基础设施带来了巨大的压力。再加上边界的消解和攻击面不断扩大的挑战，零信任成为绝对的全球当务之急。零信任的进化 零信任的重要指南| Splunk6的设备。美国技术和工业咨询委员会（ACT-IAC）——一个致力于通过信息技术改善政府的非营利性公私合作伙伴关系——列出了零信任安全模型的六大支柱，每个支柱都建立在数据的基础上。这些都是概括为:•用户：对受信任用户的持续身份验证，持续监视和验证用户可信度，以管理其访问权限和权限。•设备：衡量实时网络安全状况和可信度•网络：对网络进行分段、隔离和控制的能力，包括软件定义网络、软件定义广域网和基于互联网的技术。•应用程序：保护和正确管理应用程序层以及容器和虚拟机。•自动化：安全自动化、编排和响应 （SOAR） 允许组织通过工作流和交互式最终用户监督跨产品自动执行任务。•分析：安全信息和事件管理 （SIEM）、高级安全分析以及用户和实体行为分析 （UEBA） 等可见性和分析工具使安全专家能够观察正在发生的事情并相应地调整防御方向。零信任模型零信任数据分析自动化应用程序网络设备用户 零信任的重要指南| Splunk7你友好的零信任备忘单零信任模型应授权和验证用户对所有资产和资源的访问权限，并且应根据公司的相应策略和每个会话授予访问权限。零信任控制需要识别并与您的系统、用户和数据保持一致。这些应该从两个角度考虑：用于保护内部/云基础架构、网络、系统、应用程序和数据（有时被归类为“对象”）的安全控制。用于在访问资源时保护和授权用户和端点的安全控制。这还应包括管理访问权限，并被归类为“主体”。应该有一套通用的策略、实践和协议来管理所有系统（包括外部资源（例如，软件即服务））中用户和设备的身份和信任分数。零信任控制管理需要统一，并且基于业务级逻辑而不是传统的安全规则（例如，基于 IP 的控制）提供动态端到端访问。应建立端到端数据分析，在整个架构中提供监控和威胁检测，同时支持 IT 和安全运营要求。采用集中式安全态势，具有上下文化的风险分析和用于访问授权的高级策略逻辑。除了在更广泛的零信任体系结构中的适用性和兼容性之外，还需要考虑现有的安全控制和流程。 零信任的重要指南| Splunk8安全分析和监控安全性和IT运作Splunk企业安全监控、检测、调查和响应威胁Splunk的行为分析检测到异常与机器学习活动风险评分和上下文Splunk飙升(原Splunk幽灵)在整个零信任架构中自动执行和协调对安全威胁的响应Splunk ITSI端到端智能零信任服务监控面向 IT 和安全运营的数据分析平台用户和设备零信任访问授权和控制传统和现代的安全数据和应用程序现在，你已完全了解零信任的历史和基本原则，我们已准备好继续操作。在以下部分中，我们将重点介绍构建现代安全运营中心 （SOC） 如何支持零信任的安全监控，以及 Splunk 如何帮助组织立即实现其零信任目标。数据和警报风险和上下文行动数据和警报 零信任的重要指南| Splunk9Splunk数据分析之旅为零的信任当组织希望采用零信任策略时，监视、检测和调查与零信任控制相关的安全事件至关重要和策略 — 特别是针对用户、系统、应用程序和数据的保护措施。经过多年帮助客户实施数据分析解决方案（除了研究行业最佳实践和 Splunk 集体经验之外），Splunk 还开发了我们称之为安全数据分析之旅的产品。此成熟度模型将组织的安全旅程分解为不同的阶段。目标是每个阶段都涵盖特定目标，同时允许在进入下一阶段增长之前进行增量迭代改进。虽然此旅程侧重于安全结果，但它也与通过重用和重新散列数据来开发 IT 监视功能保持一致。这种方法非常适合:1帮助您的 IT 和安全运营更好地与零信任战略保持一致，以及2.构建支持零信任架构并弥合任何现有差距的现代 SOC。以下部分将介绍数据分析旅程的每个阶段，因为它与必要的步骤保持一致，以便您可以同时满足 IT 和安全运营的零信任要求。Splunk的安全数据分析的旅程阶段6第五阶段第四阶段第三阶段第二阶段阶段1集合从环境中收集基本安全日志和其他计算机数据归一化应用标准安全分类并添加资产和身份数据扩张收集端点活动和网络元数据等其他数据源，以推动高级攻击检测浓缩使用情报源增强安全数据，以更好地了解事件的背景和影响自动化和编制建立一致且可重复的安全操作能力先进的检测应用复杂的检测机制，包括机器学习 零信任|基本指南斯普伦克页面10在零信任之旅的每个阶段，我们将介绍我们的产品套件如何与零信任的安全和 IT 监控的各种要求保持一致。这些产品包括：•Splunk Enterprise：数据分析和调查平台j 可扩展的数据分析平台;支持零信任架构的 IT、安全和欺诈用例。j 能够摄取广泛的结构化和非结构化数据。j 全面的伙伴生态系统;包括支持集成的零信任解决方案，以及快速数据源载入和规范化。•Splunk 企业安全：安全信息和事件管理 （SIEM）j 广泛的安全监控和检测用例库，由 Splunk Security Essentials （SSE） 和企业安全内容更新 （ESCU） 提供支持。j 支持资产和身份数据的丰富和情境化、风险评分和安全态势的关键框架，以支持零信任目标。j 基于风险的警报 （RBA） 有助于实现与 MITRE ATT&CK 框架一致的高级风险评分和多指标检测。在零信任控制中查找可能指示恶意行为的活动序列。•Splunk用户和实体行为分析(UEBA)j 开箱即用的无监督机器学习，用于高级行为检测和自动身份解析。•Splunk SOAR for Security Orchestration， Automation and Response（以前称为 Splunk Phantom）j 全面的案例管理、事件调查、编排和自动化，以响应零信任架构中的安全和服务事件。•Splunk IT服务智能(ITSI)j 对零信任控制以及相关应用程序和服务的底层基础设施进行端到端服务监测。 零信任|基本指南斯普伦克页面11面向零信任 IT 和安全运营的 Splunk 解决方案概述 持续的监控 实时Visibilitiy高飞 行为分析 连续风险评分自动化/编制 合规 服务的见解设备笔记本电脑、手机、Configur军内,异常用户和实体行为分析(UEBA)用户使用、体验、性能质量工作负载/应用程序笔记本电脑、手机、配置,异常中间件/ api交通、异常、性能的身份企业安全物联网/不/机器身份、利用率、行为、配置云可用性、性