网站建设廴金手指花总壹陆,免费的小程序平台,泸州百度做网站联系,免费注册网站域名可以用吗零信任是网络安全计划的关键要素#xff0c;但制定策略可能会很困难。安全和风险管理领导者应使用美国国防部模型的七大支柱以及 Gartner 研究来设计零信任策略。 战略规划假设
到 2026 年#xff0c;10% 的大型企业将拥有全面、成熟且可衡量的零信任计划#xff0c;而 202…零信任是网络安全计划的关键要素但制定策略可能会很困难。安全和风险管理领导者应使用美国国防部模型的七大支柱以及 Gartner 研究来设计零信任策略。 战略规划假设
到 2026 年10% 的大型企业将拥有全面、成熟且可衡量的零信任计划而 2023 年这一比例还不到 1%。 分析
人们对零信任安全的兴趣主要来自政府授权、混合劳动力的需求、公开的违规行为和供应商炒作。不同的政府以及部分政府正在为某种版本的零信任制定授权。 Gartner 估计大多数组织正处于零信任之旅的起步阶段。Gartner 客户对零信任的承诺感到兴奋但很少有人关注实施后的现实情况。 Gartner 的2023 年零信任安全计划实施战略路线图指出安全和风险管理 (SRM) 领导者必须为零信任计划建立清晰的路线图以优化其组织的风险态势。 启动或完善零信任计划的一种方法是评估领先组织已经取得的成就。美国国防部 (DoD)、网络安全和基础设施安全局 ( CISA)和 Google 等组织已将零信任概念应用于多个领域和资源。在本研究中我们重点关注国防部提出的建议。 2022 年 1 月美国国防部成立了国防部零信任投资组合管理办公室 (ZT PfMO)以协调工作并从零信任角度加速网络安全。该计划的成果包括国防部零信任战略和国防部零信任能力执行路线图 。 这项研究包括了与美国国防部模型相一致的七份文件该模型列出了七大支柱方面的能力
1. 用户
2. 设备
3. 应用程序和工作负载
4. 数据
5. 网络与环境
6. 自动化与编排
7. 可视性和分析 负责零信任策略的 SRM 领导者如何利用美国国防部的零信任模型来制定自己的网络安全策略SRM 领导者可以参考此处汇编的 Gartner 研究了解哪些技术和最佳实践可以映射到国防部模型用户支柱中的能力从而塑造、充实和发展该策略的相关部分。 研究亮点
美国国防部零信任战略指出
“这项零信任战略是国防部的首个此类战略它为推进零信任概念发展提供了必要的指导差距分析、需求开发、实施、执行决策以及最终采购和部署所需的零信任能力和活动这些将对对手产生有意义且可衡量的网络安全影响。” 该战略指出零信任功能将在由七大支柱定义的组织结构内进行开发、部署和运行见图 1这为国防部零信任安全模型和国防部零信任参考架构提供了基础领域。 图 1. 美国国防部用户支柱内的零信任功能 支柱1用户
用户支柱的目标和目的是
“持续验证、评估和监控用户活动模式以管理用户的访问和权限同时保护和确保所有交互的安全。” 该支柱包括图 1中列出并在以下章节中详细说明的能力。 1.1 用户清单
美国国防部模型
功能描述识别普通用户和特权用户并将其集成到支持定期修改的清单中。拥有本地用户的应用程序、软件和服务都是清单的一部分并突出显示。
能力结果系统所有者可以控制可见性和管理权限网络上所有授权和经过身份验证的用户。
对 ZT 的影响未在授权用户列表中的用户将被策略拒绝访问
活动存量用户。 Gartner 研究
身份生命周期管理是身份治理和管理 (IGA) 解决方案的决定性功能之一。为了实现这一点IGA 工具会汇总并关联分散在组织内多个身份存储库包括本地和云中中的不同身份用户库存数据供普通用户和特权用户使用。身份数据管理是这里的基础。 1.2 有条件用户访问
美国国防部模型
功能描述通过成熟度级别条件访问可以为环境中的用户创建动态访问级别。这从跨联邦 ICAM 的传统基于角色的访问控制开始扩展到以应用程序为中心的角色最终利用企业属性来提供动态访问规则。
能力结果最终组织通过动态改变用户风险配置文件和细粒度访问控制来控制用户、设备和非用户实体 DAAS 访问包括使用用户风险评估。
对 ZT 的影响系统未知的用户和存在不可接受风险的用户将被更准确地拒绝访问
活动为每个企业实施基于应用程序的权限基于规则的动态访问企业政府角色和权限。 Gartner 研究
授权和自适应访问是访问管理 (AM) 工具的一项关键功能。此功能包括授权决策和执行、策略创建并提供用于评估风险和动态呈现访问决策的存储和上下文数据源。它还可能包括可以推动基于风险的自适应访问决策的其他功能包括帐户接管 (ATO) 预防和用户和实体行为分析 (UEBA) 功能无论是本地实现还是通过与其他工具集成实现包括零信任网络访问 (ZTNA) 和安全服务边缘 (SSE) 工具。 1.3 多主体认证MFA
美国国防部模型
功能描述此功能最初侧重于开发以组织为中心的 MFA 提供程序和身份提供程序以实现用户的集中化。本地和/或内置帐户和组的退出是此功能的关键部分。在后期成熟度级别可以使用替代和灵活的 MFA 令牌为标准用户和外部用户提供访问权限。
能力结果国防部组织要求用户和非用户实体使用以下三个属性中的至少两个进行身份验证知识用户 ID/密码、所有权CAC/令牌或某些自己固有例如虹膜/指纹以便访问 DAAS。
对 ZT 的影响未提供多种身份验证形式的用户将被拒绝访问 DAAS 系统和资源。
活动组织 MFA/IDP替代灵活 MFA。 Gartner 研究
用户身份验证是一项基本控制措施它必须在身份声明中提供足够的可信度以使访问权限在组织的风险承受范围内。MFA 通常通过在旧密码中添加某种令牌来实现可以显著降低风险。因此审计人员、监管机构和网络安全保险公司对 MFA 的需求越来越大。AM 工具通常充当组织的身份提供者并在越来越广泛的用例中提供 MFA。 1.4 特权访问管理 (PAM)
美国国防部模型
功能描述该功能侧重于删除永久管理员/提升权限方法是首先创建特权帐户管理 (PAM) 系统并将特权用户迁移到该系统。然后通过使用权限提升批准的自动化并将分析输入系统进行异常检测来扩展该功能。
能力结果国防部各机构在其 IT 环境中控制、监控、保护和审计特权身份例如通过密码保管、使用 PAWS [特权访问工作站] 的 JIT/JEA。
对 ZT 的影响通过限制管理员访问来保护、控制、监控和管理关键资产和应用程序。
活动实施系统和迁移特权用户实时批准和 JIT/JEA 分析。 Gartner 研究
特权、管理或过度授权的账户仍然是攻击者的主要目标之一并且经常造成重大违规行为。特权包括管理权限、机密和云权限。PAM 和 CIEM 工具支持最佳实践方法来保护人类和机器的特权账户。 1.5 身份联合和用户认证
美国国防部模型
功能描述此功能的初始范围侧重于标准化身份生命周期管理 (ILM) 流程并与标准组织 IDP /IDM 解决方案集成。完成后该功能将转向通过单一解决方案或身份联合建立企业 ILM 流程/解决方案。
能力结果国防部各机构手动签发、管理和撤销与国防部人员、设备和 NPE 身份绑定的凭证。身份信息在实体和信任域之间开发和共享为已识别经过身份验证和授权的用户和设备提供“单点登录”的便利性和效率。
对 ZT 的影响用户身份验证信息的可见性和准确性得到提高包括国防部用户和其他机构管理的用户。根据既定政策缺乏足够凭证的用户将被拒绝访问。
活动组织身份生命周期管理企业身份生命周期管理。 Gartner 研究
组织必须采取强有力的方法进行凭证管理尤其是账户恢复因为薄弱的流程会增加账户接管 (ATO) 的风险。与身份验证 (又称身份验证) 的集成越来越重要。用户注册 (凭证) 是 B2B 客户 IAM (CIAM) 环境中的重要一步。机器身份管理 (MIM) 对非个人实体 (NPE) 至关重要。身份联合是 AM 工具环境中实现单点登录 (SSO) 的一种支持方法。 1.6 行为、情境ID和生物识别
美国国防部模型
功能描述利用企业 IDP可使用基本用户属性实现用户和实体行为分析 (UEBA)。完成后使用可用的组织 IDP 将其扩展为组织特定属性。最后UEBA 与 PAM 和 JIT/JEA 系统集成以更好地检测异常和恶意活动。
能力结果国防部组织利用行为、情境和生物特征监控技术来增强基于风险的身份验证和访问控制。
对 ZT 的影响行为、情境和生物特征监控技术增强了 MFA。
活动实施用户和实体行为活动UEBA和用户活动监控UAM工具用户活动监控。 Gartner 研究
尽管 MFA 可以减轻 ATO 风险但漏洞仍然存在过度依赖此类主动身份验证方法会让用户和组织面临风险。在登录过程中以及整个用户旅程中收集情境和行为信号包括被动行为生物识别可以提供持续的被动身份验证。将高级分析应用于更广泛的识别和风险信号可以提高灵活性和弹性并进一步优化所有用户的用户体验而不仅仅是在 PAM 环境中。信号分析可以通过 AM、ZTNA、SSE 和其他工具中的 UEBA 功能提供。 1.7 最小特权访问
美国国防部模型
功能描述国防部组织使用执行常规、合法任务或活动所需的绝对最低访问权限来管理对 DAAS 的访问。国防部应用程序所有者确定标准和特权用户访问所需的角色和属性。所有国防部组织 DAAS 的特权访问都会受到审核并在不需要时删除。
能力结果国防部组织使用执行常规、合法任务或活动所需的绝对最小访问权限来管理对 DAAS 的访问。
对 ZT 的影响网络上的用户只能在特定时间范围内访问他们被授权和验证的 DAAS。
活动按默认策略拒绝用户。 Gartner 研究
快速识别过度许可最小特权违规的情况并进行补救是IGA 工具的功能之一。访问审查和认证证明活动被广泛使用。这是一个可以使用高级分析功能并为安全风险管理提供高价值的例子。PAM 和 CIEM 工具满足了特权用户访问的这种需求。ZTNA 和 CASB 可以实施细粒度的访问控制当可能不需要完整安装 PAM 时可以将访问权限限制为管理员或者确保只有授权用户才能访问 PAM。 1.8持续认证
美国国防部模型
功能描述国防部各组织和整个企业将有条不紊地转向基于属性的持续身份验证。最初该功能侧重于将传统的单一身份验证标准化为组织批准的用户和群组 IDP。第二阶段将添加基于规则时间的身份验证并最终根据应用程序/软件活动和请求的权限发展为持续身份验证。
能力结果国防部组织使用 MFA 在会话内和跨会话持续验证并授权用户对 DAAS 的访问。
对 ZT 的影响未持续提供多种形式的身份验证的用户将被拒绝访问 DAAS 系统和资源。
活动单次认证定期认证持续认证。 Gartner 研究
如前所述在用户整个旅程中包括情境和行为信号包括被动行为生物识别可以提供持续身份验证。SSE 提供了强大的基础可提供持续身份验证并映射到对访问风险的动态评估包括威胁情报、资产敏感性和资产关键性。根据应用程序的托管方式将利用 ZTNA 或 CASB 功能。AM工具为持续身份验证和持续自适应访问提供了依据。 1.9集成ICAM平台
美国国防部模型
功能描述国防部各组织和整个企业采用企业级身份管理和公钥基础设施 (PKI) 系统来跟踪整个网络中的用户、管理员和 NPE 身份并确保访问权限仅限于有需要和知情权的人员。各组织可以通过凭证管理系统、身份治理和管理工具以及访问管理工具来验证他们是否需要并有权访问。PKI 系统可以联合但必须信任中央根证书颁发机构 (CA) 和/或交叉签名标准化组织 CA。
能力结果国防部各组织采用企业级身份管理系统来跟踪网络上的用户和 NPE 身份并确保访问权限仅限于有需要和有权知道的人员各组织可以通过凭证管理系统、身份治理和管理工具以及访问管理工具来验证他们是否需要并有权访问。
对 ZT 的影响用户和 NPE 的身份集中管理以确保跨平台对 DAAS 资源的授权和身份验证访问。
活动企业 PKI/IDP。 Gartner 研究
提供集成的 IAM 平台或更广泛的可组合基础设施需要一种能够实现身份优先安全性的架构方法。现代 IAM 基础设施Gartner 称之为身份结构利用和代理上下文以一致的方式为范围内的任何人或机器提供和支持自适应、持续的风险感知和弹性访问控制。它是零信任方法的基石。 图 2美国国防部设备支柱内的零信任功能 支柱2设备
设备支柱的目标和目的
“国防部网络安全实践纳入并实施零信任以实现国防部信息系统的企业弹性。” 该支柱包括图 2 中列出并在以下章节中详细说明的能力。 2.1 设备清单
美国国防部模型
功能描述国防部各机构建立并维护一份获准访问网络的所有设备的核准清单并在网络连接之前登记网络上的所有设备。设备属性将包括 PKI (802.1X) 机器证书、设备对象、补丁/漏洞状态等技术细节以便开展后续活动。
能力结果国防部组织建立并维护所有获得授权访问网络的设备的可信清单并在网络连接之前在网络上注册所有设备。
对 ZT 的影响根据默认策略设备将被拒绝访问网络。唯一允许访问网络的设备应是已知的、经过授权的且列在设备清单中。
活动设备健康工具差距分析、非个人实体 (NPE)/PKI、管理中的设备、企业身份提供者 (IdP) Pt1 和企业 IdP Pt2 。 Gartner 研究
设备清点和识别是实现零信任和差异化访问的基础步骤。建立用于设备和非人员实体识别的详细设备信息的方法和存储库是定义可扩展零信任策略的第一步。 2.2 设备检测与合规性
美国国防部模型
功能描述国防部各组织开展基础和扩展设备工具例如 下一代防病毒软件 ( AV )、应用控制、文件完整性监控 [FIM]集成以更好地了解风险状况。集成组织 PKI 系统将现有的企业 PKI 扩展到设备。还集成了实体活动监控以识别异常活动。
能力结果国防部各组织建立流程例如企业 PKI并利用工具来识别试图访问网络的任何设备包括非托管设备、基础设施设备和端点设备并确定是否应授权该设备访问网络。该能力的成熟包括实时监控和检测端点和 IT 基础设施上的此类活动。
对 ZT 的影响组件可以使用策略默认拒绝设备并明确允许仅符合强制配置标准的设备访问 DAAS 资源。通过持续的活动检查可以更快地修复已识别的安全威胁。
活动实体活动监控 Pt1、实体活动监控 Pt2、实施应用程序控制和 FIM 工具将 NextGen AV 工具与 C2C 集成将设备安全堆栈与 C2C 完全集成企业PKI Pt1以及企业 PKI Pt2 。 Gartner 研究
实现一致的设备检测和状态监控功能是实现动态访问的基石。在访问时使用恒定且一致的设备状态监控机制可以根据实时或近实时的设备环境精细地执行最低权限访问。以一致的方式收集详细的设备合规性信息测试然后操作这些信息确保它适合在零信任访问中发挥基础作用。 2.3 设备授权与实时检测
美国国防部模型
功能描述国防部各组织开展基础和扩展设备工具例如 NextGen AV、AppControl、FIM集成以更好地了解风险状况。组织 PKI 系统也进行了集成以将现有的企业 PKI 扩展到设备。实体活动监控也进行了集成以识别异常活动。
能力结果国防部各组织建立流程例如企业 PKI并利用工具来识别试图访问网络的任何设备包括非托管设备、基础设施设备和端点设备并确定是否应授权该设备访问网络。该能力的成熟包括实时监控和检测端点和 IT 基础设施上的此类活动。
对 ZT 的影响组件可以使用策略默认拒绝设备并明确允许仅符合强制配置标准的设备访问 DAAS 资源。通过持续的活动检查可以更快地修复已识别的安全威胁。
活动实体活动监控 Pt1、实体活动监控 Pt2、实施应用程序控制和文件完整性监控 (FIM) 工具、将 NextGen AV 工具与 C2C 集成、根据需要将设备安全堆栈与 C2C 完全集成、企业 PKI Pt1、企业 PKI Pt2。 Gartner 研究
零信任架构需要能够收集深入、最新的设备和用户详细信息以便快速做出情境访问决策。有关尝试访问的设备的详细信息更为丰富最重要的是最新这是可防御且可扩展的零信任策略的命脉。 由于攻击者专注于使用被盗的有效凭证获取访问权限因此检测异常使用或连接模式的能力可以成为攻击者入侵网络的可靠预警。端点保护平台 (EPP) 等工具可以提供设备的详细风险态势。持续监控态势和设备行为是使访问系统更能抵御先进而无情的攻击者的必要元素。 2.4 远程访问
美国国防部模型
功能描述国防部组织审核现有的设备访问流程和工具以设置最低权限基准。在第 2 阶段此访问权限将扩展到使用企业 IdP 对已批准应用程序提供基本的自带设备 (BYOD) 和物联网支持。最后阶段将扩大覆盖范围包括使用已批准的设备属性集提供服务的所有 BYOD 和物联网设备。
能力结果国防部组织制定政策允许授权用户和设备通过网络连接访问网络或从地理距离访问设备。
对 ZT 的影响使经过适当授权和认证的用户和非个人实体能够从远程位置访问 DAAS。
活动创建默认策略拒绝设备托管和有限的 BYOD 和 IoT 支持托管和完整BYOD 和 IoT 支持 Pt1托管和完整 BYOD 和 IoT 支持 Pt2。 Gartner 研究
ZTNA 产品正变得越来越流行它是一种为用户提供最低权限访问业务应用程序的方法可以替代传统的远程访问 VPN。传统的远程访问 VPN 仍然主要以许可证续订和网关升级的形式出现。尽管 ZTNA 的采用持续稳定并且具有安全优势但最终用户组织仍然难以制定策略以成功部署 ZTNA。 制定一个由一组核心应用程序、用户和设备组成的结构化范围通常从“简单用例”开始例如完全远程的知识型员工作为初步概念验证的一部分。然后与业务主管合作确定该组中最复杂的用户例如进行远程维护的特权承包商或远程工作的本地管理员。 2.5 部分和完全自动化的资产、漏洞和补丁管理
美国国防部模型
功能描述国防部组织建立流程来自动测试和部署连接设备的供应商补丁采用混合补丁管理人工和自动。
能力结果组件可以确认设备是否满足最低合规标准组件具有资产管理、漏洞和修补系统以及可实现跨系统集成的 API。
对 ZT 的影响通过自动将供应商补丁部署到所有网络设备最大限度地降低风险。
活动实施资产、漏洞和补丁管理工具。 Gartner 研究
漏洞管理 (VM) 和主动补救构成了风险管理的基础。它回答了以下问题“目前有哪些软件以及我的组织设置了哪些配置导致其易受攻击”攻击面管理 (ASM) 和漏洞管理之间会存在一些重叠因为 ASM 为 VM 提供了丰富的资产风险背景而 VM 为 ASM 提供了漏洞威胁数据以便更好地定义风险。即使企业采用统一端点管理 (UEM) 工具进行现代管理以简化其端点管理策略修补仍然是 Gartner 客户讨论的主要话题。 2.6 统一端点管理 (UEM) 和移动设备管理 (MDM)
美国国防部模型
功能描述国防部各组织建立了一个集中式 UEM 解决方案无论设备位于何处都可以选择通过单一控制台对计算机和移动设备进行代理和/或无代理管理。国防部发放的设备可以进行远程管理并强制执行安全策略。
能力成果国防部各组织建立了一个集中式 UEM 工具该工具可在单个控制台上提供计算机和移动设备的代理和/或无代理管理选择。国防部发放的移动设备可进行远程管理并可执行安全策略。
对 ZT 的影响 DAAS 资源通过代理和无代理管理得到保护。IT 能够从单个控制台管理、保护和部署任何设备上的资源和应用程序以解决网络安全威胁。通过 IT 对国防部发放的移动设备的远程管理可以缓解安全漏洞并接收政策执行措施。
活动实施UEDM或同等工具企业设备管理 Pt1企业设备管理 Pt2。 Gartner 研究
Gartner 将 UEM 工具定义为基于软件的工具这些工具使用基于代理或无代理的操作系统级集成与各个端点集成在多个端点平台上提供集中管理、配置和报告。这些工具可以处理 PC 设备主要是 macOS 和 Windows 端点也可以完成 Android 和 iOS/iPadOS 设备的移动设备管理任务。这些工具还可以处理 Linux 端点但很少用于服务器端点管理。 UEM 工具提供以用户为中心的跨设备平台端点资产视图并可以根据外部触发条件自动配置设备。除了维护采用最低权限访问方法实现零信任的核心配置和状态之外这些工具还可以响应基于零信任的触发条件例如更改用户或设备上下文来更改设备配置。 2.7 端点和扩展检测与响应
美国国防部模型
功能描述国防部各机构使用端点检测和响应工具来监控、检测和补救端点上的恶意活动。扩展功能以包含 XDR 工具可让各机构负责端点以外的活动例如云和网络。
能力成果国防部各机构使用 EDR 工具来监控、检测和补救端点上的恶意活动以此作为基准。升级到 XDR 工具可让各机构负责端点以外的活动。
对 ZT 的影响通过主动调查和响应最初可以减少来自网络连接端点的威胁。成熟度侧重于取证通过关联多个安全层例如电子邮件、云、端点之间的数据可以实现更快的威胁检测和补救。
活动实施 EDR 工具并与 C2C 集成实施 XDR 工具并与 C2C Pt1 和 C2C Pt2 集成。 Gartner 研究
端点保护平台是针对服务器和面向用户的端点部署的最常用的恶意软件预防和主动防御层被视为所有组织基本安全卫生的基础方面。EDR 的功能是成熟端点安全策略的一个要素也是 EPP 不可或缺的组成部分。 XDR扩展检测和响应为安全基础设施提供安全事件检测和自动响应功能。XDR 将来自多个来源的威胁情报和遥测数据与安全分析相结合以提供安全告警的情境化和关联。XDR 从本机传感器获取输入包括以端点为中心的工具和其他基础设施安全工具如网络和身份保护资产以进行关联的威胁情报、分析和响应。 图3美国国防部应用程序和工作负载支柱中的零信任功能 支柱3应用程序与工作负载
应用程序和工作负载支柱的目标和目的是
“保护并正确管理应用程序层以及计算容器和虚拟机。” 该支柱包括图3 中列出并在以下章节中详细说明的能力。 3.1 应用清单
美国国防部模型
功能描述系统所有者确保所有应用程序和应用程序组件都得到识别和清点只有经过适当授权官员/CISO/CIO 授权的应用程序和应用程序组件才可在系统所有者的职权范围内使用。
能力结果系统所有者确保所有应用程序和应用程序组件都得到识别和清点只有获得适当授权官员/CISO/CIO 授权的应用程序和应用程序组件才可在系统所有者的职权范围内使用。
对 ZT 的影响未经授权的应用程序和应用程序组件不得在系统上或系统内使用 。
活动应用/代码识别 Gartner研究
应用程序清单可识别组件及其使用位置。构建此类功能需要添加针对特定类型资产的发现和清单功能的工具。软件组合分析 (SCA) 是一种旨在协助开源软件完成该任务的技术。还有不同的态势管理技术分别专注于基础设施即服务 (IaaS)、Kubernetes 和 SaaS。此外一些应用程序安全态势管理 (ASPM) 工具还具有应用程序清单功能。应用程序清单功能也是攻击面管理的一部分它使用攻击面评估 (ASA) 工具来持续发现、清点和管理组织的资产包括应用程序。 3.2 安全软件开发与集成
美国国防部模型
功能描述根据零信任原则和最佳实践建立基础软件和应用程序安全流程和基础设施。代码审查、运行时保护、安全 API 网关、容器和无服务器安全等控制措施均已集成并实现自动化。
能力成果将组织定义的安全控制和实践包括零信任安全控制和虚拟化集成到软件开发生命周期和 DevOps 工具链中。定制软件开发团队使用 DevSecOps 根据组织的要求政策、技术和流程将静态和动态应用程序安全测试集成到软件交付工作流中。
对 ZT 的影响零信任安全概念、流程和功能在整个 DevOps 工具链中被接受和集成包括在应用程序开发过程中发现弱点和漏洞所必需的静态和动态应用程序安全测试。
活动构建 DevSecOps 软件工厂 Pt1构建 DevSecOps 软件工厂 Pt2自动化应用程序安全和代码修复 Pt1自动化应用程序安全和代码修复 Pt2。 Gartner研究
现代 DevSecOps 流程需要在 CI/CD 管道的多个阶段协调控制。开发人员的安全意识至关重要。各种各样的技术涵盖应用程序安全测试、态势管理和 API 保护。应用程序安全测试工具已发展成为提供此类别中多种功能的复杂套件。其他专用工具专注于特定方面或交付方法例如容器或 API。 无论在开发过程中多么谨慎应用程序都必须经过精心设计才能在恶劣的环境中生存。由于许多应用程序正在并将继续遭受越来越多的复杂攻击因此需要适当组合缓解技术来保护它们。 3.3 软件风险管理
美国国防部模型
功能描述国防部各组织建立软件/应用程序风险管理计划。基础控制包括物料清单风险管理、供应商风险管理、经批准的存储库和更新渠道以及漏洞管理计划。其他控制包括在 CI/CD 管道内进行持续验证以及利用外部来源进行漏洞成熟。
能力结果国防部制定政策和程序通过评估和识别批准来源的供应商采购风险、创建供开发团队使用的存储库和更新渠道、为应用程序创建物料清单以识别来源、可支持性和风险态势并建立用于 DevSecOps 的行业标准 (DIB) 和批准的漏洞数据库确保国防部和 DIB 系统内代码组件的供应链网络安全。
对 ZT 的影响 DAAS 和供应链相关组件中使用的代码是安全的漏洞减少了并且 DoD 意识到了潜在的风险。
活动批准的二进制文件/代码漏洞管理计划 Pt1漏洞管理计划 Pt2持续验证。 Gartner研究
管理已批准二进制文件和代码的有条不紊的方法需要跟踪代码的来源包括其依赖项。软件物料清单 (SBOM) 等技术有助于实现这一点。它们需要更改内部流程并允许在 DevSecOps 管道内实现自动化。随着组件的使用时间推移它们很容易受到新漏洞的影响必须识别、跟踪和评估这些漏洞以进行缓解。 此外组织需要规划对软件开发存储库的安全访问尤其是远程访问。SASE 和 SSE 等技术已经发展到可以满足这一要求。全面的软件风险管理需要成熟度模型以及组织处理流程和人员的协调方法包括对交付团队的技能和支持。 3.4 资源授权与整合
美国国防部模型
功能描述国防部通过 CI/CD 管道建立标准化资源授权网关采用风险方法审查用户、设备和数据安全状况。授权在实时/生产环境中采用编程例如软件定义方法。利用其他支柱活动以及 API 和授权网关丰富属性。使用授权对已批准的企业 API 进行微分段。
能力结果国防部建立了一种标准方法以风险方法管理资源授权审查用户、设备和数据安全态势。
对 ZT 的影响资源授权允许在后期以编程方式对这些资源进行有限访问。这提高了在不需要时删除访问权限的能力。
活动资源授权 Pt1资源授权 Pt2SDC 资源授权 Pt1SDC 资源授权 Pt2丰富资源授权 Pt1 的属性丰富资源授权 Pt2 的属性REST API 微段。 Gartner研究
资源授权是一个广泛的话题因为可以应用授权的资产类型很多授权范例也有很多种。软件定义边界可以通过SASE 和 SSE 等技术实现。授权网关通常集成在 API 网关中。如果无法实现这一点可以将外部授权管理器与代码集成以提供内联授权。
作为此功能的一部分来自用户和实体活动监控、微分段服务、DLP 和 DRM 等来源的初始属性被集成到资源授权技术堆栈和策略中。 3.5 持续监控和持续授权
美国国防部模型
功能描述国防部组织采用自动化工具和流程来持续监控应用程序并评估其运行授权。
能力结果国防部组织采用自动化工具和流程来持续监控应用程序并评估其运行授权。
对 ZT 的影响近乎实时地了解所部署的安全控制的有效性。
活动持续运营授权cATOPt1持续运营授权cATOPt2。 Gartner研究
高级零信任功能需要标准化控制监控和识别偏差以便解决或缓解偏差。许多态势管理技术都属于这一领域。它们通常专注于云工作负载、容器、开发的应用程序、SaaS 或基础设施。虽然跨多个环境的集成仪表板难以捉摸但单个工具提供了大量可以汇总的信息。
其中许多技术都集成在 DevSecOps 工具链中并附带相关功能允许自动监控、检测在某些情况下还可以实现与此高级功能相符的自动响应功能。 图 4数据支柱内的零信任功能 支柱4数据
数据支柱的目标和目的
“组织需要根据任务关键性对其 DAAS 进行分类并利用这些信息制定全面的数据管理策略作为其整体 ZT 方法的一部分。这可以通过提取一致的有效数据、对数据进行分类、开发模式以及加密静态和传输中的数据来实现。” 该支柱包括图4中列出并在以下章节中详细说明的能力。 4.1 数据目录风险对齐
美国国防部模型
功能描述数据所有者确保数据得到识别和清点并且数据格局的任何变化都会被自动检测并包含在目录中。然后必须审查数据格局以识别与数据丢失、攻击或任何其他未经授权的更改和/或访问相关的潜在风险。
能力成果数据所有者确保数据得到识别和清点并且数据格局的任何变化都会被自动检测并包含在目录中。然后必须审查数据格局以确定与数据丢失、攻击或任何其他未经授权的更改和/或访问相关的潜在风险。
对 ZT 的影响数据资产是已知的因此可以根据优先级框架按照风险级别进行收集、标记和保护并进行加密以进行保护。
活动数据分析。 Gartner研究
数据分类是此功能的核心。它代表使用商定的分类、分类法或本体来组织信息资产的过程。结果通常是大量的元数据存储库可用于做出进一步的决策。这可以包括将标签或标签应用于数据对象以促进其使用和治理无论是通过在其生命周期内应用控制措施还是使用数据结构激活元数据。 4.2 企业数据治理
美国国防部模型
功能描述国防部制定可执行的企业数据标记/标签和 DAAS 访问控制/共享政策例如 SDS 政策。制定的企业标准确保国防部各组织之间具有适当的互操作性。
能力结果国防部建立可在现场级别执行的企业数据标签/标记和 DAAS 访问控制/共享政策例如SDS 政策。
对 ZT 的影响决策权和问责框架确保在数据和分析。
活动定义数据标记标准互操作性标准制定软件定义存储 (SDS) 政策。 Gartner研究
与之前的功能类似数据分类也是此功能核心的一项关键活动。此外数据安全治理作为数据安全的一项总体活动对于建立通用标准、程序和互操作性至关重要。Gartner 对此功能的指导从数据分类最佳实践延伸到数据安全治理。第4.2.3节提到了软件定义存储 (SDS) 策略其中包括 Gartner 对数据存储和保护的研究。 4.3 数据标记和标签
美国国防部模型
功能描述数据所有者根据国防部关于标签/标记政策的企业治理对数据进行标记和打标签。随着阶段的推进自动化被用于满足扩展需求并提供更好的准确性。
能力结果数据所有者根据国防部关于标签/标记政策的企业治理对数据进行标记和打标签。
对 ZT 的影响建立机器可执行的数据访问控制、风险评估和态势感知需要一致且正确的标记和标签数据。
活动实施数据标记和分类工具手动数据标记 Pt1手动数据标记 Pt2自动数据标记和支持 Pt1自动数据标记和支持 Pt2。 Gartner研究
随着手动数据标记从企业级开始并扩展为附加属性技术可以通过自动方式识别和分类数据来提供帮助。这里相关的是数据安全态势管理 (DSPM)功能和数据安全平台 (DSP)。Gartner研究还涵盖了Microsoft 堆栈中的数据安全性。 4.4 数据监测与传感
美国国防部模型
功能描述数据所有者将捕获活动元数据其中包括有关其数据资产的访问、共享、转换和使用的信息。进行数据丢失防护 (DLP) 和数据权限管理 (DRM) 执行点分析以确定工具的部署位置。使用替代工具主动监控 DLP 和 DRM 范围之外的数据例如文件共享和数据库是否存在异常和恶意活动。
能力结果数据所有者将捕获活动元数据其中包括有关其数据资产的访问、共享、转换和使用的信息。
对 ZT 的影响所有状态下的数据都是可检测和可观察的。
活动 DLP 执行点日志记录和分析DRM 执行点日志记录和分析文件活动监控 Pt1文件活动监控 Pt2数据库活动监控综合数据活动监控。 Gartner研究
此功能预示着为部署 DLP 和 DRM 做好准备Gartner 将其归类为企业数字版权管理 (EDRM)。数据库活动监控属于数据安全平台 (DSP) 的一部分。文件监控属于 Gartner 对非结构化数据保护的研究的一部分。 4.5 数据加密和权限管理
美国国防部模型
功能描述国防部各组织制定并实施使用数据权限管理 (DRM) 工具加密静态和传输中数据的策略。DRM 解决方案利用数据标签来确定保护最后与 ML 和 AI 集成以自动化保护。
能力结果国防部各组织建立并实施了静态和传输中数据加密策略。
对 ZT 的影响在所有状态下加密数据可降低未经授权的数据访问风险并提高数据安全性。
活动实施 DRM 和保护工具 Pt1实施 DRM 和保护工具 Pt2通过数据标签和分析 Pt1 实施 DRM通过数据标签和分析 Pt2 实施 DRM
*通过数据标签和分析 Pt3 实施 DRM。 Gartner研究
数字版权管理Gartner 将其称为企业数字版权管理和加密是此功能的核心。企业密钥管理用于跨各种加密技术创建强大的数据保护策略。数据安全平台使用包括数据标签和分析在内的各种方法来帮助实施策略。 4.6 数据防泄漏 (DLP)
美国国防部模型
功能描述国防部各组织利用已确定的执行点部署已批准的 DLP 工具并将标记数据属性与 DLP 集成。最初DLP 解决方案处于“仅监控”模式以限制业务影响随后使用分析进入“预防”模式。扩展数据标记属性用于为 DLP 解决方案提供信息最后与 ML 和 AI 集成。
能力成果国防部各机构已确定执行点在这些执行点部署了经批准的 DLP 工具并将标记数据属性与 DLP 集成 。
对 ZT 的影响检测并缓解数据泄露和数据泄露传输。
活动实施执行点通过数据标签和分析 Pt1 实施 DLP通过数据标签和分析 Pt2 实施 DLP通过数据标签和分析 Pt3 实施 DLP。 Gartner研究
此功能专注于 DLP目前已在多种不同技术中发现其示例。Gartner 涵盖传统 DLP 市场以及用于云用例的云访问安全代理 (CASB) 和安全服务边缘 (SSE) 。 4.7数据访问控制
美国国防部模型
功能描述国防部组织根据数据和用户/NPE/设备属性确保对数据的适当访问和使用。软件定义存储 (SDS) 用于扩展对 DAAS 的管理权限。最后SDS 解决方案与 DRM 工具集成以增强保护。
能力结果国防部组织确保根据数据和用户/NPE/设备属性适当地访问和使用数据。
对 ZT 的影响未经授权的实体或未经授权的设备上的任何实体都无法访问数据零信任网络安全将足够强大可以将同一分类数据的利益社区数据访问分开。
活动将 DAAS 访问与 SDS 策略 Pt1 集成将 DAAS 访问与 SDS 策略 Pt2 集成将 DAAS 访问与 SDS 策略 Pt3 集成将解决方案和策略与企业 IDP Pt1 集成将解决方案和策略与企业 IDP Pt2 集成实施 SDS 工具和/或与 DRM 工具 Pt1 集成实施 SDS 工具和/或与 DRM 工具 Pt2 集成。 Gartner研究
组织数据、应用程序、资产和服务 ( DAAS ) 策略需要一种基于属性的访问控制 (ABAC) 机制该机制可延伸至细粒度访问控制。多种技术提供授权服务。Gartner 对 DAAS 授权的研究重点是使用 ABAC 的基于策略的访问控制。它从策略决策点延伸到执行和信息点以及通过多种授权模式集成到 DAAS。在执行点方面还包括其他相邻技术例如数据屏蔽。 图5美国国防部用户网络和环境支柱内的零信任功能 支柱5网络与环境
网络和环境支柱的目标和目的是
“通过细粒度的策略和访问控制对网络进行分段、隔离和控制物理和逻辑。” 该支柱包括图 5中列出并在以下章节中详细说明的能力。 5.1 数据流映射
美国国防部模型
功能描述国防部组织通过收集、映射和可视化网络流量数据流和模式来协调数据流以确保对网络和 DAAS 资源的授权访问和保护特别是在可能的情况下标记程序例如 API访问。
能力结果国防部组织通过收集、映射和可视化网络流量数据流和模式来协调数据流以确保对网络和 DAAS 资源的授权访问和保护。
对 ZT 的影响零信任必须执行精细的网络资源访问策略。数据流映射揭示了谁在访问什么以确定访问策略的基准。
活动定义细粒度控制访问规则和策略并部署到现有网络技术中利用数据标记和分类标准定义细粒度控制访问规则和策略来开发用于 API 访问 SDN 基础设施的数据过滤器。 Gartner研究
数据流映射是各种安全产品的关键组件但通常不作为独立产品存在。数据流通常提供网络对话的映射包括源 IP 地址、目标 IP 地址和正在使用的端口/协议。它通常是大型产品例如组织的 NDR 或 NPM 产品的一部分。具有此功能的其他产品包括基于主机的微分段和 CPS。 5.2软件定义网络SDN
美国国防部模型
功能描述国防部各组织定义 API 决策点并实施 SDN 可编程基础设施以分离控制平面和数据平面并集中管理和控制数据平面中的元素。通过与决策点和分段网关进行集成实现平面分离。然后将分析集成到实时决策中以访问资源。
能力结果国防部组织定义 API 决策点并实施 SDN 可编程基础设施以分离控制和数据平面并集中管理和控制数据平面中的元素。
对 ZT 的影响零信任需要动态策略更新功能以确保允许持续的流量流动。传统网络的访问执行能力有限。软件定义网络提供了一种技术可以提供访问执行并结合本机的动态更新访问策略功能。
活动定义 SDN API实施 SDN 可编程基础设施将流分段分为控制、管理和数据平面网络资产发现和优化实时访问决策。 Gartner 研究
SDN 是一种设计、构建和运营网络的架构方法可提高灵活性和可扩展性。开放网络基金会将 SDN 具体定义为“网络控制平面与转发平面的物理分离以及控制平面控制多个设备。”将网络控制平面与转发平面分离的 SDN 产品从未被主流企业采用。SDN 带来了自动化、编排和可编程性的创新。它为软件定义广域网 (SD-WAN)、微分段、brite-box 交换和 SD-branch 产品等创新铺平了道路。 5.3 宏分段
美国国防部模型
功能描述国防部组织通过在连接之前每次尝试访问远程资源时验证设备、用户或 NPE建立网络边界并提供针对环境内联网资产的安全保障。
能力结果国防部组织通过在连接之前每次尝试访问远程资源时验证设备、用户或 NPE建立网络边界并为环境内的设备提供安全保障。
对 ZT 的影响零信任的一个关键可交付成果是能够限制所访问资源之间的横向移动。传统网络采用“扁平”架构设计对资源之间的横向移动几乎没有任何限制。宏分段是超越扁平网络设计的开始。宏分段可以从分离不同层级的应用程序、分离用户与应用程序、分离生产与非生产等环境或按物理位置开始。
活动数据中心宏分段B/C/P/S 宏分段。 Gartner 研究
宏分段是一项必不可少的功能它使用网络中很可能已经部署的技术进行部署。从运营角度来看这允许对资源进行逻辑分段而从安全角度来看分段可以对横向移动进行粗略控制。宏分段可以与传统网络组件例如路由器或防火墙一起部署但通常基于使用连续 IP 地址构建的分段。 5.4 微分段
美国国防部模型
功能描述国防部各机构根据其虚拟化和/或云环境中的身份和/或应用程序访问定义和记录网络分段。自动化用于通过编程例如 API方法应用策略更改。最后在可能的情况下各机构将利用主机级流程微分段。
能力结果国防部组织根据其虚拟化云环境中的身份和/或应用程序访问定义并记录网络分段。
对 ZT 的影响零信任的一个关键交付成果是限制所访问资源之间的横向移动的能力。宏分段是控制资源之间横向移动的关键第一步但它充其量只是一种粗略的安全控制。一旦宏分段边界到位就会使用微分段来强制对分段内的横向移动进行精细控制。
活动实施微分段应用程序和设备微分段流程微分段保护传输中的数据。 Gartner 研究
微分段是限制细粒度横向移动的基础。微分段的核心是承诺在网络上的任何一对端点之间插入安全服务无论它们是共享一个公共广播域还是位于完全不同的物理位置。微分段有几种选择包括主机代理产品、SDN 产品和基于虚拟机管理程序的产品。每种产品都有优势但也存在局限性。 图6美国国防部自动化和编排支柱内的零信任功能 支柱6自动化与编排
自动化与编排支柱的目标和目的
“自动化安全响应需要在 ZT 企业的所有环境中定义流程并实施一致的安全策略以提供主动的指挥和控制。” 该支柱包括图6 中列出并在以下章节中详细说明的能力。 6.1 策略决策点PDP和策略编排
美国国防部模型
功能描述国防部各组织最初收集并记录所有基于规则的政策以便在整个安全堆栈中进行协调实现有效的自动化将定义、实施和更新国防自动寻址系统 ( DAAS )访问程序和政策。各组织通过建立策略定义点 (PDP) 和策略执行点 ( PEP )包括下一代防火墙来完善此功能以便根据预定义的策略进行 DAAS 资源确定并启用、监控和终止用户/设备与 DAAS 资源之间的连接。
能力成果国防部各组织最初收集并记录所有基于规则的政策以便在整个安全堆栈中进行协调实现有效的自动化DAAS 访问程序和政策将得到定义、实施和更新。各组织通过建立 PDP 和 PEP包括下一代防火墙来完善这一能力以便根据预定义的策略做出 DAAS 资源决定并启用、监控和终止用户/设备与 DAAS 资源之间的连接。
对 ZT 的影响 PDP 和 PEP 确保对正确连接或拒绝访问请求资源的用户或端点正确实施 DAAS 访问策略。
活动政策清单与开发组织访问配置文件企业安全配置文件 Pt1企业安全配置文件 Pt2。 Gartner 研究
整个组织中的多个解决方案中都存在 PDP这些解决方案在NGFW 、安全服务边缘 (SSE)、端点解决方案和应用层等 PEP 上实施。有时PEP 和 PDP 会混合到单个解决方案中例如下一代防火墙 (NGFW)。然而组织发现很难确保 PDP 策略符合零信任原则并在不同的 PDP 和 PEP 之间保持一致即使它们可能利用通用身份结构。
单一供应商解决方案例如 SSE使单个 PDP 管理多个 PEP 变得更加容易但这并不总是可行的。网络安全策略管理( NSPM ) 和云安全态势管理 (CSPM) 等工具有助于为 NGFW 云和微分段解决方案中的策略提供治理和可见性。 6.2 关键流程自动化
美国国防部模型
能力描述国防部各组织采用自动化方法例如机器人流程自动化 ( RPA )根据系统安全工程原理处理关键功能例如数据丰富、安全控制和事件响应工作流的重复性、可预测任务。
能力结果国防部组织采用 RPA 等自动化方法根据系统安全工程原理解决数据丰富、安全控制和事件响应工作流等关键功能的重复性、可预测任务。
对 ZT 的影响通过协调工作流程和风险管理流程响应时间和能力得到提高。
活动任务自动化分析企业集成和工作流程配置 Pt1企业集成和工作流程配置 Pt2。 Gartner 研究
组织使用不同的方法实现自动化。那些优先考虑特定领域自动化用例的人可以使用现有工具的自动化功能。专注于广泛安全自动化用例的组织可以利用 SOAR 平台来管理和促进开发。专注于自动化主要在传统 IT 系统中执行的关键手动流程的组织可以利用 RPA 解决方案来自动化此类流程这些系统既不提供内置自动化功能也不提供与 SOAR 平台交互的 API 。 6.3 机器学习
美国国防部模型
能力描述国防部各部门采用机器学习来执行并增强执行关键功能例如事件响应、异常检测、用户基准测试和数据标记。
能力结果国防部各组织采用机器学习来执行并增强执行关键功能例如事件响应、异常检测、用户基准测试和数据标记。
对 ZT 的影响通过协调工作流程和风险管理流程响应时间和能力得到提高。
活动实现数据标记和分类 ML 工具。 Gartner 研究
随着组织越来越依赖机器学习提供的增强结果它们必须确保机器学习的使用安全。数据是训练和操作机器学习的核心组织在整个机器学习使用生命周期中建立数据治理和安全措施至关重要。确保机器学习遵守现有的数据标记标准对于数据完整性至关重要。此外保护机器学习本身免受不同攻击媒介的侵害对于维护数据安全和流程保真度至关重要。 6.4 人工智能
美国国防部模型
能力描述国防部各机构采用人工智能来执行并增强执行关键功能——特别是风险和访问确定以及环境分析。
能力结果国防部各组织采用人工智能来执行并增强执行关键功能——特别是风险和访问确定以及环境分析。
对 ZT 的影响通过协调工作流程和风险管理流程响应时间和能力得到提高。
活动实施 AI 自动化工具由分析驱动的 AI 决定 AO 修改。 Gartner 研究
AI 是一套广泛的高级分析功能从传统的 ML 到最近快速发展的 LLM。安全供应商一直在使用传统的 ML 技术来识别异常值并检测日志中的异常模式。一旦添加到安全产品中LLM 独特的逻辑推理能力就会提供以前无法提供的额外智能决策层。 6.5 安全编排、自动化和响应 (SOAR)
美国国防部模型
能力描述国防部各组织实现了安全技术的初始作战能力通过获取警报数据、触发自动响应和补救的剧本协调和自动化政策例如 PEP 和 PDP和规则集以改进安全操作、威胁和漏洞管理以及安全事件响应。
能力结果国防部各组织实现安全技术的妥协指标 (IOC)以协调和自动化政策例如 PEP 和 PDP和规则集通过获取警报数据、触发自动响应和补救的剧本来改善安全操作、威胁和漏洞管理以及安全事件响应。
对 ZT 的影响从收集到事件响应和分类的预定义剧本实现了初始流程自动化从而加快了安全团队的决策和响应速度。
活动响应自动化分析实施 SOAR 工具实施剧本。 Gartner 研究
组织面临着分布式 IT 生态系统、复杂的安全监控需求和 SOC 人才短缺的挑战。安全自动化提供了使用脚本化剧本执行明确定义和重复的安全运营任务的能力。剧本是确定性的只执行预编码的任务。他们不会自己思考。组织通常使用现有工具的自动化功能或专用的 SOAR 平台实现安全自动化。 6.6 API标准化
美国国防部模型
功能描述国防部建立并执行企业范围的编程接口例如 API标准所有不合规的 API 都会被识别和替换。
能力结果国防部建立并执行企业范围的 API 标准所有不合规的 API 都会被识别和替换。
对 ZT 的影响跨部门标准化 API 可改善应用程序接口、实现编排并增强互操作性。
活动工具合规性分析标准化 API 调用和模式 Pt1标准化 API 调用和模式 Pt2。 Gartner 研究
组织在将其应用程序和服务发展为以 API 为中心的架构方面取得了很大成功。以 API 为中心的架构不一定能确保所有 API 都符合零信任原则也不一定能确保它们设计安全并遵守 API 标准。组织必须制定和实施 API 标准和保护措施但这不能一次性完成。利用 API 成熟度模型将确保 API 安全性不仅标准化而且在组织部署的现有和新 API 中一致实施。 6.7 安全运营中心和事件响应
美国国防部模型
功能描述如果不存在计算机网络防御服务提供商 (CNDSP)国防部组织将定义并建立安全运营中心 (SOC)以部署、运营和维护 DAAS 的安全监控、保护和响应SOC 为状态向上可见性和战术实施向下可见性提供安全管理可见性。SOC 内的工作流程使用自动化工具实现自动化服务提供商和技术之间实现丰富化。
能力结果如果不存在 CNDSP国防部组织将定义并建立 SOC 来部署、操作和维护 DAAS 的安全监控、保护和响应SOC 为状态向上可见性和战术实施向下可见性提供安全管理可见性。
对 ZT 的影响标准化、协调化和加速化事件响应和调查工作。
活动工作流程丰富 Pt1工作流程丰富 Pt2工作流程丰富 Pt3自动化工作流程。 Gartner 研究
安全运营是有效安全计划的重要组成部分。为了帮助组织创建、维护、管理和增强其安全运营Gartner 研究涵盖了三个关键领域。这些重点是 能够快速检测和应对内部和使用服务合作伙伴的威胁 识别导致各类业务风险的威胁暴露 管理和衡量安全运营中心 (SOC) 团队绩效的能力证明他们为更广泛的业务使命做出贡献。 图7美国国防部可视性和分析支柱内的零信任功能 支柱7可视性和分析
可见性和分析支柱的目标和目的
“ZT 企业将捕获和检查流量超越网络监控深入数据包本身以准确发现网络上的流量并观察存在的威胁并更智能地定位防御。” 该支柱包括图7 中列出并在以下章节中详细说明的能力。 7.1 记录所有流量网络、数据、应用程序、用户
美国国防部模型
功能描述国防部组织收集和处理所有日志包括网络、数据、应用程序、设备和用户日志并将这些日志提供给适当的计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC)。日志和事件遵循标准化格式并根据需要制定规则/分析。
能力结果国防部组织收集和处理所有日志包括网络、数据、应用程序、设备和用户日志并将这些日志提供给适当的计算机网络防御服务提供商 (CNDSP) 或 SOC。
对 ZT 的影响自动搜寻和事件响应剧本开发的基础 。
活动规模考虑日志解析日志分析。 Gartner 研究
将所有日志数据存储在威胁检测、调查和响应 (TDIR) 工具中成本过高因此使用特定路由将日志存储在成本较低的存储中例如日志收集器、数据湖或基于云的冷存储。并非所有日志数据都与安全相关必须解析为相关格式。在支持 TDIR 的工具和另一个工具如网络操作工具之间拆分馈送非常重要。在日志数据到达最终目的地或第三方实体之前清理或删除敏感信息是必要的不仅可以降低成本还可以降低敏感数据泄露的风险。 7.2 安全信息和事件管理 (SIEM)
美国国防部模型
功能描述计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC) 监控、检测和分析记录到安全信息和事件管理 (SIEM) 工具中的数据。使用安全控制创建用户和设备基线并将其与 SIEM 集成。SIEM 中的告警在各个阶段逐渐成熟以支持更高级的数据点例如网络威胁情报、基线等
能力结果 CNDSP/SOC 监控、检测和分析记录到安全信息和事件管理 (SIEM) 工具的数据。
对 ZT 的影响处理和利用 SIEM 中的数据可以对异常用户行为进行有效的安全分析并针对常见威胁事件发出警报和自动执行相关事件响应 。
活动威胁告警 Pt1威胁告警 Pt2威胁告警 Pt3资产 ID 和告警关联用户/设备基线。 Gartner 研究
SIEM 是一种可配置的安全记录系统可汇总和分析来自本地和云环境的安全事件数据。SIEM 可协助采取响应措施以缓解对组织造成危害的问题并满足合规性和报告要求。评估 SIEM 平台的要求很复杂因为它需要了解 SIEM 将从中获取数据的架构以及实现 SOC 目标所需的用例、报告和输出。 7.3 常见的安全和风险分析
美国国防部模型
功能描述计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC) 在其企业内使用多种数据类型的数据工具来统一数据收集并检查事件、活动和行为。
能力结果 CNDSP/SOC 在其企业内使用大数据工具来处理多种数据类型以统一数据收集并检查事件、活动和行为。
对 ZT 的影响跨多种数据类型集成分析以检查事件、活动和行为。
活动实施分析工具建立用户基线行为。 Gartner 研究
跨多种技术产品的内置功能。分析功能尤其是专注于检测安全威胁的功能并不是可以单独获得的功能。诸如 SIEM 之类的平台解决方案是使用 UEBA 等功能的主要载体但是许多更特定于监控的功能包括 EDR、NDR、XDR 和电子邮件安全也经常使用分析方法进行检测。风险分析使用户能够将上下文添加到技术供应商提供的基于威胁的计算中。以人为主导的评估例如资产的关键性或数据分类通常是定制和情境化风险评分的关键因素。 7.4 用户和实体行为分析UEBA
美国国防部模型
功能描述国防部各机构最初使用分析来描述和确定用户和实体的基线活动关联用户活动和行为并检测异常。计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC) 通过使用高级分析来描述和确定用户和实体的基线活动关联用户活动和行为并检测异常从而使此功能更加成熟。
能力成果国防部各机构最初采用分析技术来描述和确定用户和实体的基线活动关联用户活动和行为并检测异常。CNDSP/SOC 通过使用高级分析技术来描述和确定用户和实体的基线活动关联用户活动和行为并检测异常从而使这一能力更加成熟 。
对 ZT 的影响高级分析支持检测异常用户、设备和 NPE 操作以及高级威胁。
活动基线和分析 Pt1基线和分析 Pt2UEBA 基线支持 Pt1UEBA 基线支持 Pt2。 Gartner 研究
用户和实体行为分析 (UEBA) 是识别非法活动和应用机器学习技术检测导致数据被盗或恶意使用的“未知”威胁的重要工具。UEBA 对现代网络安全工具集至关重要但主要不是一项独立功能。 7.5 威胁情报集成
美国国防部模型
功能描述计算机网络防御服务提供商 (CNDSP) 或安全运营中心 (SOC) 将有关身份、动机、特征以及策略、技术和程序 (TTP) 的威胁情报信息和流与 SIEM 中收集的数据相结合。
能力结果 CNDSP/SOC 将有关身份、动机、特征以及策略、技术和程序 (TTP) 的威胁情报信息和流与 SIEM 中收集的数据相结合。
对 ZT 的影响将威胁情报集成到其他 SIEM 数据中可增强监控工作和事件响应 。
活动网络威胁情报计划 Pt1网络威胁情报计划 Pt2。 Gartner 研究
威胁情报是关于现有或新出现的资产威胁或危险的基于证据的知识包括背景、机制、指标、影响和行动导向建议。这种情报可用于为主体应对威胁或危险的决策提供信息。组织经常在未做好充分准备的情况下获取威胁情报服务或信息。威胁情报的集成必须围绕优先情报需求 (PIR) 进行设计以实现最佳预防和可见性。 7.6 自动动态策略
美国国防部模型
功能描述国防部组织的 ML 和 AI 解决方案通过持续的安全态势监控、风险和信心评分以及自动补丁管理动态地自动更新安全配置文件和设备配置。
能力结果 CNDSP/SOC通过持续的安全态势监控、风险和信心评分以及自动补丁管理动态地自动更新安全配置文件和设备配置。
对 ZT 的影响根据外部条件和不断变化的风险和信心分数根据自动、实时的安全配置文件拒绝用户和 NPE 访问。
活动人工智能支持的网络访问人工智能支持的动态访问控制。 Gartner 研究
在网络安全自动化方面技术能力很少成为限制因素。实现自动策略更新的技术手段不仅限于内联和实时技术。Gartner 观察到通过持续控制监控 (CCM) 或云安全态势管理 (CSPM) 等工具增强的全自动响应或策略更新流程的实施有限因为让人类参与其中可以确保有人对变化负责。要从即时、按需的自动策略生成转变为持续更新的授权技术需要在策略推荐引擎中集成实时元素——可能是网络安全网格架构 (CSMA) 的一部分。这包括外部因素例如正在进行的攻击活动和基于行为的风险评估。然后技术实施必须足够可靠以证明没有误报或者包括快速检测和补救不良变化的机制。
