战略与政策

美新加三国联合发布《网络访问安全的现代方法》指南

日期:2024-07-31

|  来源:【字号:

2024618日,美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)合作,并与新西兰政府通信安全局(GCSB)、新西兰计算机应急响应小组(CERT-NZ)和加拿大网络安全中心(CCCS)一起,联合发布了《网络访问安全的现代方法》指南,指导组织采用安全服务边缘(SSE)和安全访问服务边缘(SASE)等现代安全解决方案,提高网络活动可见性。指南文件还意图帮助组织更好地了解与传统远程访问和VPN相关的漏洞与威胁。

1. VPN漏洞频发

目前,美国CISA已发现22个已知被利用的与VPN相关的漏洞,促使其开始考虑用现代网络访问解决方案替换传统VPN解决方案。VPN系统中的漏洞如果被威胁行为者利用,可能会对组织产生重大影响,因为通过VPN漏洞,行为者能轻松访问大型企业网络,并访问组织网络内的所有服务。

2. 现代解决方案

1)零信任

零信任旨在防止未经授权的数据和服务访问,并结合细粒度访问控制实施。零信任运作的前提是没有用户或资产应该被隐式信任,要求每个用户、设备和应用程序在交易过程中不断重新认证和重新授权。为了制定零信任战略和实施计划,组织应该采用CISA的零信任成熟度模型(ZTMM)。ZTMM在五个不同的支柱上呈现了实施的梯度。

2)安全服务边缘

安全服务边缘是一系列云安全功能的集合,是全面的网络安全方法,将网络、安全实践和政策以及服务整合到单一平台。这种方法允许组织确保应用程序的安全性和数据访问的安全,无论用户使用的设备或位置如何。安全服务边缘安全功能包括零信任网络访问、云安全Web网关、云访问安全代理和防火墙即服务。

3)安全访问服务边缘

安全服务边缘是将安全功能整合到单一的云服务中来运作,而安全访问服务边缘是一种云架构,将网络和安全作为服务能力结合起来,包括软件定义广域网、云访问安全代理、下一代防火墙等。

3. 最佳实践

安全服务边缘、安全访问服务边缘和硬件强制网络分割为组织提供了替代传统VPN的解决方案,并促进了零信任方法的实施。指南编写组织鼓励所有实体组织仔细评估其安全姿态,并在实施任何解决方案之前进行风险分析,以确保这些方法的适用性。

除了上述解决方案以外,指南编写组织强烈鼓励实体组织还可以采取以下的最佳实践方法:

1)实施集中管理解决方案;

2)实施网络分割;

3)实施自动化机制响应某些安全事件;

4)开发、维护、更新并定期演练信息技术(IT)和操作技术(OT)网络安全事件响应计划;

5)定义一个明确的组织漏洞披露政策;

6)定期备份所有必要的日常操作系统;

7)强化身份和访问管理解决方案。

信息来源:

https://www.cisa.gov/resources-tools/resources/modern-approaches-network-access-security

https://mp.weixin.qq.com/s/z6M18rw2X4XZ5uyyqGQVYg

https://mp.weixin.qq.com/s/5-5el34gfuJSBMKyfLx4Ug


附件: