零信任是許多組織為增強⾏動安全⽽採⽤的安全範例。它是⼀種網路和資訊安全⽅法,假設任何連接的系統都不可信。
在零信任中,網路上的每個端點都被視為不可信,所有使⽤者都被視為可能試圖利⽤組織資源。這意味著所有使⽤者在存取受保護的資源之前都必須證明⾃⼰的⾝份,⼀旦他們這樣做了,他們就只會被給予獲得完成⼯作所需的權限。這被稱為解決問題的⽅法,可以減少誤報的數量。零信任檢查使⽤者的動機和意圖,⽽不是他們的⾏為。
零信任模型允許組織為其資源提供⼀致的保護;這包括從企業擁有的⼈員⽀援的⾏動裝置到筆記型電腦、平板電腦以及任何其他可能連接到網路的裝置。根據第 14028 號⾏政命令"改善國家網路安全"的要求,管理和預算辦公室最近發布的聯邦零信任戰略為各機構提供了轉向零信任架構並適應新技術和實踐的戰略。
這種⾼度集中的網路安全解決⽅案需要進行詳細研究如何將⾏動裝置及其應⽤程式⽤作網路中的可利⽤接觸點,以及在添加吸引⽤⼾和增加使⽤者體驗時,需要採取網路安全性措施來減輕這些⾵險。
如果這些應⽤程式遭受到攻擊,敏感的個⼈識別資訊(PII)和數位⾝分資料將⾯臨⾵險。
⾏動裝置(平板電腦、⼿機和穿戴式裝置)的使⽤提⾼了員⼯隨時隨地連接到⼯作相關應⽤程式的能⼒。對於那些需要在家⼯作時存取資料敏感資訊或在旅途中快速回覆電⼦郵件的聯邦機構來說,這意味著什麼?
許多網路安全專業⼈⼠⼀致認為,⾏動裝置製造商已經實施了符合零信任架構原則的安全措施。沙箱、分段或安全記憶體管理等功能為裝置安全性提供了堅實的基礎。然⽽,正如網路安全和基礎設施安全局(CISA)最近的⼀份⽂件「將零信任應⽤於企業移動性」中指出的那樣,迫切需要審查⾏動應⽤程式安全性以及潛伏在常⽤或基本⾏動應⽤程式中的可利⽤漏洞。
部署⾏動應⽤程式審查(MAV)安全測試流程將允許安全專業⼈員在部署到核准的企業擁有⼈員啟⽤(COPE)裝置上之前掃描公開可⽤的應⽤程式。此應⽤程式安全測試將使網路管理員和安全團隊深⼊了解應⽤程式中潛伏的未偵測到可利⽤的⾵險。這些測試還可以幫助開發⼈員和應⽤程式負責⼈及時解決這些⾵險,並確保當任何聯邦機構使⽤它們時,它們滿⾜最嚴格的安全要求。
當網路管理員和 IT 團隊在其機構和組織內設定零信任架構的參數時,他們應該遵循⼀些最佳實踐:
應⾃動化執⾏和糾正⾏動裝置上的違規⾏為。不要等待 IT/安全⼈員的⾏動來啟動強制執⾏或與受影響⽅溝通。違規者應取消存取權限,該設備中的業務數據,直到它們得到糾正。
滿⾜聯邦、州和地⽅政府的公共部⾨⾏動安全需求是我們建⽴ Quokka(以前稱為 Kryptowire)的基礎。我們公司的使命是由國防⾼級研究計劃局(DARPA)發起並資助的,旨在識別、減少和消除與⾏動應⽤程式相關的安全漏洞。借 Quokka 提供的情報,政府機構和平⺠可以更好地了解與其第三⽅應⽤程式相關的⾏動威脅和⾵險。
Quokka 的⾏動應⽤程式審查解決⽅案 Q-Vet 在政府和實驗室評估中持續排名第⼀,它評估與⾏動應⽤程式相關的安全和隱私⾵險,發現更多漏洞並確保政府所有部⾨的合規性。
機構和組織利⽤ Q-Vet 根據美國國家標準與技術研究院(NIST)、國家資訊保障合作夥伴關(NIAP)和開放 Web 應⽤程式發布的國際公認的最⾼軟體保障標準,持續評估⾏動應⽤程式的安全和隱私安全項⽬(OWASP)。
在零信任架構中,Q-Vet 使機構能夠測試和驗證添加到其批准的⾏動裝置中的應⽤程式。在將⾏動應⽤程式新增⾄授權裝置之前,請確保⾏動應⽤程式可信任並符合組織的零信任策略,這對於確保裝置和應⽤程式處理的資料在將應⽤程式新增⾄基礎架構後⾯臨可利⽤的⾵險⾄關重要。
除了 Q-Vet 之外,Quokka 還提供⾏動應⽤程式安全測試解決⽅案 Q-MAST,以協助機構開發⾃⼰的應⽤程式。使⽤ Q-MAST,機構開發⼈員可以確保這些應⽤程式已做好零信任準備並滿⾜其他供應鏈要求。透過提供軟體物料清單並測試其應⽤程式中包含的所有第三⽅程式碼,組織可以建⽴對其應⽤程式中新增的軟體的信任。
Q-Scout 是⼀種智慧、主動的安全解決⽅案,可保護機構或組織以及所有⼈員,以個⼈隱私為核⼼。
Q-Scout 透過解決關鍵問題來幫助在⾏動領域實現零信任,確定⾏動裝置是否可以信地存取公司資源。透過 Q-Scout,可以通過對裝置、應⽤程式和配置進⾏深⼊評估,並主動在風險發生之前進行積極地糾正,調整配置或信任等級以防⽌⾵險發⽣。
⾏動裝置管理和⾝分提供者等解決⽅案可以控制裝置對帳⼾的訪問,但無法判定裝置是否可信任。 Q-Scout 為您現有的架構提供安全智慧和⾃動化,以對每個⾏動裝置的每次登⼊實施零信任檢測。此外,Q-Scout 可以根據組織⾃⼰的零信任策略提供零信任實施,並⾃動應⽤這些策略。