波士顿大学的莎伦·戈德堡说,“零信任”网络防御可以阻止黑客攻击政府和企业
波士顿大学的莎伦·戈德伯格对新的联邦政策表示赞赏,但她说,私营公司在确保软件系统安全方面还有很长的路要走
联邦政府正在支持多步认证,类似于波士顿大学的Duo系统,作为加强网络安全抵御黑客的一种方式。图片来源:iStock/igor_kell
“零信任”网络防御策略有助于阻止黑客攻击政府和企业
波士顿大学的莎伦·戈德伯格对新的联邦政策表示赞赏,但她说,私营公司在确保软件系统安全方面还有很长的路要走
去年,似乎世界各地的黑客都在圣诞节得到了新电脑,因为一系列勒索软件攻击袭击了美国企业和政府机构,这些攻击通常可以追溯到俄罗斯和中国。俄罗斯逮捕了涉嫌参与去年“殖民管道”攻击的黑客,但山姆大叔也在进攻,最近宣布了一项“零信任”网络安全战略。
根据1月26日管理和预算办公室(OMB)的一份备忘录,政府雇员将被要求在2024财政年度结束前使用“持续跟踪和监控的设备,在授予访问内部资源的权限时,将考虑这些设备的安全状况”。与此同时,各机构的系统将彼此隔离,它们内部和之间的数据流量将“可靠地加密”。OMB补充说,一个关键需求是多因素认证,它要求在线用户提供至少两种身份证明。波士顿大学与Duo一起使用了这样一个系统,员工和学生可以使用该系统进入BUworks和Student Link。
“零信任”能避免未来的网络攻击吗?企业能接受这种方法吗?《波士顿邮报》今天采访了莎伦·戈德堡,她是美国艺术与科学学院计算机科学副教授,也是BastionZero公司的联合创始人兼首席执行官,该公司帮助企业保护服务器安全。在政府宣布后,戈德堡在博客中对这一做法表示赞许。
问&一个
莎朗·戈德堡
今天部: 你能给“零信任”下个定义吗?
莎伦·戈德堡:这意味着不要给个人长期的访问系统的凭据。相反,每次他们做新事情时,请他们验证自己。我们看到的许多攻击都来自旧的凭证,比如旧密码,攻击者发现并使用这些凭证进入并横向移动系统,并破坏系统的更多部分。[Duo]将是一个零信任系统,因为每次Duo打电话给你的时候,你都证明了你是仍然拥有这部手机的人。你已经通过两项信息进行了身份验证,你的密码和一些我们认为与你有关的东西。另一个类比是,如果你使用BU Healthway,并且你安排了COVID测试,然后你查看你的工资单(在BUworks),你每次都要做Duo的事情。您每次都必须登录每个应用程序。“零信任”的说法具有误导性。并不是没有信任。我们的意思是,我们不会因为用户登录了一次就信任他们,这样他们就可以永远登录了。我们将设置一些中央机构,它有权确定您是否成功登录。当你使用BU登录时,你有Shibboleth(一个允许网站准确授权个人访问受保护的在线资源的软件包),你有Duo。Duo会通知Shibboleth你是否成功登录,如果你成功了,它允许你访问任何healthway进行COVID测试;你的工资单。你信任他们俩来决定你能不能进去。
今天部: 备忘录批评了哪些传统的辩护?
莎伦·戈德堡:备忘录不赞成将手机作为第二个(身份验证)因素,这很好。(它们)很容易受到一种名为SIM交换(用户身份模块)的攻击。大多数银行使用(手机)作为进入你银行账户的第二因素认证,这令人失望。另一个是TOTP(基于时间的一次性密码)。如果你曾经在你的手机上使用过谷歌验证器,你也见过那些代码,它们也已经弃用了。这是一个激进的步骤,因为这是大多数尖端公司所做的。(政府)说你需要使用硬件代币——大多数人不使用;它们看起来就像可以插入电脑的小USB键。这些令牌不容易受到网络钓鱼的攻击。
今天部: 如果我想看我的BU工资单,我会把这个东西塞进我的电脑里吗?
莎伦·戈德堡:是的,但这对波士顿大学这样的地方来说并不实际,但对政府来说可能更可行。在波士顿大学,你有学生,有教授;你要怎么用这个代币让他们上下船?这是一项艰巨的任务。即使使用Gmail, Gmail真的会给每个人发一个硬件令牌吗?否。每个人都想要代币吗?没有;他们有手机,人们知道如何使用手机。
(政府)备忘录不希望政府的姿态弱于一家卖鞋公司。
今天部: 你认为企业需要做些什么,无论是BU还是Colonial Pipeline,来加强他们的网络安全?
备忘录中的大部分内容都是广泛适用的。集中式单点登录是一个好主意:您可以在所有BU服务中使用相同的登录方式—您可以使用您的[Kerberos] ID登录到您的工资单Healthway。那太好了;你只有一个BU的密码,你不必为每个BU服务记住5万个密码,(这使得)你更有可能丢失它们。备忘录说,在整个政府,他们需要使用这样的东西。
波士顿大学有Duo,但其他很多地方没有。政府有一个合规标准,任何为政府提供服务的人都必须遵守。这是非常繁重的;我的公司是不合规的,因为我们必须花更多的钱,而不是我们到达那里。(备忘录)说,我们有这个(标准),我们仍然被黑客攻击,也许我们需要看看保护软件系统的真正最佳实践是什么。这份备忘录是一套非常前沿的建议。我把所有的时间都花在和公司谈论他们在这里所做的事情上——这就是我现在生活中所做的一切,除了教书——而大多数公司还没有做到这一点。
今天部: 政府和企业什么时候才能真正实现零信任保护,让勒索软件攻击更难实现?
这要花很长时间。我知道有些组织接近备忘录的建议;它们非常稀少。我接触过的大多数公司都不是这样的。你必须在数年内构建软件系统——对于小公司来说,2或3年,对于大公司来说,10年。必须让他们进入这种现代安全状态并不是一件很快发生的事情。
政府能迅速解决这个问题吗?否。这将是困难和缓慢的。什么将它可能会改变行业的对话,人们在考虑明年的安全问题时,可能会因为这份备忘录而做出不同的决定。
今天部: 好人能赶在坏人前面吗?
仅靠技术手段是不够的。对手是非常坚决的。我认为这(需要)技术手段和政策的结合。也就是说,使用过时的软件、未打补丁的系统、到处乱飞的密码——这是非常糟糕的。你想看到的是创造一种局面,让对手真的要想渗透进这些系统,得费很大的劲。这份备忘录不希望政府的姿态比一家卖鞋的公司还弱。
评论与讨论
波士顿大学缓和评论,以促进知情的、实质性的、文明的对话。辱骂、亵渎、自我推销、误导、语无伦次或离题的评论将被拒绝。版主在正常营业时间(EST)有澳门威尼斯人注册,只能接受用英语写的评论。统计数据或事实必须包含引文或引文链接。