在物理学中 观察者效应 理论认为,对系统或事件的单纯观察或测量不可避免地会改变其正在观察/测量的事物。换句话说,用于测量的工具或方法以某种方式干扰正在测量的系统或事件。

作为一个示例,考虑对电路或电池两端的电压进行测量。电压表必须消耗很小但可测量的电流量才能进行计算。这降低了最终可用于系统的总电流(I)。如果测量是侵入性的或没有足够高的电阻(R)(欧姆定律V = IR),则可用电流和电位电压(V)也会受到影响。

尽管观察到的影响通常可以忽略不计,但观察中的对象仍可能会发生变化。有时,这些变化可能会改变我们对整个系统的感知,因为测量本身比预期或最初设计的更具侵入性。这种影响可以在从物理到电子学甚至是数字营销的各个领域中找到。该博客将探讨观察者效应在以下领域的作用: 网络安全.

网络安全观察者效应

用于网络安全检查的每个度量都会影响整个系统。对于简单的防病毒检查,甚至在用于记录的资源中,都是如此。在为某些活动提供安全度量的过程中,可以分别更改CPU,加载时间,内存,网络流量等。

理想情况下,安全性度量应该几乎没有影响地进行操作,但是实际上是多久发生一次?真正的,无影响的安全性能否在环境中成功实现?答案可能会让你大吃一惊。

正如我们已经确定的那样,每项IT安全措施都会改变系统,从而增加了流程时间。如果所有测量都是连续的,则每个测量都会向整体测量响应中添加一条必需的信息,以计算出可观察到的结果。

但是,当并行执行测量和逻辑决策时(只要系统具有足够的资源来同时执行它们),则可以减少执行测量所需的时间,并且可以减少感知的影响,因为该测量是在有限的时间范围内。这基本上是并行处理。为了实现无影响的安全性(实际上,我们在谈论的是最小影响或零影响的无摩擦安全性),安全性测量和操作逻辑应与常规流程一起进行,而不是在执行任何用户操作之前需要进行。

请考虑以下两种情况...

方案1:

在对资源进行任何多因素或两因素身份验证之前,安全工具都会在工作流程中引入新步骤来验证用户。除传统凭证外,还包括第二个因素以提供用户的物理验证。这增加了最终用户的时间和资源,以及一定程度的烦恼。单点登录(SSO)技术通过仅对一组资源进行一次两次身份验证并通过验证就可以减轻这种烦恼,因为用户已经被认为是受信任的。

如上所述,首次启动两因素分析启动了工作流程,以验证用户的后续应用程序,而不是要求他们一次又一次地依次启动两因素分析。现在,单点登录过程与用户的正常操作并行运行,实际上,与每次启动应用程序时都要求提供凭据相比,即使没有两重身份验证,其影响也较小。用户信任度的评估曾经通过其他步骤侵入性地进行,但由于对初始度量的高度信心,因此随后变得更加容易。

另一种方法是高度侵入性的,在使用当前定义的上下文策略进行操作时,最终用户启动的每个应用程序都需要凭据和两因素身份验证。这强调了并行处理的必要性。

方案2:

考虑一下 密码管理功能 within 特权访问管理(PAM)解决方案。这些解决方案可以 自动旋转密码和证书 按时间表或基于使用情况,以使它们不断变化,并且如果内部威胁或外部威胁知道,则不承担任何责任 威胁演员.

如果用户或管理员需要使用这些凭据,则典型的工作流程包括向 密码安全或保险库 (希望使用上面讨论的两个因素),并检索执行特定任务所需的凭据。从工作流的角度来看,只需衡量何时 特权凭证 被用户访问并提供当前密码,该密码对最终用户有害。例如,用户具有其他鼠标单击,时间和应用程序来完成任务。尽管这是衡量特权访问的主要用例,但如果我们无法可靠地确定何时以及在何处使用它们,则它提供的安全性很小。这是一个需要改变的高影响力模型。

PAM平台的另一个核心功能是 会话管理。此功能为主机提供了网关或代理技术,用于监视会话并可能记录所有安全性和用户活动。会话管理本质上是一种低影响的方法,用于监视当 特权会议 发生连接,但要使连接有效,就需要通过代理(而不是横向连接)进行远程连接。

没有适当的 访问控制列表(ACL),从安全且安全的位置检索密码 远程访问 可能会以最小的安全度量功能发生。这是不希望的状态。当我们将密码管理和会话管理视为一前一后的解决方案时,我们既可以解决这两个问题,又可以创建一个影响很小的安全性实现。

使用一种称为“密码安全直接连接”的技术,可以修改用于远程会话的工具,以使用安全最佳做法自动对目标进行身份验证,并通过代理与 管理特权风险,衡量不适当的活动,并确保工作流程不会对用户产生负面影响。

这是这种低影响力技术的工作原理…使用大多数远程访问技术,用户可以使用连接的主要特征来创建配置文件或已保存的连接。其中包括屏幕分辨率,凭据和自定义连接字符串信息。后者在这里很重要。

作为该自定义连接字符串的一部分,主机,用户名和其他几个开关将传递到特权访问管理会话代理,以进行身份​​验证并启动远程会话。此传输包括有关本地登录用户的信息以及正确的用户身份验证所需的其他特征。

启动配置文件后,将自动从保险柜或保险库中调用凭据,将其注入连接字符串中,并对其进行检索和使用进行度量,并监视会话(可选)以进行不适当的活动。

最终用户继续使用他们每天使用的相同工具,例如MS RDP或Putty,但在初始设置保存的配置文件之外,其影响可忽略不计或影响很小。这是另一种并行安全实现。

特权密码管理 本身可能会干扰密码检索的工作流程。会话监视本身容易受到诸如安全性漏洞的攻击 横向运动。当一起使用并增强以管理度量安全性和执行安全性操作的要求时,这两个解决方案实际上可以创建几乎没有影响的安全性解决方案。

关于减轻网络安全中观察者效应的最终想法

观察者效应引起了网络安全从业人员的持续关注。许多解决方案可能会对环境中的运行时产生重大影响,并造成不希望的延迟,单点故障以及对用户,运营和生产力产生负面影响的更改。

衡量和实施安全性始终会产生一定的影响,但是目标是使安全性尽可能地不被察觉,尤其是对于最终用户而言。虽然确实无法获得零影响,但在初始设置后几乎没有影响的概念绝对可行。

当您评估一个或多个供应商的安全解决方案时,请询问该解决方案如何并行运行或串联使用以创建无影响的环境。毕竟,如果它们全部连续运行或产生很大的影响,则用户不仅会拒绝它们,而且获得准确的网络安全度量的能力也会受到影响。

资源: //www.beyondtrust.com/blog/entry/no-impact-and-zero-friction-cybersecurity-is-it-possible