零信任攻防实践丨基于零信任理念，助力企业攻防演练

芯盾时代 2023-08-17 335

描述

近年来，APT攻击、DDoS攻击等网络安全问题频发。为了筑牢网络安全防线，我国自2016年开始进行实战攻防演练，以此来强化网络安全隐患排查整改，推动以攻促防，查漏补缺。而随着网络环境的改变，攻击手段的提高，基于固定边界的网络安全防御理念已经难以抵挡灵活多变的网络攻击。其“围栏式”的边界防御，通过防火墙隔离企业的内网外网，虽然目前很多企业已经意识到企业的内网也未必安全，但是依然存在“重外敌，轻内鬼”等问题，内部防御能力不足，缺乏全局视角下发现实际环境中安全风险的能力。而零信任理念的出现，也为安全提供了新的建设思路。那么，零信任在实战攻防演练中，又可以提供哪些能力，起到什么作用呢？芯盾时代研发副总裁陈曦将为你盘点攻防演练中的零信任安全问题，解析企业零信任安全建设之道~

Q1：零信任在攻防演练中的防御思路是怎么样的？

虽然我国的网络安全建设经过多年的实践已经逐渐全面，但仍不可避免的会被黑客攻破，其中一个很大的原因就是传统“垒高墙”式“防外不防内”的安全防护理念已经不适应当前网络环境和安全建设的需要了。为了改变攻防不对等的情况，零信任网络安全防护理念应运而生。其解决了区域和信任的绑定关系，用户的访问权限不再受到网络区域的限制，访问前需要经过身份认证和授权，而身份认证不再仅仅针对用户，还将对用户所持客户端进行安全校验，并且在访问过程中进行用户画像和持续性风险评估，对访问进行动态、细粒度的授权，同时采用最小授权原则，可以有效防御黑客的入侵以及0day攻击。落实在具体产品上：零信任实现了资源和SDP网关自身的双重隐藏，基于SPA单包授权的原则，先认证后连接，缓解非法攻击，避免成为恶意流量的黑洞。而实时的风险感知则对每一次访问进行持续的信任评估，动态访问控制引擎根据评估结果实时生成访问控制策略，自动执行细粒度的访问控制策略，避免风险访问造成的数据泄露。还可以通过多因素认证，大幅提升系统认证安全性，可有效避免因弱口令、密码管理不当带来的系统被盗而导致的失分。

Q2：面对互联网资产暴露的问题，零信任如何帮助企业收敛资产暴露面？

当前大多数企业都存在对自身企业资产画像不清晰、威胁响应不及时和管理制度不完善等问题，没有真正的将资产和威胁管理起来。在攻防演练中，那些部分被遗漏、未被安全管理、未及时下线的系统，由于存在安全漏洞并缺乏相应的安全防护策略，则很容易被攻击者找到和利用，比如现在企业常用的 VPN，由于它的端口本身是对外开放的，所以通常会成为被攻击的目标。而对于这类资产暴露的问题，芯盾时代零信任业务安全平台SDP可以通过“网络隐身”技术，减少资产的暴露面。而“网络隐身”则是从两方面来实现的：网关隐身：安全应用网关默认关闭所有端口，外部扫描不到任何网关的端口。只有安装安全客户端Agent的终端，能过经过SPA预认证，才能够通过单包敲门的方式，与SDP安全网关建立连接。应用隐身：从外部无法看到业务服务，也无法与业务服务直接建立连接。在与安全应用网关成功连接之后，此时内部的业务应用还是隐身状态。只有通过身份认证的用户，才能看到有访问权限的应用系统。总的来说，通过这种 SPA 预认证的机制，确保我们接入设备的安全性，减少暴露端口。像刚才提到的 VPN 问题，很多企业会用零信任网关去增强或者替代 VPN，从而减少被攻击的可能性，增强安全性。

Q3：弱口令是企业安全建设中的老大难问题，零信任如何帮助企业解决这个问题？

弱口令确实是现在企业安全建设中的一大难题。在攻防演练中，很多攻击者会利用企业的应用系统、服务器或网络设备的弱口令、单因素认证、特权账号共享等问题，通过账号密码登录到应用系统、服务器或网络设备，再进一步提权拿下目标系统。针对这些弱口令问题，很好的一个方法就是通过多因素认证去多角度、多方位的保护用户的合法性。零信任强调的是流量身份化，以身份为核心构建安全防护边界。通过结合用户“所知”、“所持”和”所有”的多因素认证方式，如密码、指纹、令牌、短信、移动端扫码等，在客户原有认证流程上增加二次认证流程，保障身份认证的安全性，从而有效的解决暴力破解、拖库/撞库、账号冒用等一系列安全问题。还有一点值得注意，多因素认证也是我们芯盾时代用户身份与访问管理平台（IAM）很重要的功能点之一，IAM更是零信任理念的重要架构，目前我们已经完成了SDP和IAM的融合，实现强强联动。

Q4：在传统架构下，攻击者一旦攻入内网就能造成巨大破坏。零信任能够防范攻击者在内网的横向移动，减少攻击者带来的损失？

相比传统架构，零信任架构有一个很重要的安全价值，就是体现在防止横向移动上。在网络安全领域，“横向移动”是指攻击者进入网络后在该网络内移动。即使攻击者的进入点被发现，横向移动也难以检测到，因为攻击者会继续入侵网络的其他部分。还是以传统架构中的 VPN 为例，VPN 是一次认证、全网通行的，它一旦被攻破，就会进入到内网畅通无阻，这就是所谓的横向移动。而零信任旨在遏制攻击者，使他们无法横向移动。其核心是零信任“永不信任，始终验证”的原则。每个访问请求在授予访问之前都会进行完全身份验证，同时给予最小的访问授权，并且利用丰富的智能和分析进行检测并及时响应异常情况，一旦检测到攻击者的存在，就可以隔离遭入侵的设备或用户帐户，切断进一步的访问，或者拉起二次认证，最大限度地减少横向迁移。除此之外，作为零信任架构下最早的概念之一的微隔离也主要是防止横向移动。从数据中心捕获关键资产信息的横向移动是几种攻击的关键组成部分，微隔离的目的在于如果这些工作负载之间没有可操作的理由则限制他们之间未经批准的通信，从而最大限度地减少破坏的影响。与防火墙提供的典型南北向流量保护不同，微隔离着眼于工作负载的东西向流量安全。芯盾时代的零信任产品可以有效阻止横向移动的问题。首先，芯盾时代SDP通过规则引擎对前端采集的信息进行不间断的风险评估。持续身份认证对账户持有者采取“零信任”的态度，在用户操作系统的全周期内，持续性和周期性的通过规则引擎从设备、身份、行为、环境、资源、网络等各个维度进行持续的风险和信任计算，在用户访问应用资源时识别用户风险信息，评估风险得分。其次，可以根据持续的信任评估结果进行动态访问控制。基于风险评估结果，访问策略可以对用户的访问行为进行拦截，根据风险等级下发处置策略，包括阻断、放行、二次认证、隧道控制、动态权限伸缩、会话退出等。这样，通过持续的安全评估即便在安全措施失效、终端失陷的情况下，也能避免整个内网的进一步失陷。

Q5：零信任在攻防演练中有这么多优势，企业是不是应该放弃原有的纵深防御架构，全面转入零信任？

这样说是有失偏颇的，转向零信任架构并不意味着完全舍弃传统安全架构，这只是网络安全策略的调整。无论是过去还是现在，基于边界的防护理念始终保持着防护效果，零信任也并不能完全覆盖传统安全架构的能力和使用。存在即合理，不要因为上了零信任而将边界防护体系完全抛弃，反而要常态化保持零信任和边界防御兼具的安全架构。

往期 · 推荐

攻防演练宝典丨进攻方的身份攻击三板斧，企业怎样才能防得住？

基于零信任安全理念的攻防演练方案

实践案例丨政务系统如何“零信任”？某党政机关给出标准答案

远程办公“芯”方案丨零信任替换VPN，远程访问更安全

原文标题：零信任攻防实践丨基于零信任理念，助力企业攻防演练

文章出处：【微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

打开APP阅读更多精彩内容