持安科技孙维伯：零信任理念下的实战攻防：ISC2023数字小镇演讲

近日，在ISC 2023第十一届互联网安全大会上，持安科技联合创始人孙维伯作为零信任办公安全赛道代表，亮相数字小镇New50，并发表《全方位防御：零信任理念下的实战攻防》主题演讲。

以下是本次演讲实录：

这几年，网络安全已经从监管合规趋向于实战化，网络诈骗、黑产越发猖獗，企业面临的安全挑战愈加严峻。

在实战攻防的场景下，攻防双方不对等。攻击者找到任意漏洞，即可攻破防守方，但是防守方却需要做全方位的防御，不能出任何差错。

当前常见的边界攻击对防守方构成了巨大挑战，防守方很难全面了解企业的所有边界资产，这限制了他们针对易受攻击的资产采取有效的防御手段。此外，在面对黑客定向攻击时，防守方只能防御已知的攻击手段，而每年都会发现大量0day漏洞，甚至一些一线安全产品也容易出现0day问题，传统的安全手段已无法满足防御需求。

此外，防守方的溯源能力也至关重要。企业遭遇安全事件后，能够追踪攻击的来源和路径，并完整保留相关证据，这是安全建设中的一个关键因素。

综合来讲，目前实战攻防中，主要存在以下几类攻击场景：

外网：各类应用漏洞、弱口令突破

弱密码可分为两类。第一类是过于简单的密码，例如"123456"。另一类是攻击者通过搜索社交工程库和数据库，在互联网上暴露的信息中搜索目标人员使用的密码信息。许多人习惯使用同一个密码登录所有系统，而在公司关键职位的人员也存在难以管理复杂密码的问题，同时安全团队也难以要求领导设定过于复杂的密码。

在外部网络攻击中，一旦存在0day漏洞的VPN设备、OA等办公系统被入侵，其中存储的账号和密码可能会被泄露。此外，面对一些未知的风险，例如业务人员在企业管理员或安全人员不知情的情况下突然上线一个资产，而这些新上线的业务系统可能存在0day漏洞，这也是每年大型攻防演练中的一个攻破点。

内网：各类办公系统突破

随着外部攻击的不断增加，防守方已经意识到这一点，并加强了对外部网络的防御。攻击者们发现企业办公网络内部的系统通常存在漏洞，很多企业的办公网络对员工访问没有设立防护措施，员工可以直接通过办公网络访问内部的各种应用和业务系统。一旦攻击者成功入侵办公网络，就相当于直接进入了企业的内部网络。

对外进行网络攻击时，特别需要着重强调一种攻击方式，即钓鱼攻击。根据上图所示的攻击场景，攻击者只需控制内网中的任意一台设备，并通过VPN或SDP连接办公网络中的办公电脑，这台电脑就能够直接连入企业内网。如果企业内部的办公系统之间没有设置防护措施，攻击者将能在企业内部自由行动。

我们总结了过去一年中的攻击手法前十名。左侧列出的是攻击队伍最喜欢的常见漏洞和风险，右侧则是企业安全部门的管理成本。

如果攻击者已经穿透边界进到企业内部防守方如何应对？

以最佳实践方式落地的零信任，可有效抵御未知人员发起的未知攻击。

业务隐身

无论是在内部还是外部，员工在访问业务系统之前都必须通过零信任的认证。零信任认证将根据访问者的业务身份、访问系统是否在权限范围内以及是否存在危险行为等因素，对其访问行为进行实时验证和授权。

企业采用零信任网关对内部员工和合作伙伴的访问进行防护，使其在访问业务系统时，必须经过零信任的持续验证。即使攻击者伪装成可信人员，并通过了身份认证，如果他试图进行不合规的恶意行为，零信任机制也能够动态地检测并阻止他。

防止办公网钓鱼攻击

在边界防御模式下，一旦攻击者成功钓鱼并控制了内部办公网上的个人电脑，他们会通过外部公网上的主机建立一个反向连接，从而直接将其与企业内网连接起来。

持安科技以最佳实践方式落地的零信任，将身份认证和网络访问实时动态验证过程深入应用层，零信任网关会判断访问者的身份是否有关键设备证书，并验证证书是否与当前设备匹配，而非仅仅通过设备进行代理网络授权接入。

由于仅仅代理形式的网络授权接入过程只能看到网络授权信息，并不能获得当前设备的真实身份信息。通过更严格的零信任策略，可以防止内网钓鱼攻击。在这种情况下，攻击者只能获取到办公网一台设备终端的网络接入权限，而无法获得该设备的业务身份权限。即使攻击者使用该设备发起代理网络隧道连接，也无法发起对业务系统的访问请求和攻击。

这是我们零信任最佳实践与普通的SDP、VPN替代解决方案之间本质区别。

弱口令攻击防护

为了防范弱口令的风险，先前常用的手段是对口令进行统一修改和强化。然而，对于某些老旧系统而言，它们无法与内部身份中心进行连接，并且我们也缺乏关于使用这些老旧业务系统的用户的清晰认知。

在接入零信任平台后，当用户访问老旧业务系统时，必须先通过零信任认证，才能够获得访问权限，利用零信任分析平台，将员工的身份与老旧系统用户的真实身份进行关联和分析，建立完整的身份识别通道。在不对老旧系统业务进行改造的情况下，加强口令的安全性和防护能力。

此外，零信任在保护业务系统时会进行精细化授权。当内部某个办公应用程序存在漏洞时，将相关的漏洞敏感访问URL或对应链接纳入零信任防护流程中。只允许通过零信任动态验证的用户进行访问，及时阻止攻击者的攻击行为。

防止员工泄密

很多企业对于如何准确地分析和识别员工的行为感到头疼。过去，我们常常从终端角度入手，但是员工会抵触，覆盖范围有限。

零信任解决方案将用户的真实身份与其访问的应用数据和文件进行关联，会为用户访问的页面、转发或下载的文件内容添加水印，并设置敏感文件的身份标签进行跟踪。一旦发现用户通过网关访问的文件泄露，我们只需在网关上查询相关泄露文件，便可查清是哪些用户在什么时间访问了哪个文件。

此外，零信任解决方案还可以记录和学习员工的日常访问行为，并将其与文件访问频率和数据相关联。一旦发现有用户的行为与平时差别巨大，例如突然集中大量下载文件，我们将加强认证或阻断该次访问。

零信任是否存在周期长，落地难等问题？

一些零信任实施以终端为推广入口，对安全团队或运营团队来说是一项艰巨的任务。他们需要推动成千上万甚至数十万人使用终端，而当终端出现稳定性问题时，对推广团队将是重大打击。其次，终端的易用性和实用性很难掌握，有些员工不知道如何安装终端。即使成功安装完毕，电脑上的杀毒软件自动卸载终端后，他们也不知道如何重新安装，并可能出现各种兼容性和稳定性的问题。

因此，持安零信任方案的第一步是推广网关。先将应用层网关与企业身份融合打通，并将其放置在应用的前方。用户无需改变过去的访问行为和习惯，零信任的能力将融入到员工日常的办公中。

然后逐步通过终端来扩大推广范围。最后，我们将与企业威胁情报等已有的安全系统进行打通融合，实现安全一体化。

这五个步骤是大型攻防演练中我们保卫成功所需关键点，而且这五个步骤可以与零信任原则一一对应。例如，在过去的应急响应中，一旦某台办公设备受到攻击，现场就会变得非常紧张。由于只能看到IP地址，而IP地址可能代表一台设备，也可能是一个办公区的总出口，因此运维人员很难将IP地址与具体人员关联起来，工作量十分庞大。

零信任原则可以将每个设备的访问情况、流量情况、请求域名情况以及用户的每一步操作都打上身份标签，并与企业现有的威胁情报相结合。在应急响应时，可以直接定位到具体的用户、设备、访问行为的开始和结束时间，快速采取应对措施。同时还能对访问过程进行取证和分析，以便日后溯源、取证和固定证据。

零信任防护价值

持安科技零信任团队已经建立了完备的安全体系。首先，在平台搭建阶段，我们对业务和身份进行了全面的梳理，以强化资产管理能力，并实现对暴露面的全面管控。

其次，在业务发布过程中，我们将企业业务系统与零信任原则相融合，实现了对未知人员发起的未知攻击的有效抵御，同时在关键时刻提供相关的分析和判断，以及溯源总结的支持，确保用户在无感知的情况下得到办公安全保障。