【概要描述】

      零信任網絡的模型是約翰·金德維格在2010年創(chuàng)建的，當時他還是煙酒機構Forrester的分析師。如今11年過去了，隨著零信任的支撐技術逐漸成為主流，防護企業(yè)系統(tǒng)及數據安全的壓力也越來越大，再加上網絡攻擊演變得更加復雜，零信任模型也在CIO、CISO和其他企業(yè)高管中間越加流行了。

       時至今日，零信任已經不再冷門。但是還有很多人不太理解零信任，那零信任是什么呢？

     「零信任」是一種安全理念，它建立在一個簡單的、眾所周知的前提之上：不信任網絡內部和外部的任何人/設備/系統(tǒng)；不信任傳統(tǒng)網絡邊界保護，而代之以微邊界保護。零信任要求將用戶的訪問權限限制為完成特定任務所需的最低限度，在組織內部重構以身份為中心的信任體系和動態(tài)訪問控制體系，建立企業(yè)全新的身份邊界，即微邊界。零信任的關鍵在于控制對數據的訪問權限，而與數據所在的位置無關，與訪問發(fā)起者的位置無關。零信任的做法是先信任，后連接，只有通過動態(tài)的認證和授權，才可能發(fā)起對數據資源的訪問連接，這和傳統(tǒng)網絡安全先連接后信任的方法有主要區(qū)別。

       隨著零信任概念的不斷普及，大部分人對于零信任的了解還停留在概念層面，知道零信任有哪些能力，但不知道零信任到底怎么解決實際問題的。

圖片來源：BeyondCorp: A New Approach to Enterprise Security, Google

      其實，零信任本身是非常落地的，零信任架構BeyondCorp就是谷歌公司根據自身的攻防實踐總結出來的，且一直沿用至今，可謂效果顯著。谷歌將BeyondCorp項目的目標設定為“讓所有谷歌員工從不受信任的網絡中不接入VPN就能順利工作”。盡管聽起來像是要解決遠程接入的安全問題，BeyondCorp實際上是拋棄了對本地內網的信任，進而提出了一個新的方案，取代基于網絡邊界構筑安全體系的傳統(tǒng)做法。BeyondCorp的落腳點是網絡不可信，因而在于對人和設備的管理、認證、授權和訪問控制；而“零信任模型”著眼的是網絡流量不可信，從而著眼的是對不同網絡流量的隔離，并分別進行安全掃描和處理。

      接下來，我們以一個黑客的視角，來看看是如何攻擊公司網絡獲得機密的（改編自Ed Skoudis 的《黑客攻防演習》中的案例）。

      大家好，我叫H(Hacker簡稱)，是從事三年的職業(yè)黑客，平時的愛好除了在網上沖浪，就是四處周游，酷愛挑戰(zhàn)極限運動，這大概也是我從事黑客的原因吧。有一天，一個戴著墨鏡身著西裝的中年男士找到我，也不羅嗦，直接提出需要我拿到G公司的“命根子“——Sofer軟件新版本的全部源代碼，事成之后便會支付給我大筆現款。且不管對方是誰，無非是涉及到商業(yè)競爭，反正報酬異常豐厚，干就完了。

      事先我就知道G公司的網絡安全產品是業(yè)界聞名的，所以入侵會有一定的難度，而且安全公司與政府的關系都不錯，所以我也深知工作的危險性。只有做到不留任何痕跡才是完成任務并保護好自己的唯一方式。于是，我通過網上搜索，查詢到G公司所有的Sofer軟件的源代碼都存儲在公司網絡上的源代碼倉庫內，而且源代碼管理是公司的核心秘密，網絡由復雜的安全網關保護，別說是外部人員，即使內部人員進入也是關卡重重，更別說我要做到不留痕跡了，簡直是難于上青天。

      但值得慶幸的是，我了解到G公司的員工遍及多個國家，作為高科技的軟件公司，很多編程人員習慣在家辦公，他們通過VPN連接到公司，經過簡單的用戶名和密碼驗證后就可以訪問公司內部網絡資源，不僅可以收發(fā)公司郵件，還可以處理公司業(yè)務，而且很多程序員每天都會下載需要編輯的源代碼文件，然后上傳。這便給了我可乘之機。

 H把他的工作做了如下安排：

準備階段

      為了掩藏自己，我找到了一個不錯的位置作為工作場所，通過某小學旁邊的網絡可以無線接入訪問互聯網，接入網絡之后便通過Nessus漏洞掃描器，搜索到南京一所大學里有個被木馬感染的Web服務器，由于安裝木馬的那個家伙沒有好好保護自己的“果實“，所以我不費吹灰之力便猜到了密碼，并搶占了這臺服務器的控制權；接下來，我又在深圳的一家商業(yè)網站上找到了一臺很”弱智“的Linux服務器，上面還有個MYSQL數據庫，我毫不猶豫地納入囊中，這樣我便有了兩個可以指揮的“沖鋒戰(zhàn)士”，自己就可以退居二線，運籌帷幄。

偵查階段

      其實這期間我也下了不少功夫，比如學習G公司的網站，而且通過在各種互聯網博客、論壇等新媒體平臺搜尋，找到了大部分G公司員工發(fā)表的文章，雖然文章大部分都是一些技術交流以及非商業(yè)性質的討論與建議，偶爾也有涉及到公司網絡結構的文章，但是我更關心的是，他們都留下了真實的郵箱地址，所以我很快便猜出了G公司郵箱的命名規(guī)則，還意外找到了公司部分銷售機構的通訊錄，在收集了大約200個G公司的郵箱地址后，我開始準備下一個階段的工作了。

釣魚階段

      既然是釣魚，我得先準備魚餌，我發(fā)現大多數碼農都有上班時間玩游戲的愛好，正好我手里有一款不錯智力攻關型的游戲軟件，以前是自己在無聊的時候編寫的，從沒有給人看過，也就平常自己玩玩，現在正好派上用場。于時我把這款游戲放到深圳的那臺服務器上，然后申請注冊了一個網絡域名，在服務器上開啟游戲下載服務，還建立了所謂的公司服務郵箱，接下來指揮南京的服務器給“精選”出來的20名G公司員工郵箱發(fā)出了誘惑郵件，大致就是需要高手來挑戰(zhàn)之類的免費試玩游戲，而郵件中的游戲下載鏈接指向深圳的服務器，當然了，考慮到G公司郵件服務器上的發(fā)垃圾過濾功能，我不會給所有人都發(fā)郵件。他們在下載游戲的同時，也把我事先采用打包軟件工具和游戲軟件打包在一起的木馬程序一并下載了，而且為了安全起見，這個木馬程序是我單獨設計的，可以保證不被G公司的反病毒軟件發(fā)現。

      接下來便等魚兒上鉤，果然沒多久，就有一個員工下載了游戲，即使對方執(zhí)行游戲之前用了反病毒軟件進行了檢查，也沒有發(fā)現任何問題，他沒有注意到的是，游戲開始的同時，我的木馬后門程序也開始工作了，就這樣，釣魚完成。

病毒傳播

      接下來，該員工只要重新建立了與公司的VPN連接，木馬就可以通過VPN鏈路掃描公司網絡，找到了一個Windows文件共享目錄，里面有很多員工常用的軟件，然后把其中有個員工常用文字編輯notepad.exe軟件改名為nn.com，再把自身復制后上傳為notepad.exe，就這樣，木馬最后便堂而皇之地從VPN用戶傳播到了公司內部的網絡上。公司其他員工如果調用notepad.exe，木馬就先復制自己，再調用nn.com，所以很快，木馬病毒在用戶感覺不到異常的情況下，開始在G公司網絡內部四處傳播。

盜號竊取

      我的木馬還有一個任務就是收集系統(tǒng)內存放密碼的文件，通過用戶建立新連接的鍵盤記錄，過濾出用戶ID和密碼，很快南京的服務器上就收集了500多個密碼散列，當然，我并沒有直接到南京的服務器上去破譯這些密碼，那樣很容易被追查到，而是通過建立網絡連接的“中繼站”，安裝Covert_TCP服務器軟件以及選擇不容易被懷疑的知名商業(yè)網站作為跳點這一系列方式，建立了“TCP ack”彈躍模式的訪問通道，使用遠程命令方式訪問南京的服務器。最終利用破解工具成功獲取了50個密碼，這里面還包括一些高級管理人員的ID和密碼，我利用這些剛破譯的密碼，成功從南京的服務器上以“合法身份”登錄到G公司的VPN網關，并進入內部網絡，掃描并找到Sofer軟件的位置所在。由于G公司內部網絡的安全監(jiān)控系統(tǒng)很強大，為了避免高頻率的發(fā)包掃描被安全管理人員發(fā)現，我還不忘利用自己手里上萬個僵尸機器對G公司的外部網站進行間歇性的DDOS攻擊來分散注意力，采用分布式、間歇式的掃描方式，緩慢地探測。所以最終在定位了Sofer軟件的位置后，加上有不斷提供的“密碼支持”，我成功取得了代碼倉庫的下載權限，沒有幾天，我便通過間接途徑把全部代碼逐步下載到自己的系統(tǒng)中。

收尾拿錢

      取走源碼之后，我還不忘刪除自己的入侵軌跡，下達木馬自行毀滅的指令，并刪除了日志。交貨時，看到西裝男拿到光盤時驚喜的眼神，我特別有成就感，點著厚厚的鈔票，開始計劃著自己的夏威夷之旅……

      通過這個案例中職業(yè)黑客H的“出更”經歷來看，我們不難發(fā)現G公司在網絡安全管理的漏洞：員工網絡安全意識薄弱、內網權限劃分不合理、安全管理人員憂患意識與防護經驗欠缺……以上都為H竊取軟件源碼提供了先決條件，那么接下來我們就以案例中G公司的網絡安全管理漏洞為觸點來講講云涌零信任是如何解決網絡安全實際問題的。

1.釣魚階段，針對木馬的攔截

      即使在員工自行下載木馬的情況下，云涌零信任客戶端會主動在其進入內網前主動檢測到設備的安全能力是否開啟以及設備是否處于安全狀態(tài)，這樣便會讓木馬無所遁形，一經發(fā)現便會及時被處理。

2.病毒傳播階段，針對公司內部員工的訪問權限問題

      由于一般的公司只知道控制邊界訪問權限，無法防止內網橫向訪問帶來的安全風險，黑客便會通過普通員工的訪問權限進入內網，再利用內網某些薄弱的系統(tǒng)做跳板，最終獲取到公司內部的網絡數據；而云涌零信任則基于用戶身份細顆粒度授權，不同職責的用戶授予不同內網服務的訪問權限。例如不會允許行政部門員工遠程訪問CRM系統(tǒng) ，或僅允許合作伙伴訪問某一個必要的內網服務等。

3.盜號竊取階段，針對身份認證

      H雖然通過各種復雜手段成功盜取多個賬號密碼，并最終獲得軟件下載權限，但是云涌零信任通過SDP軟件定義邊界，打破傳統(tǒng)的網絡物理邊界，先認證后訪問服務隱藏，對未授權用戶及設備完全不可見，單包敲門，服務僅對合法身份開放訪問端口，此外IAM可增強身份識別與訪問管理，基于身份細顆粒度的訪問授權最小訪問權限控制，做到動態(tài)授權與持續(xù)審計，這樣H即使盜取多個賬號也無法通過身份認證，更別提最終竊取軟件了。

      總而言之，云涌零信任安全管理平臺是基于先進的零信任理念即永不信任、始終驗證原則，采用SDP軟件定義邊界網絡安全架構，通過服務隱藏及單包敲門技術、細顆粒度最小授權管理及風險動態(tài)識別能力，通過微隔離、防數據泄漏等手段，提供安全可靠的網絡接入與訪問控制，打造平臺級的身份與數據安全管控系統(tǒng)，解決企業(yè)遠程網絡接入安全，以及企業(yè)工業(yè)設備的南北向數據接入安全以及東西向數據訪問安全。

      云涌零信任安全管理平臺除了可廣泛應用于遠程網絡訪問與授權管理之外，還可以應用在物聯網數據上云、邊緣計算設備安全管控等場景。想了解更多關于云涌零信任安全管理平臺的內容，請登錄網站https://www.yyztn.com/查看，而且還有免費試用平臺可供體驗，歡迎垂詢！

關于云涌

      云涌科技是一家以嵌入式技術為背景，提供工業(yè)信息安全和工業(yè)物聯網解決方案的高新技術企業(yè)。公司2004年成立，總部位于江蘇泰州，在北京、鄭州、南京，泰州、深圳設有研發(fā)中心。2020年在上海證券交易所科創(chuàng)板成功上市（股票代碼688060）。

      云涌科技擁有成熟的基于ARM、PowerPC、MIPS、龍芯、飛騰等嵌入式開發(fā)平臺，具備FPGA密碼卡設計，零信任安全架構，可信計算等核心技術。產品包括：基于可信的工業(yè)信息安全設備、加密卡及相關密碼組件、基于零信任的邊緣計算機及工業(yè)物聯網方案。在能源電力、交通物流、石油石化、智慧城市等行業(yè)，云涌科技不斷為客戶提供更好的產品和技術服務，與客戶合作共贏，聚創(chuàng)未來。

• 分類：云涌新聞
• 作者：
• 來源：
• 發(fā)布時間：2021-03-26
• 訪問量：2154