零信任，為「白名單威脅」而生

今年的315晚會，宛如“隱私專場”，人臉識別濫用、簡歷流入黑市。

整個三月，或謾罵或不忿或擔憂。

當輿論熱潮消退，隱私問題也暫時從聚光燈下退場。

隱私等信息安全，卻無時無刻不在敲打著安全界的神經。

如果你手動搜索，會看到全球互聯網巨頭中，經歷過大規模數據泄露事件的不在少數。

信息泄露，并不只存在于每年的315，也不該只在315受到全民關注。

內憂外患

為何數據泄露事件成災，網絡安全防護難道手無縛雞之力？

回答這個問題之前，需先弄明白，數據安全，不僅存在于人臉、簡歷等隱私數據，還在于視頻監控、郵件等等方面。

而當下隱私信息安全的處境，并不樂觀。

內憂層見疊出。

首先是產品本身安全不足。

據數據顯示，2019年的物聯網安全事件中，主要可歸為三類：漏洞和弱口令、準入控制乏力、應用監管不足。

其中，有一半是漏洞和弱密碼造成的。

漏洞和弱密碼的風險在于極其容易被控制，繼而設備被利用，造成信息泄露，或引發DDOS等攻擊。

這也意味著，安防產品自身的可靠性是系統安全的根基。如果自身的安全性得不到保障，只是通過外部來防護，難以做到完全的安全。

宇視安全&網絡解決方案總工王連朝告訴AI掘金志，造成產品本身安全不足的原因主要有兩個。

一是組織管理的不足，在設計之初就未考慮安全設計，漏洞發現、修復和響應機制等等被忽略，由此事后很難修復。

二是技術防范手段不足，存在弱口令，預留后門，或者軟件開發本身不規范，缺失認證機制、數據明文傳輸等。

據部分智能攝像頭企業的安全監測結果，不少廠商產品在軟件設置上不強制用戶修改初始密碼，甚至可不設密碼。

其次，內部另一風險來自應用監管不足，視頻被內部人員泄露。

早在2016年6月，智聯招聘的經營者北京網聘咨詢有限公司就向公安機關報案，稱其內部員工利用公司漏洞，以低價出售了幾十萬條平臺上的求職者簡歷。

據悉，被315點名的萬店掌透露，其平臺目前擁有的人臉數據量已經上億。

若內部管理不足，這些數據，可輕易通過盜取錄像、抓圖導出、截屏、錄屏、外發等各種方式泄密。

外患層出不窮。

在攻擊手段上，利用偽造網站、虛假郵件等誘騙手法的網絡釣魚行為愈演愈烈。

“被釣者”的登錄憑據被竊取后，攻擊者可假其身份發送郵件進行匯款授權等操作。

2014年至2016年間，“CEO欺詐”這一釣魚式攻擊已影響了12,000家公司，并造成20億美元的損失。

從系統層面看，其整個流程都面臨著威脅。

感知層的感知設備有可能被劫持；傳輸層會受到“私接”網絡、DDoS等攻擊；

管理層（平臺服務層）可能會遭遇非法入侵，數據被竊；應用層則可能會受到黑客對PC機或應用設備的攻擊。

著眼各層面防護和預警，迫在眉睫。

「零信任」最小權限原則

傳統的防護思維，判斷安全與否就看一條分界線。

邊界內的一切事物被視為不具有威脅，基本擁有全部的訪問權限。

隨著云計算、移動互聯的發展，傳統邊界正在瓦解，基于邊界的防護正在失效。

擁有“白名單”權限的訪問者，恰有可能是最危險的。

而“零信任”這一概念，正如它的字面意思，以“不相信任何人”為原則。

其關鍵能力可概括為：以身份為基石、業務安全訪問、持續信任評估和動態訪問控制。

不同的訪問者可訪問的資源，取決于自身的權限級別。

每一次被授權前都需重新驗證，更靈活地建立了防護邊界。

騰訊研發落地的“騰訊ioA”零信任安全管理系統，以身份安全可信、設備安全可信、應用進程可信、鏈路保護等功能，對終端訪問過程進行持續的權限控制和安全保護。

除了騰訊自身，騰訊ioA在金融、醫療、交通等多個行業領域都實現了應用。

內網辦公、遠程辦公、云上辦公等不同場景的風險得到控制，員工實現了“無論何時、何地、使用何設備都可安全訪問授權資源以處理何種業務”的新型辦公方式。

不將雞蛋放在同一個籃子里，是投資者的降低風險之策；信息安全的防護，也不可在一次授權后就高枕無憂。

零信任作為新一代網絡安全理念，將“有邊”變為“無邊”，將授權防護落實在每一次動態訪問上，讓“白名單威脅”無縫可鉆。

態勢感知：零信任的得力助手

就零信任領域中的持續信任評估而言，需要訪問者提供多個身份驗證方法。

這也就是說，在態勢感知方面對訪問進行持續分析，有助于零信任的訪問管理。

在新型IT環境下，網絡攻擊的形態演變不斷。

企業若是沒有及時發現未知威脅，就無法定位攻擊目標及源頭，更無法對入侵途徑和動機進行溯源。

目前，實現對威脅的準確檢測，仍基于安全大數據的分析。

奇安信推出的威脅態勢感知系統，基于自有的多維度大數據，自動挖掘與云端關聯分析。

利用檢索分析平臺中的告警日志和流量日志，并與其他數據進行關聯，幫助進一步分析。

若是提前洞悉到威脅，系統會推出威脅情報，對其進行描述。

同樣，通過態勢感知對攻擊事件、攻擊源和威脅告警進行分類統計和分析，華為云目前能檢測出超二十大類的云上安全風險。

常見的DDoS攻擊、Web攻擊等威脅也囊括其中。

如今，為實現安全運營等閉環管理，態勢感知已達到一定程度的普及。

化被動為主動，為零信任架構提供了必需的安全保障。

小結

 為應對信息泄露等危機，不僅有各企制定出解決方案與預防手段，政府也在立法層面不斷加強管制。

自2019年實施起的等保2.0，對保護對象分級監管，并新增了云計算、移動互聯、物聯網和工控四大安全拓展要求，以及集中管控、入侵防范、惡意代碼防范和安全審計等網絡和通信安全類項目。

去年，國內發布的《信息安全技術個人信息安全規范》，對收集個人生物識別信息的告知和存儲要求也作出了明確規定。

但信息安全與威脅將長期共存，消除眼下的危機，不代表可一勞永逸。

企業仍需不斷提升自身防御能力，建立一套持續監測、持續改進優化的機制，才是可持續發展之計。雷鋒網雷鋒網雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。