大家都知道,零信任一开始的定位就是新一代网络安全架构,其立论是基于传统边界防护的内网不再安全,一旦攻击者突破了边界,在边界内就畅通无阻,打一比方,就像是一个鸡蛋,穿透了蛋壳,内部就是蛋黄和蛋清,所以需要用零信任新范式构建身份新边界。零信任主张持续验证,基于最小权限访问控制。
那么在国内,零信任经过近几年的重点发展,SDP领域内相关产品方案也得到了不少行业和客户的认同,市场规模渐渐起来。
但是大家也看到,零信任SDP主要还停留在远程接入场景,这个场景大家有共识,比较明确。
零信任在内网,实事求是的讲,并没有广泛的落地。这个问题在哪?显然不在咱们客户身上,我认为是在零信任SDP自身,零信任SDP的安全能力还有不足,还需要提升。
为什么这么说?
我有时会打这么一个比方,SDP就好比一个宣称基于零信任理念的保全公司,接手了客户办公大楼、办公园区的安保业务,给了最大的权限。零信任能对所有进入大楼的主体(用户、终端)查身份证,要口令,进行MFA多因素认证。也有一张清单,用来校验权限。
零信任还给了很高的通行权限,因为它是网关嘛,哪都可以去。
但是,被零信任SDP放行的,不一定好人,有可能是坏人的尾随、冒用;被零信任SDP拦截的,不一定是坏人,有可能好人忘了口令。
也就是说,零信任SDP还只是一个兢兢业业的保安,能提供确定的认证和控制隔离动作,但是不能保证保护的效果。
我把这个状态,称为被动防御。那么显然,零信任SDP面临瓶颈,需要升级,升级到主动防御。
我们来看下这个瓶颈,瓶颈体现有两个点。
人的脆弱性瓶颈
第一个关键挑战,就是人的脆弱性的问题。企业和机构,如果上了一定的规模,成千上万的员工时,钓鱼和社工就难以完全避免。如果有1%的员工会点开钓鱼,那么1000人的企业,就有10人,1万人的企业机构就有100人。然而攻击者最低需要的有效点击,只要1人。这就是人的脆弱性。
我们试想一下场景,只需要一个电话、一个短信、一个邮件、一个IM即时通讯,就可以击穿层层防护的边界,然后绕过邮件安全网关、对杀毒软件免杀,进入到内网,发起攻击。
甚至在攻防演练中,还有客户面临过,攻击队给外包员工拨打电话:“你好,我是安全部,现在在进行攻防演练,你的终端需要排查一下”。然后光明正大远程,安装木马。
外包员工还在问:“你好了没有啊,我还要工作呢”。攻击队说:“你再等一会,马上就好了”。
所以我们看到,人的脆弱性上带来的安全风险,现有零信任SDP并不能兜底解决。
最小权限难以落地的瓶颈
第二个关键挑战,就是零信任SDP的最小权限理念的落地障碍。最小权限是一个好的理念,但是落地障碍和成本是非常巨大的。
我以一个巨型的头部金融机构的内网为例,他们的开发测试是专机专网,和外部完全隔离,这个就不提了。那么广泛的办公内网,实现到了什么程度?
全员都是User权限,不能安装软件,不能开端口、开启服务。硬盘加密,DLP关闭掉外设,邮件发送附件需要审批。不能安装微信。
如果需要上网,怎么办?按域名进行白名单申请。
所有的终端,都通过准入,用MAC绑定IP。然后访问应用的权限,都基于IP来配置ACL。
实事求是地讲,这种模式,就可以认为是内网的零信任的一种实现。因为零信任本身并不是具体的技术,而是一种理念。
但是这种力度,我们有多少企业和机构能够跟随实现?它对运维成本、员工体验的影响,又有多少企业和机构能够承受?
而且,这还不是绝对意义上的最小权限。以权限为例,我们经常听到基于RBAC(Role-Base)基于角色的访问控制,这个是最小吗?显然不是。更小的应该是UBAC(User-Base),基于用户,千人千面,万人万面。但是很显然,RBAC已经很难实现了,更不要说是UBAC。
控制软件安装就是最小权限了吗?也不是。因为我们较真一点,还可以运行绿色软件,免安装,大部分免杀木马就是免安装,说句玩笑话,黑客比我们还重视用户体验,最怕体验差用户不点,对吧?
那么控制进程运行,就是最小权限了吗?也不是。还可以通过动态库,DLL,加载到白进程里运行。那最小权限是不是要到动态库呢?一个软件就有上百个动态库,怎么做最小权限?
如果再展开一点,访问时间、访问行为、访问位置等等,都应该是最小权限的一部分。
如果我们按这个思路一直走,基本上,没法达到。所以我们认为,零信任SDP所设想的最小权限过于理想,只能部分达到,在较广泛的场景下,落地障碍是非常巨大的。
理想中的零信任SDP
所以理想中的零信任SDP,应该不依赖于最小化权限,就算你的权限是相对比较粗的RBAC,也不依赖于人的脆弱性,即使人是脆弱的,会被钓鱼,会被社工,就算你可以安装或运行一定的软件,就算会被钓鱼、社工,也能够识别和发现攻击者,提升安全的水位、安全等级。
但是这个问题如何去实现呢?
最终通过对很多维度的分析、共创和思考,其中一个维度非常有意思。安全的核心手段,无非是鉴白和鉴黑。最小权限肯定是鉴白的手段,是鉴白的终极状态,如果没有化最小化权限,那么很显然,我们应该从“鉴黑"的视角去找答案。
所以我们得出第一个结论,零信任SDP如果要升级安全水位,需要引入鉴黑的理念。
基于Right Data精准鉴黑
那么怎么鉴黑呢?因为人的脆弱性问题,一定会有恶意的木马会被点,对吧?
我们再看下,传统的鉴黑、应该说典型的鉴黑吧,其实有一个核心的共性,我们看到不管是反病毒软件、还是强调云地协同的EPP、还是IOA攻击指标的EDR,其本质都是Big Data,大数据。通过大量的文件特征、域名特征、攻击流量特征、攻击行为序列的规则库,等等,来识别恶意的攻击。
基于Big Data大数据的DR检测体系,是主流的鉴黑体系,很有用。但是我们也不得不意识到,总会有攻击者通过多种方式,绕开邮件安全网关的DR检测、绕开杀毒软件检测、绕开EDR/NDR的检测,最终会把木马运行起来。
那么怎么办?
我们知道有阴就有阳,夫妻结婚也得有夫有妻,而且理想的夫妻最好能互补,对吧?(咳咳 ,请忽略奥特曼)
那么站在Big Data的另一边,互补的对象是什么呢?是Right Data,正确的数据。
Right Data就是基于身份、行为、策略等等基线,给你量身定制检测机制,获得准确的鉴黑数据。
我简单打个比方,比如说,我们有一个运维员工,身份是运维,行为上全部都是规规矩矩,通过堡垒机访问运维端口,那么基于这个前提,我们通过零信任,给这名运维员工分发了一个诱饵,端口是20221,协议是SSH。这个端口,不是知名的,在UI界面上是隐藏的,只能通过扫描工具检测出来。那么如果一旦被扫描出来,那么你就是攻击者。
如果有一个财务,我分发一个3306数据库协议端口,隐藏起来,被发掘出来的,也基本上是攻击者。这就是Right Data的最简单展示。
这种诱饵,往往是信息类诱饵,就像是一张纸条,它本身不消耗性能、不占用资源,只看是否有心怀恶意的人去利用纸条上承载的信息,从而精准捕获恶意者。
所以我们看到,Right Data它天然适合于零信任体系来持续增强实现。因为要把鉴黑做得越精准,就得比员工本人更了解员工,需要知道身份、权限、策略、行为基线等等白的数据。
打个形象的比方,这就像是反向钓鱼。就像在桌子底下放了一张纸条,写着比特币的账号和密码、钱包登录地址,会去访问的,则是心怀恶意的。
安全从此不再只能被动防守,被攻击者钓鱼。而是能够围着员工发10086个诱饵,向攻击者反向钓鱼。你可以不点,但是只要点错,就会被炸。
X-SDP不止是反向钓鱼
当然X-SDP也不仅仅是反向钓鱼,前面也提到过,X-SDP的核心是Right Data,同时X-SDP的基础和内核依然是SDP(X-SDP顾名思义,是SDP的扩展)。
从内核角度,当一个业务系统被X-SDP&SDP所保护,那么攻击者有且只有3道防线可以攻击和入侵,要么是SDP账号、要么是SDP的终端、要么是SDP设备本身。
所以,X-SDP首先需要基于SDP账号、SDP终端、SDP的设备三道防线、三道高地,就像在上甘岭高地深挖战壕、设立子防线,进行体系化的纵深防御强化,并且实现防线可视。
而从Right Data角度,除了诱捕鉴黑,还会有恶意行为鉴黑、NDAY EXP鉴黑等手段,用于持续识别和区分攻击者,成为Big Data防护体系的兜底与互补。这些能力都需要在未来持续建设和提升。
展望
X-SDP理念的落地上,相信这个思考,在当前只是一个开端。希望通过业界持续的思考和努力,持续完善,最终将零信任SDP,不止落地在远程,而是进入内网实现全网,甚至更大的范围。