由CIO時(shí)代與深信服科技聯(lián)合舉辦,信息安全研究雜志作為獨(dú)家支持媒體,「落地有聲」零信任主動(dòng)防御新范式暨第三屆用戶分享大會(huì),邀請(qǐng)到權(quán)威指導(dǎo)單位國家互聯(lián)網(wǎng)應(yīng)急中心、國家信息中心的領(lǐng)導(dǎo)出席,以及金融、能源行業(yè)TOP用戶傾情分享,從攻防視角出發(fā),探討零信任助力實(shí)戰(zhàn)攻防的全新范式。
會(huì)上,深信服科技零信任業(yè)務(wù)總經(jīng)理郭炳梁正式發(fā)布了深信服零信任X-SDP主動(dòng)防御能力,并介紹了創(chuàng)新的設(shè)計(jì)思路、展示了領(lǐng)先的實(shí)戰(zhàn)效果。
在圓桌環(huán)節(jié)的深入交流中,嘉賓們探討了實(shí)戰(zhàn)攻防態(tài)勢(shì)下,零信任在未來的核心價(jià)值和發(fā)展方向。
權(quán)威機(jī)構(gòu)解讀零信任應(yīng)用新范式
國家互聯(lián)網(wǎng)應(yīng)急中心副處長 高強(qiáng):
零信任可以針對(duì)攻擊的不同階段實(shí)現(xiàn)全程防護(hù)
CNCERT是網(wǎng)絡(luò)應(yīng)急“國家隊(duì)”,每年支撐應(yīng)急處置事件超10萬起,今年網(wǎng)絡(luò)安全形勢(shì)依舊不容樂觀。零信任的理念與網(wǎng)絡(luò)攻防非常貼切,可以幫助防守方應(yīng)對(duì)愈演愈烈的網(wǎng)絡(luò)攻擊。零信任可以針對(duì)攻擊的不同階段進(jìn)行防守,比如,在偵查階段,零信任可以隱藏服務(wù)器、應(yīng)用信息,減少暴露面;在投放武器階段,零信任可以對(duì)設(shè)備進(jìn)行可信等級(jí)的檢測(cè),及時(shí)隔離威脅;在植入后門階段,零信任可以對(duì)終端行為進(jìn)行檢測(cè)等。
國家信息中心信息與網(wǎng)絡(luò)安全部
辦公信息化安全處處長 劉蓓:
應(yīng)對(duì)移動(dòng)辦公安全風(fēng)險(xiǎn),積極探索零信任技術(shù)應(yīng)用
目前全國已經(jīng)有20多個(gè)省發(fā)布了統(tǒng)一移動(dòng)辦公平臺(tái)App。移動(dòng)辦公是信息化發(fā)展的必然趨勢(shì),也要關(guān)注帶來的安全風(fēng)險(xiǎn)。國家標(biāo)準(zhǔn)也在積極的融入最新的安全技術(shù),不斷完善安全的發(fā)展方向,助力數(shù)字政府建設(shè)取得新的成效。基于零信任理念,實(shí)現(xiàn)移動(dòng)終端安全,主要有以下模式:一是對(duì)于終端運(yùn)行安全的評(píng)估,二是對(duì)可信終端應(yīng)用程序的持續(xù)評(píng)估,三是提供相對(duì)隔離的安全的工作空間。
用戶傾情分享零信任落地經(jīng)驗(yàn)
金融行業(yè)用戶代表:
穩(wěn)定支撐超萬億資產(chǎn)規(guī)模證券公司
基于零信任構(gòu)建安全接入新范式
零信任的實(shí)質(zhì)正是重構(gòu)網(wǎng)絡(luò)訪問控制,以身份為核心進(jìn)行訪問控制。
從零開始建設(shè)零信任,我們認(rèn)為要找準(zhǔn)亟需建設(shè)的場(chǎng)景:
1.正式員工訪問辦公類的場(chǎng)景。
方案設(shè)計(jì)了7層應(yīng)用代理和4層有端網(wǎng)絡(luò)接入相結(jié)合,通過部署深信服零信任aTrust,與企業(yè)統(tǒng)一認(rèn)證平臺(tái)、通訊軟件打通認(rèn)證機(jī)制,采用無端方式,通過代理訪問收斂后的目標(biāo)應(yīng)用,最大程度兼顧安全效果與訪問體驗(yàn)。同時(shí)保留已有使用VPN有端方式訪問的應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施資源,將資源訪問逐步由VPN切換至零信任aTrust。
2.第三方人員通過BYOD設(shè)備接入公司內(nèi)網(wǎng)的場(chǎng)景。
方案保證了第三方人員全部通過零信任客戶端+沙箱進(jìn)行內(nèi)網(wǎng)資源訪問,外包人員終端需要始終滿足安全基線準(zhǔn)入,以最小權(quán)限訪問企業(yè)資源,并通過部署沙箱,保護(hù)企業(yè)敏感數(shù)據(jù)。
在這套零信任安全接入新范式下,收獲的安全效果非常顯著:
1.有效收斂高風(fēng)險(xiǎn)應(yīng)用的暴露面,大幅度降低了互聯(lián)網(wǎng)側(cè)應(yīng)用漏洞被利用的風(fēng)險(xiǎn)。
2.采用7層應(yīng)用代理的方式,不改變用戶訪問的體驗(yàn),兼顧了安全效果和體驗(yàn)的平衡。
在落地過程中,我們發(fā)現(xiàn)零信任與現(xiàn)有的安全技術(shù)體系可以天然融合,幫助提升整體安全運(yùn)營和主動(dòng)防御能力。因此后續(xù)將考慮擴(kuò)展零信任更多的應(yīng)用場(chǎng)景,并利用零信任進(jìn)一步提升主動(dòng)防御能力。
能源行業(yè)用戶代表:
實(shí)力保障國家基礎(chǔ)設(shè)施穩(wěn)定運(yùn)轉(zhuǎn)
科技賦能·零信任助力數(shù)字桂冠安全辦公
面對(duì)數(shù)字化轉(zhuǎn)型的浪潮,我們既要滿足業(yè)務(wù)廣泛數(shù)字化的需求,又要對(duì)抗不斷加劇的網(wǎng)絡(luò)威脅。這就要求我們需要在保障業(yè)務(wù)流暢性的基礎(chǔ)上,建立實(shí)戰(zhàn)級(jí)的安全防護(hù)。
自2021年起,我們啟動(dòng)了零信任建設(shè),期間經(jīng)歷了策略優(yōu)化、系統(tǒng)升級(jí),目前基于深信服零信任aTrust 構(gòu)建了安全接入方案,包括身份驗(yàn)證、終端安全檢查、網(wǎng)絡(luò)隔離、訪問權(quán)限控制等能力,確保了用戶訪問業(yè)務(wù)的全鏈接保護(hù)。
然而近兩年來,釣魚攻擊頻發(fā),為了增強(qiáng)對(duì)終端遠(yuǎn)控的防護(hù),除網(wǎng)絡(luò)隔離之外,我們還引入了威脅誘捕功能。如果終端受到了釣魚攻擊,觸及誘餌,我們可以迅速鎖定被攻擊終端,并采取相應(yīng)措施。實(shí)踐證明,零信任主動(dòng)防御能力不僅提升了整體實(shí)戰(zhàn)防護(hù)能力,還給分享溯源提供了線索,大幅提升運(yùn)營研判效率。
深信服于業(yè)界率先發(fā)布X-SDP主動(dòng)防御能力
當(dāng)前,零信任在各行各業(yè)廣泛落地,最常見的是遠(yuǎn)程接入場(chǎng)景。然而,深信服認(rèn)為,零信任不止于遠(yuǎn)程辦公,應(yīng)逐步向更廣泛的場(chǎng)景進(jìn)發(fā),以不斷沉淀的技術(shù)實(shí)力與不斷增強(qiáng)的產(chǎn)品能力,詮釋安全接入的全新范式。但這個(gè)過程中遇到了兩大挑戰(zhàn):
挑戰(zhàn)一:零信任SDP無法緩解人的脆弱性帶來的安全風(fēng)險(xiǎn)。
挑戰(zhàn)二:零信任SDP所設(shè)想的最小權(quán)限過于理想,落地障礙巨大。
面對(duì)這些挑戰(zhàn),深信服一直在思考:零信任SDP能否在不依賴權(quán)限最小化的前提下,讓安全效果再上一個(gè)臺(tái)階?
答案呼之欲出:鑒黑。——安全技術(shù)手段本質(zhì)是鑒白或鑒黑的邏輯,深信服零信任aTrust需要不斷強(qiáng)化已有的鑒白能力,也必須擴(kuò)展鑒黑的能力。
深信服于業(yè)界率先推出X-SDP“主動(dòng)防御+被動(dòng)防御”一體化能力,創(chuàng)新融合“鑒黑”“鑒白”邏輯,通過被動(dòng)防御,在不安全的訪問中識(shí)別出合法的訪問行為,通過主動(dòng)防御,識(shí)別偽裝成合法訪問的攻擊行為。
在被動(dòng)防御層面,基于賬號(hào)、終端、設(shè)備三道防線持續(xù)增強(qiáng)防線內(nèi)縱深防護(hù)。
在主動(dòng)防御層面,基于正確的數(shù)據(jù)(Right Data)理念構(gòu)建原生零誤報(bào)鑒黑能力,并持續(xù)構(gòu)建主動(dòng)威脅預(yù)警能力。
黑白并舉,攻守兼?zhèn)?謂之業(yè)務(wù)安全接入防護(hù)之“道”,由此構(gòu)建零信任全新范式。
大咖對(duì)話零信任助力實(shí)戰(zhàn)攻防領(lǐng)先一步
Q1:如何看待當(dāng)前的實(shí)戰(zhàn)攻防態(tài)勢(shì)?安全建設(shè)面臨著哪些嚴(yán)峻挑戰(zhàn)?
某證券公司信息安全團(tuán)隊(duì)負(fù)責(zé)人:從多年參加國家級(jí)網(wǎng)絡(luò)安全攻防演習(xí)的經(jīng)驗(yàn),我印象最深的一點(diǎn),是攻防不對(duì)等,體現(xiàn)在三個(gè)方面:第一,互聯(lián)網(wǎng)應(yīng)用存在暴露面,并在進(jìn)行漏洞處理時(shí),存在情報(bào)預(yù)警分析處置的滯后性。第二,釣魚社工的攻擊手段,永遠(yuǎn)沒有辦法通過管理的方式解決,還是需要依靠技術(shù)手段。第三,供應(yīng)鏈管理困難,容易造成防守單位的失陷。
銀聯(lián)商務(wù)辦公系統(tǒng)服務(wù)室負(fù)責(zé)人 姚佶思:我們公司有1萬多名員工,攻擊方想釣魚的話太容易了,之前無論上什么技術(shù)手段都難以實(shí)現(xiàn)零失誤。舉個(gè)例子來說,大概有3000多個(gè)地市員工平時(shí)都是通過SDP訪問內(nèi)網(wǎng),有一次一位同事被釣魚了,攻擊隊(duì)已經(jīng)控制終端,一直在等他通過SDP設(shè)備連接,但他因?yàn)樵谕獬霾?一直沒有登陸連接,后面攻擊隊(duì)多次電話催他上線,引發(fā)員工警惕,攻擊行為才被暴露。其實(shí)這個(gè)也引發(fā)了我們思考:全網(wǎng)零信任是否可行?這也促使我們更加關(guān)注零信任拓展更多場(chǎng)景的應(yīng)用,思考零信任在實(shí)戰(zhàn)攻防的價(jià)值。
Q2:實(shí)戰(zhàn)攻防場(chǎng)景下,零信任給用戶帶來了哪些價(jià)值?
某證券公司信息安全團(tuán)隊(duì)負(fù)責(zé)人:通過落地零信任,我們收斂了20多個(gè)高風(fēng)險(xiǎn)互聯(lián)網(wǎng)應(yīng)用,就能夠比較從容、有序應(yīng)對(duì)漏洞的處置。同時(shí)我們發(fā)現(xiàn)零信任+沙箱的機(jī)制,在實(shí)戰(zhàn)攻防演練期間發(fā)揮了非常重要的作用,多家廠商的技術(shù)人員通過統(tǒng)一授權(quán)訪問安全工具,包括態(tài)勢(shì)感知平臺(tái)、流量監(jiān)控工具,有效順利開展了防守工作,并且保證了安全數(shù)據(jù)隔離在本地。
深信服科技CISO 沙明:在體驗(yàn)層面,過去我們落地50多臺(tái)防火墻的策略,需要拉通安全部和運(yùn)維部的大量人員。現(xiàn)在安全部其實(shí)只需要投入一個(gè)人維護(hù)用戶訪問關(guān)系,并且權(quán)限動(dòng)態(tài)可調(diào)整,大大提高了運(yùn)維效率,讓安全真正可落地。在效果層面,過去我們需要時(shí)刻防守13條攻擊路徑,落地零信任后,我們只需要關(guān)注用戶PC到Server和Server到Server兩類攻擊路徑。不管是近源還是釣魚攻擊,只要是從PC到Server的攻擊路徑,我們統(tǒng)一在PC側(cè)與SDP側(cè)進(jìn)行監(jiān)測(cè),大幅收斂了PC到Server的攻擊路徑。
深信服科技零信任業(yè)務(wù)總經(jīng)理 郭炳梁:研發(fā)X-SDP新能力的過程中,我們一直堅(jiān)持與用戶共創(chuàng)。我們關(guān)注到用戶對(duì)穩(wěn)定性的要求,以高性能隧道傳輸技術(shù)X-Tunnel和自研分布式高可靠架構(gòu)X-Performance,為X-SDP提供超前穩(wěn)定的底層內(nèi)核支撐,穩(wěn)穩(wěn)承載單用戶超百萬并發(fā),兩倍超壓下業(yè)務(wù)成功率高達(dá)90%。
「落地有聲」第三屆零信任用戶分享大會(huì),深信服秉持與時(shí)俱進(jìn)的態(tài)度,讓每一位用戶表達(dá)真實(shí)心聲——談拓展零信任的能力和場(chǎng)景,談打造安全接入的全新范式,談兼顧安全體驗(yàn)和效果領(lǐng)先。
向內(nèi)看,寶劍鋒從磨礪出——
深信服零信任十幾年如一日
持續(xù)修煉內(nèi)功,不斷擴(kuò)展能力
向外看,一片冰心在玉壺——
這一路深信服零信任始終與用戶攜手并肩
持續(xù)致力于解決不同場(chǎng)景的落地難題
向后看,輕舟已過萬重山——
通過持續(xù)打造
「一年一度零信任用戶落地經(jīng)驗(yàn)分享」平臺(tái)
已影響各行業(yè)上千位用戶
傳遞成功落地的秘訣
向前看,長路漫漫亦燦燦——
深信服在業(yè)界率先發(fā)布主動(dòng)防御能力
構(gòu)建「零信任新范式」
助力每一位用戶「安全領(lǐng)先一步」
