日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

近日,零信任辦公安全領域標桿企業(yè),持安科技2023年度產(chǎn)品發(fā)布會在北京成功舉辦,持安科技創(chuàng)始人兼CEO何藝,向現(xiàn)場300多名來賓及線上近8000余名觀眾,詳細介紹了持安科技8年來,在甲乙雙方探索零信任落地實踐的一系列成果。

大會由安全419創(chuàng)始人張毅主持,賽博英杰創(chuàng)始人譚曉生擔任大會致辭嘉賓及圓桌論壇主持人,某度假區(qū)信息安全總監(jiān)陳綱、新東方教育科技集團信息安全負責人楊寧、智聯(lián)招聘信息安全負責人李歡、方廣資本投資副總裁王博分別從甲方企業(yè)信息安全部門及投資人的專業(yè)角度,對零信任在中國地區(qū)的落地之路進行了闡述和分析。

01 到底什么是零信任?

零信任2020年左右開始變?yōu)閲鴥?nèi)安全圈熱點話題,持安科技2021年成立,從甲方轉變?yōu)橐曳?但剛創(chuàng)業(yè)時我們面對市場有些茫然,仿佛市面上“萬物皆可零信任”,那真正的零信任到底是什么?

零信任=幫助企業(yè)做遠程辦公?

零信任=下一代VPN?

零信任=多產(chǎn)品集成方案?

零信任=持續(xù)驗證,永不信任?那么準入算不算零信任?

持安科技作為一家懷揣夢想,以甲方身份創(chuàng)業(yè)的零信任企業(yè),希望零信任為甲方的企業(yè)安全做些什么?

我們想帶著這些問題,在后面的內(nèi)容中與大家一起探索以上問題的答案。

02 甲方視角:一切從解決問題的角度出發(fā)

零信任之所以出現(xiàn),是因為已經(jīng)延續(xù)了20、30年的傳統(tǒng)安全,已經(jīng)不能保證企業(yè)的安全了。

1. 邊界防御失效

傳統(tǒng)安全以邊界防御思想為主流,但是隨著遠程辦公、移動辦公等工作模式的出現(xiàn),使邊界越來越模糊。且在邊界防御模型中的“內(nèi)網(wǎng)”也不是絕對安全的,存在隱形信任,社工、滲透等攻擊一旦突破了邊界防御,在內(nèi)網(wǎng)中會很容易橫向移動。

2. IT基礎架構變化

以前的系統(tǒng)是單一服務化的,但是現(xiàn)在微服務、云原生等新技術的出現(xiàn),也增加了企業(yè)IT架構的復雜度,而此時再以傳統(tǒng)糖葫蘆串的方式來部署安全產(chǎn)品,會導致每增加一個安全產(chǎn)品,業(yè)務的復雜度就會上升,安全產(chǎn)品一旦出了問題,就很可能會導致業(yè)務系統(tǒng)中斷,安全系統(tǒng)與業(yè)務串的越多,系統(tǒng)的復雜性和風險就越高,所以業(yè)務不愿意把讓安全與業(yè)務串聯(lián),迫使安全產(chǎn)品只能做旁路分析。

3. 特征對抗防御失效

安全的本質(zhì)是攻防兩側的對抗,但以前大多數(shù)的對抗是基于特征,無法發(fā)現(xiàn)所有的漏洞,無法檢測出所有的攻擊手段,安全部門只有被動防守,無法做主動防御。

基于以上三點,網(wǎng)絡安全領域需要一場理念上的變革。

持安對零信任的理解

我們認為,零信任在很多方面改變了傳統(tǒng)安全的邏輯:

1. 安全模式

以往業(yè)務人員在訪問業(yè)務系統(tǒng)時,會先接觸到業(yè)務系統(tǒng),然后再驗證身份,也就是說任何人都可以接觸到業(yè)務系統(tǒng)。攻擊者隨時可以對系統(tǒng)展開攻擊,防守方只能被動挨打。即使系統(tǒng)一時沒有漏洞,也不能保證系統(tǒng)永遠沒有0day\1day漏洞出現(xiàn)。

零信任將傳統(tǒng)的“先訪問,再驗證”模式,變?yōu)?ldquo;先驗證,再訪問”,所有的請求都必須先經(jīng)過可信代理,可信代理把訪問請求轉給決策引擎,決策引擎判斷數(shù)據(jù)包可信后,再將訪問請求轉到訪問目標上。

2. 對抗方式

改變過去基于特征的對抗方式,真正的零信任是基于可信驗證,根據(jù)訪問者的業(yè)務身份構建信任鏈,只有經(jīng)過驗證滿足多種元素可信標準的請求,才可以進入到業(yè)務系統(tǒng)。此時,業(yè)務系統(tǒng)內(nèi)即使存在漏洞,到達業(yè)務系統(tǒng)的數(shù)據(jù)也是可信的,因此可以有效抵御未知人員發(fā)起的未知攻擊。

Google 當年遭遇了嚴重的APT攻擊,攻擊者通過多種0day漏洞組合,拿到了權限,而做BeyondCorp 后,顯著提高了業(yè)務系統(tǒng)的防護能力。

3. 信任關系

零信任可消除隱形信任,隱形信任是指一次驗證后,后續(xù)的訪問動作不再做驗證。而零信任會將訪問者每一個對業(yè)務的訪問請求做可信驗證,以保證在信任關系發(fā)生變化時及時阻斷。

4. 防護對象

基于網(wǎng)絡邊界隔離做防護很容易被攻破,而零信任將防護邊界轉移到業(yè)務前面,真正的防護對象是業(yè)務,不再根據(jù)內(nèi)外網(wǎng)來判定訪問者是否安全,而是基于業(yè)務身份、行為、可信狀態(tài)等。

零信任帶來的改變是什么

1. 攻防態(tài)勢的轉移

傳統(tǒng)的防守方在和攻擊者做對抗時,攻擊者處于優(yōu)勢地位,攻擊者可以隨時偽造、構建數(shù)據(jù)包展開攻擊,攻擊成本很低。零信任將攻防態(tài)勢變?yōu)橹鲃臃烙?所有請求先到零信任網(wǎng)關做身份、設備等元素的可信驗證,攻擊者的攻擊成本會非常高,所以會使攻擊者處于劣勢地位,而防御方處于優(yōu)勢地位。

2. 運營能力變化

傳統(tǒng)安全更多地是在做事中、事后分析,而零信任是主動防御的系統(tǒng),對所有的請求默認拒絕,可以利用這種能力做主動對抗。

3. 業(yè)務價值體現(xiàn)

傳統(tǒng)安全離業(yè)務很遠,很難證明自身的業(yè)務價值,但是零信任是基于業(yè)務來構建,可以幫助業(yè)務解決問題,使安全價值最大化。

03 持安堅持做應用層零信任

持安科技創(chuàng)始人兼CEO何藝

何藝在創(chuàng)業(yè)之前,是大型互聯(lián)網(wǎng)企業(yè)完美世界集團的信息安全負責人,所以持安的產(chǎn)品從一開始就自帶甲方企業(yè)落地的基因和視角,最重要的目標就是給企業(yè)的安全部門帶來實實在在的價值。

持安科技想做什么

持安零信任產(chǎn)品的整體思路,是在傳統(tǒng)的IT基礎設施之上建立零信任體系,以業(yè)務身份為中心,在網(wǎng)絡-主機-應用-數(shù)據(jù)層全部貫徹零信任能力,承載業(yè)務,基于分層防護思想,覆蓋甲方全場景、全行業(yè)的辦公場景。

基于應用層零信任能力的產(chǎn)品:持安遠望辦公安全平臺4.0

在持安零信任產(chǎn)品的設計之初,就充分考慮到了以下三個原則:

1. 平臺化

零信任作為企業(yè)安全基礎設施,需要承載業(yè)務,本身的可靠性、性能、持續(xù)動態(tài)擴容的能力十分重要。因此,持安以平臺化的方式構建零信任架構,所有組件微服務化,可動態(tài)拔插,組件分布式部署,組件調(diào)用十分高效,可以做彈性擴容,而傳統(tǒng)的產(chǎn)品組裝的方式,無法實現(xiàn)零信任的最佳實踐。

2. 效率優(yōu)先

零信任能夠在甲方快速落地,就需要效率至上,用戶無感知、0學習成本,業(yè)務不需要改代碼、接入成本低,可一體化管理,提高效率。

3. 貼合業(yè)務

不單單做網(wǎng)絡層,我們站在業(yè)務的角度,幫助業(yè)務解決問題。

持安遠望辦公安全平臺V4.0架構

在持安遠望辦公安全平臺4.0架構中,包含多個功能組件。

在網(wǎng)關層面,平臺包含網(wǎng)絡、主機、應用層等多種類型網(wǎng)關,來解決分層訪問的問題,用戶的訪問請求會先到達決策引擎,決策引擎會通過訪問者的身份、設備、數(shù)據(jù)、行為等多種維度,判定該次訪問是否可信。

在端點側,持安提供有端、無端兩種方案,或與企業(yè)已有的終端打通,滿足甲方不同場景下的訪問需求。

此外,產(chǎn)品可以與企業(yè)原有的安全能力做融合,聯(lián)防聯(lián)控,實現(xiàn)真正的安全一體化。

持安零信任產(chǎn)品在網(wǎng)絡層、主機層、應用層、數(shù)據(jù)層,分別做了不同的能力,以應用層能力為主,每個層級都做動態(tài)訪問管控。

持安在做產(chǎn)品設計與落地時,最開始考慮的問題就是如何在企業(yè)全網(wǎng)落地零信任,而不是在某一個接入場景,比如遠程辦公場景,零信任天然適用于遠程辦公,但不以遠程辦公場景為主來設計產(chǎn)品,這兩者有很大區(qū)別。

比如基于VPN開發(fā)的SDP,底層傳輸還是建立隧道,多個網(wǎng)關或POP節(jié)點,但同一時間同一個客戶,只能鏈接到同一個接入點,所有請求都通過這個接入點進行轉發(fā),這種形態(tài)在大型企業(yè)內(nèi)網(wǎng)中,會導致網(wǎng)絡延遲、風險過于集中、單點等問題。

持安在每一個層級都施行分布式訪問,每一個接入點都部署在業(yè)務前面,用戶在任一地方訪問,零信任會做任務調(diào)度,走最近的路線,一個端點可以同時訪問多個地方,這個特性看似和安全沒關系,實際上會影響零信任最終的落地效果。

持安為什么要做應用層零信任?

傳統(tǒng)安全vsSDP零信任vs持安零信任

在傳統(tǒng)安全產(chǎn)品中,VPN在網(wǎng)絡與傳輸層上面,能夠控制IP與端口的維度。

SDP也是在控制網(wǎng)絡,在控制域名時會翻譯成IP與端口,但是網(wǎng)絡層無法看到上層的數(shù)據(jù),所以SDP對接收到的數(shù)據(jù)包沒有控制能力,如果數(shù)據(jù)包內(nèi)包含對業(yè)務攻擊的數(shù)據(jù),也無法攔截。

基于Google BeyondCorp 模式下的應用層做零信任,即便網(wǎng)絡層建立了通道,在應用層會基于訪問請求,基于業(yè)務身份的信任鏈做可信驗證,將不可信的數(shù)據(jù)包拒之門外,可天然防護業(yè)務應用。

應用層零信任在國外已經(jīng)獲得諸多認可,美國聯(lián)邦零信任戰(zhàn)略里提到“零信任要基于應用層去構建”,零信任之父 John Kindervag 也在2022年CSA的采訪中提到,零信任要基于7層(即應用層)來構建。

場景演示

① 遠程辦公場景下的入侵演示

潛在風險:被動防御設備容易被繞過,無法隔離風險,業(yè)務存在風險。

攻擊路徑:釣魚感染遠程終端->控制員工家庭終端->復用SDP通道->攻擊內(nèi)網(wǎng)業(yè)務。

傳統(tǒng)防護缺點:網(wǎng)絡層控制無法防護,而以端上特征檢測的方式來對抗,雖然有一定價值,但成本很高。

②零信任攔截遠程接入風險

防守思路:在業(yè)務前加入應用層零信任能力,攻擊者的請求無法通過零信任可信驗證,不能接近業(yè)務系統(tǒng),從根源攔截攻擊者的非法請求。

安全價值:對于內(nèi)網(wǎng)攻擊、釣魚等場景,零信任可通過收斂攻擊面,基于可信驗證,阻斷一切未知人員的訪問請求,攔截未知風險。

③零信任動態(tài)防御的效果

防守思路:基于“人”請求行為過程,以業(yè)務的身份建立信任鏈,來進行持續(xù)可信驗證,動態(tài)感知終端風險變化,對非可信終端訪問,終端的異常變化,異常網(wǎng)絡等情況主動攔截。

安全價值:持續(xù)驗證,發(fā)現(xiàn)請求者的環(huán)境異常變化,信任鏈條中斷后,訪問過程無法繼續(xù)。

目前,持安可提供一體化辦公安全解決方案,同時也可在應用安全防護、遠程辦公安全、數(shù)據(jù)安全管控、移動辦公安全、實網(wǎng)攻防、業(yè)務暴露面收斂等多個具體場景提供安全解決方案,具有應用未知漏洞防護、快速應急響應、兼顧安全與效率、可在全網(wǎng)落地等特色。

04 持安8年甲方零信任落地之路

作為一家擁有20年甲方企業(yè)安全建設經(jīng)驗,8年甲方企業(yè)零信任落地經(jīng)驗,并最終以甲方身份創(chuàng)業(yè)的零信任公司來說,持安希望成為中國最懂甲方的零信任安全專家。

2015年

何藝作為完美世界集團安全負責人,在完美內(nèi)部開啟了零信任實踐與落地工作,深度研究了Google BeyondCorp 應用層架構,歷經(jīng)四年使該架構在完美世界全面落地。零信任架構在完美世界對抗APT攻擊、防御勒索攻擊的過程中發(fā)揮了極大地安全價值。

2020年疫情爆發(fā),何藝主導部署的零信任架構,讓完美世界在遠程辦公、混合辦公期間發(fā)揮了重要作用,保障了企業(yè)復工復產(chǎn)的有序開展。

2021年

何藝與孫維伯、張廣迪共同成立持安科技,從一開始,就堅定了基于業(yè)務做應用層零信任的產(chǎn)品方向。

持安科技深刻地理解到,一旦安全與業(yè)務深度融合,就意味著我們的責任非常重大,我們希望通過持續(xù)做“難而正確的事”,讓甲方企業(yè)安全部門的工作價值能夠被看見和認可。

2022年

獲得IDC資本、方廣資本、金沙江創(chuàng)投、完美世界兩輪融資過億元融資,解決方案已在互聯(lián)網(wǎng)、金融、能源、科技、地產(chǎn)、高端制造、新零售等眾多領域落地,累計接入業(yè)務系統(tǒng)超5000+,用戶數(shù)量50萬+,單體客戶用戶規(guī)模10萬+。

獲得中國信通院、數(shù)說安全、安全牛、FreeBuf、嘶吼、安全喵喵站等多個專業(yè)機構的認可,累計獲得獎項50+,完美適配國產(chǎn)化系統(tǒng)。

團隊積極參與零信任領域的觀點輸出及標準研制,先后參與零信任產(chǎn)業(yè)標準工作組《T/CESA1165-2021零信任系統(tǒng)技術規(guī)范》《零信任接口應用白皮書》《零信任實戰(zhàn)白皮書》、中國信通院《零信任發(fā)展與評估洞察報告》等多個零信任相關標準與報告撰寫。

2023年

持安科技發(fā)布中國零信任領域的平臺級重磅產(chǎn)品:持安遠望辦公安全平臺V4.0,。面對未來,擁抱變化,我們做好了準備。

最后,再次感謝大家對持安科技的支持和認可!