由CIO時代與深信服科技聯合舉辦,信息安全研究雜志作為獨家支持媒體,「落地有聲」零信任主動防御新范式暨第三屆用戶分享大會,邀請到權威指導單位國家互聯網應急中心、國家信息中心的領導出席,以及金融、能源行業TOP用戶傾情分享,從攻防視角出發,探討零信任助力實戰攻防的全新范式。
會上,深信服科技零信任業務總經理郭炳梁正式發布了深信服零信任X-SDP主動防御能力,并介紹了創新的設計思路、展示了領先的實戰效果。
在圓桌環節的深入交流中,嘉賓們探討了實戰攻防態勢下,零信任在未來的核心價值和發展方向。
權威機構解讀零信任應用新范式
國家互聯網應急中心副處長 高強:
零信任可以針對攻擊的不同階段實現全程防護
CNCERT是網絡應急“國家隊”,每年支撐應急處置事件超10萬起,今年網絡安全形勢依舊不容樂觀。零信任的理念與網絡攻防非常貼切,可以幫助防守方應對愈演愈烈的網絡攻擊。零信任可以針對攻擊的不同階段進行防守,比如,在偵查階段,零信任可以隱藏服務器、應用信息,減少暴露面;在投放武器階段,零信任可以對設備進行可信等級的檢測,及時隔離威脅;在植入后門階段,零信任可以對終端行為進行檢測等。
國家信息中心信息與網絡安全部
辦公信息化安全處處長 劉蓓:
應對移動辦公安全風險,積極探索零信任技術應用
目前全國已經有20多個省發布了統一移動辦公平臺App。移動辦公是信息化發展的必然趨勢,也要關注帶來的安全風險。國家標準也在積極的融入最新的安全技術,不斷完善安全的發展方向,助力數字政府建設取得新的成效。基于零信任理念,實現移動終端安全,主要有以下模式:一是對于終端運行安全的評估,二是對可信終端應用程序的持續評估,三是提供相對隔離的安全的工作空間。
用戶傾情分享零信任落地經驗
金融行業用戶代表:
穩定支撐超萬億資產規模證券公司
基于零信任構建安全接入新范式
零信任的實質正是重構網絡訪問控制,以身份為核心進行訪問控制。
從零開始建設零信任,我們認為要找準亟需建設的場景:
1.正式員工訪問辦公類的場景。
方案設計了7層應用代理和4層有端網絡接入相結合,通過部署深信服零信任aTrust,與企業統一認證平臺、通訊軟件打通認證機制,采用無端方式,通過代理訪問收斂后的目標應用,最大程度兼顧安全效果與訪問體驗。同時保留已有使用VPN有端方式訪問的應用系統和基礎設施資源,將資源訪問逐步由VPN切換至零信任aTrust。
2.第三方人員通過BYOD設備接入公司內網的場景。
方案保證了第三方人員全部通過零信任客戶端+沙箱進行內網資源訪問,外包人員終端需要始終滿足安全基線準入,以最小權限訪問企業資源,并通過部署沙箱,保護企業敏感數據。
在這套零信任安全接入新范式下,收獲的安全效果非常顯著:
1.有效收斂高風險應用的暴露面,大幅度降低了互聯網側應用漏洞被利用的風險。
2.采用7層應用代理的方式,不改變用戶訪問的體驗,兼顧了安全效果和體驗的平衡。
在落地過程中,我們發現零信任與現有的安全技術體系可以天然融合,幫助提升整體安全運營和主動防御能力。因此后續將考慮擴展零信任更多的應用場景,并利用零信任進一步提升主動防御能力。
能源行業用戶代表:
實力保障國家基礎設施穩定運轉
科技賦能·零信任助力數字桂冠安全辦公
面對數字化轉型的浪潮,我們既要滿足業務廣泛數字化的需求,又要對抗不斷加劇的網絡威脅。這就要求我們需要在保障業務流暢性的基礎上,建立實戰級的安全防護。
自2021年起,我們啟動了零信任建設,期間經歷了策略優化、系統升級,目前基于深信服零信任aTrust 構建了安全接入方案,包括身份驗證、終端安全檢查、網絡隔離、訪問權限控制等能力,確保了用戶訪問業務的全鏈接保護。
然而近兩年來,釣魚攻擊頻發,為了增強對終端遠控的防護,除網絡隔離之外,我們還引入了威脅誘捕功能。如果終端受到了釣魚攻擊,觸及誘餌,我們可以迅速鎖定被攻擊終端,并采取相應措施。實踐證明,零信任主動防御能力不僅提升了整體實戰防護能力,還給分享溯源提供了線索,大幅提升運營研判效率。
深信服于業界率先發布X-SDP主動防御能力
當前,零信任在各行各業廣泛落地,最常見的是遠程接入場景。然而,深信服認為,零信任不止于遠程辦公,應逐步向更廣泛的場景進發,以不斷沉淀的技術實力與不斷增強的產品能力,詮釋安全接入的全新范式。但這個過程中遇到了兩大挑戰:
挑戰一:零信任SDP無法緩解人的脆弱性帶來的安全風險。
挑戰二:零信任SDP所設想的最小權限過于理想,落地障礙巨大。
面對這些挑戰,深信服一直在思考:零信任SDP能否在不依賴權限最小化的前提下,讓安全效果再上一個臺階?
答案呼之欲出:鑒黑。——安全技術手段本質是鑒白或鑒黑的邏輯,深信服零信任aTrust需要不斷強化已有的鑒白能力,也必須擴展鑒黑的能力。
深信服于業界率先推出X-SDP“主動防御+被動防御”一體化能力,創新融合“鑒黑”“鑒白”邏輯,通過被動防御,在不安全的訪問中識別出合法的訪問行為,通過主動防御,識別偽裝成合法訪問的攻擊行為。
在被動防御層面,基于賬號、終端、設備三道防線持續增強防線內縱深防護。
在主動防御層面,基于正確的數據(Right Data)理念構建原生零誤報鑒黑能力,并持續構建主動威脅預警能力。
黑白并舉,攻守兼備,謂之業務安全接入防護之“道”,由此構建零信任全新范式。
大咖對話零信任助力實戰攻防領先一步
Q1:如何看待當前的實戰攻防態勢?安全建設面臨著哪些嚴峻挑戰?
某證券公司信息安全團隊負責人:從多年參加國家級網絡安全攻防演習的經驗,我印象最深的一點,是攻防不對等,體現在三個方面:第一,互聯網應用存在暴露面,并在進行漏洞處理時,存在情報預警分析處置的滯后性。第二,釣魚社工的攻擊手段,永遠沒有辦法通過管理的方式解決,還是需要依靠技術手段。第三,供應鏈管理困難,容易造成防守單位的失陷。
銀聯商務辦公系統服務室負責人 姚佶思:我們公司有1萬多名員工,攻擊方想釣魚的話太容易了,之前無論上什么技術手段都難以實現零失誤。舉個例子來說,大概有3000多個地市員工平時都是通過SDP訪問內網,有一次一位同事被釣魚了,攻擊隊已經控制終端,一直在等他通過SDP設備連接,但他因為在外出差,一直沒有登陸連接,后面攻擊隊多次電話催他上線,引發員工警惕,攻擊行為才被暴露。其實這個也引發了我們思考:全網零信任是否可行?這也促使我們更加關注零信任拓展更多場景的應用,思考零信任在實戰攻防的價值。
Q2:實戰攻防場景下,零信任給用戶帶來了哪些價值?
某證券公司信息安全團隊負責人:通過落地零信任,我們收斂了20多個高風險互聯網應用,就能夠比較從容、有序應對漏洞的處置。同時我們發現零信任+沙箱的機制,在實戰攻防演練期間發揮了非常重要的作用,多家廠商的技術人員通過統一授權訪問安全工具,包括態勢感知平臺、流量監控工具,有效順利開展了防守工作,并且保證了安全數據隔離在本地。
深信服科技CISO 沙明:在體驗層面,過去我們落地50多臺防火墻的策略,需要拉通安全部和運維部的大量人員。現在安全部其實只需要投入一個人維護用戶訪問關系,并且權限動態可調整,大大提高了運維效率,讓安全真正可落地。在效果層面,過去我們需要時刻防守13條攻擊路徑,落地零信任后,我們只需要關注用戶PC到Server和Server到Server兩類攻擊路徑。不管是近源還是釣魚攻擊,只要是從PC到Server的攻擊路徑,我們統一在PC側與SDP側進行監測,大幅收斂了PC到Server的攻擊路徑。
深信服科技零信任業務總經理 郭炳梁:研發X-SDP新能力的過程中,我們一直堅持與用戶共創。我們關注到用戶對穩定性的要求,以高性能隧道傳輸技術X-Tunnel和自研分布式高可靠架構X-Performance,為X-SDP提供超前穩定的底層內核支撐,穩穩承載單用戶超百萬并發,兩倍超壓下業務成功率高達90%。
「落地有聲」第三屆零信任用戶分享大會,深信服秉持與時俱進的態度,讓每一位用戶表達真實心聲——談拓展零信任的能力和場景,談打造安全接入的全新范式,談兼顧安全體驗和效果領先。
向內看,寶劍鋒從磨礪出——
深信服零信任十幾年如一日
持續修煉內功,不斷擴展能力
向外看,一片冰心在玉壺——
這一路深信服零信任始終與用戶攜手并肩
持續致力于解決不同場景的落地難題
向后看,輕舟已過萬重山——
通過持續打造
「一年一度零信任用戶落地經驗分享」平臺
已影響各行業上千位用戶
傳遞成功落地的秘訣
向前看,長路漫漫亦燦燦——
深信服在業界率先發布主動防御能力
構建「零信任新范式」
助力每一位用戶「安全領先一步」
