派拉零信任：向VPN設(shè)備登錄憑證泄露事件say no~

近日，有攻擊者在黑客論壇放出了一份近50萬(wàn)條Fortinet VPN設(shè)備登錄憑證清單，據(jù)分析里邊包含12856臺(tái)設(shè)備上的498908名用戶的VPN登錄憑證；安全研究人員發(fā)現(xiàn)，這些Fortinet VPN設(shè)備的IP分布在全球各地，其中位于中國(guó)（大陸+臺(tái)灣）的設(shè)備占比11.89%，臺(tái)灣占比8.45%，大陸占比3.44%；這次泄漏并不是一個(gè)普通的安全事件，因?yàn)?VPN 憑證可以讓攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)滲透，安裝惡意軟件，并進(jìn)行勒索軟件攻擊。

近年來(lái)VPN相關(guān)的安全事件屢屢爆出，尤其在疫情后，遠(yuǎn)程辦公的興起更是頻頻把VPN安全推向風(fēng)口浪尖。不久前就曾有黑客利用員工才能使用的VPN帳戶和密碼進(jìn)入企業(yè)內(nèi)網(wǎng)盜取重要資料。

其實(shí)從各類由VPN引起的攻擊事件來(lái)看，不難得出VPN在抵御外部威脅上存在明顯的能力不足。尤其在更為復(fù)雜的網(wǎng)絡(luò)安全環(huán)境下，用戶、終端、辦公地點(diǎn)等多樣性的變化更會(huì)將VPN的缺點(diǎn)暴露無(wú)遺。

首先，VPN認(rèn)證方式相對(duì)簡(jiǎn)單，用戶通過(guò)賬戶驗(yàn)證就能獲取操作權(quán)限，實(shí)際上，在網(wǎng)絡(luò)攻擊類型繁雜的今天，僅通過(guò)驗(yàn)證用戶的方式顯然不足以構(gòu)建企業(yè)的內(nèi)網(wǎng)安全，單純的用戶驗(yàn)證方式遠(yuǎn)不能滿足企業(yè)的安全需求。

其次，黑客一旦獲得授權(quán)，就可以獲得相應(yīng)的訪問(wèn)權(quán)限，系統(tǒng)并不會(huì)因?yàn)椴僮髡叩男袨楫惓６钄嗪诳偷牟僮鳈?quán)限，即通過(guò)VPN建立的訪問(wèn)，在訪問(wèn)過(guò)程中的安全是無(wú)法得到保障的。

除此以外，黑客還能通過(guò)VPN，利用撞庫(kù)、爆破的方式去獲取企業(yè)內(nèi)部的機(jī)密信息。

零信任vsVPN

對(duì)比vpn，零信任的安全防護(hù)措施會(huì)更嚴(yán)謹(jǐn)。在驗(yàn)證方式上，零信任會(huì)隱藏服務(wù)器地址、端口使之不被掃描發(fā)現(xiàn)，在連接服務(wù)器之前會(huì)先驗(yàn)證用戶和設(shè)備的合法性，實(shí)現(xiàn)先驗(yàn)證后連接。

而傳統(tǒng)vpn則是先連接后認(rèn)證，這種認(rèn)證方式極易因?yàn)槎丝诒┞秾?dǎo)致被黑客攻擊。且大部分VPN只針對(duì)用戶做認(rèn)證，缺乏對(duì)終端設(shè)備的認(rèn)證及安全性評(píng)估。終端種類和來(lái)源的多樣性帶來(lái)的安全風(fēng)險(xiǎn)大大增加，存在終端被入侵并作為攻擊跳板的可能性。

零信任的架構(gòu)能很好彌補(bǔ)VPN的缺陷，在Gartner發(fā)布的一份《Market Guide for Zero TrustNetwork Access》報(bào)告中指出：到2022年，面向生態(tài)系統(tǒng)合作伙伴開(kāi)放的80%的新數(shù)字業(yè)務(wù)應(yīng)用程序?qū)⑼ㄟ^(guò)零信任網(wǎng)絡(luò)進(jìn)行訪問(wèn)。到2023年，60%的企業(yè)將淘汰大部分VPN，轉(zhuǎn)而使用零信任網(wǎng)絡(luò)。

相較vpn的不足之處，以“永不信任、持續(xù)驗(yàn)證”的零信任架構(gòu)完全可以替代VPN，滿足企業(yè)的安全需求，零信任的特點(diǎn)也能完全彌補(bǔ)VPN在安全防護(hù)上的缺失：

零信任的核心理念就是持續(xù)的身份鑒別和訪問(wèn)控制，因此身份管理從源頭上就是零信任架構(gòu)的核心部分。和傳統(tǒng)的IAM技術(shù)相比，零信任架構(gòu)對(duì)身份管理也提出了更高的要求。除了對(duì)用戶身份的統(tǒng)一管理、認(rèn)證和授權(quán)之外，還需要實(shí)現(xiàn)基于風(fēng)險(xiǎn)的動(dòng)態(tài)感知和智能分析平臺(tái)，基于大數(shù)據(jù)和AI技術(shù)，對(duì)于用戶訪問(wèn)的行為數(shù)據(jù)、用戶的特征和權(quán)限數(shù)據(jù)，以及環(huán)境上下文數(shù)據(jù)進(jìn)行分析，通過(guò)風(fēng)險(xiǎn)模型自動(dòng)生成認(rèn)證和授權(quán)策略。

在零信任架構(gòu)中，應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以視作業(yè)務(wù)資源，支持應(yīng)用級(jí)、功能級(jí)、數(shù)據(jù)多層級(jí)細(xì)粒度授權(quán)，實(shí)現(xiàn)全面最小化授權(quán)。零信任架構(gòu)通過(guò)構(gòu)建保護(hù)面實(shí)現(xiàn)對(duì)暴露面的收縮，要求所有業(yè)務(wù)默認(rèn)隱藏，根據(jù)授權(quán)結(jié)果進(jìn)行最小程度的開(kāi)放，減少員工接觸無(wú)權(quán)限的機(jī)密信息。

大多數(shù)系統(tǒng)都會(huì)采用入口大門先出示憑證，或增加二次強(qiáng)認(rèn)證來(lái)保證訪問(wèn)系統(tǒng)的主體的合法性，一旦認(rèn)證通過(guò)將通行無(wú)阻，出現(xiàn)的惡意訪問(wèn)、越權(quán)、非法操作將無(wú)法防護(hù)。

零信任中的持續(xù)認(rèn)證是細(xì)粒度到主體的每一次事務(wù)性的資源獲取或操作過(guò)程必須重新評(píng)估主體的信任，因?yàn)樵趶?fù)雜的互聯(lián)網(wǎng)中主體中狀態(tài)是持續(xù)動(dòng)態(tài)的在變化，那么就要進(jìn)行持續(xù)的認(rèn)證和風(fēng)險(xiǎn)評(píng)估，才能做到最細(xì)粒度的風(fēng)險(xiǎn)控制。

零信任環(huán)境還會(huì)持續(xù)判斷主機(jī)行為，從用戶登錄行為進(jìn)行全面審計(jì)，精準(zhǔn)記錄用戶賬號(hào)認(rèn)證、訪問(wèn)、變更等行為，以報(bào)表的形式展現(xiàn)給系統(tǒng)管理員，實(shí)時(shí)的登錄風(fēng)險(xiǎn)預(yù)警，及時(shí)發(fā)現(xiàn)異常情況。

作為國(guó)內(nèi)一體化零信任安全解決方案的領(lǐng)導(dǎo)者，派拉軟件率先將軟件定義邊界、持續(xù)自適應(yīng)、微隔離等信息安全前沿技術(shù)導(dǎo)入身份管理產(chǎn)品的研發(fā)與實(shí)踐中，為各個(gè)行業(yè)客戶提供專業(yè)的一體化零信任安全解決方案，覆蓋內(nèi)部員工身份治理（2E）、 外部合作伙伴身份治理（2P）、C端客戶身份治理（2C）、API身份治理（2API）、IoT身份治理（2IoT）、云身份治理、 特權(quán)身份管理。雖然零信任的發(fā)展是一條漫長(zhǎng)的道路，但派拉還是會(huì)勇往直前，持續(xù)深耕零信任安全領(lǐng)域，為助力企業(yè)的數(shù)字化轉(zhuǎn)型、為建設(shè)國(guó)家的網(wǎng)絡(luò)安全提供更好的解決方案。