由 CIO 时代与深信服科技联合举办, 信息安全研究杂志作为独家支持媒体,「落地有声」零信任主动防御新范式暨第三届用户分享大会, 邀请到权威指导单位国家互联网应急中心、国家信息中心的领导出席, 以及金融、能源行业 TOP 用户倾情分享, 从攻防视角出发, 探讨零信任助力实战攻防的全新范式。
由 CIO 时代与深信服科技联合举办, 信息安全研究杂志作为独家支持媒体,「落地有声」零信任主动防御新范式暨第三届用户分享大会, 邀请到权威指导单位国家互联网应急中心、国家信息中心的领导出席, 以及金融、能源行业 TOP 用户倾情分享, 从攻防视角出发, 探讨零信任助力实战攻防的全新范式。
会上, 深信服科技零信任业务总经理郭炳梁正式发布了深信服零信任 X-SDP 主动防御能力, 并介绍了创新的设计思路、展示了领先的实战效果。
在圆桌环节的深入交流中, 嘉宾们探讨了实战攻防态势下, 零信任在未来的核心价值和发展方向。
权威机构解读零信任应用新范式
国家互联网应急中心副处长 高强:
零信任可以针对攻击的不同阶段实现全程防护
CNCERT 是网络应急「国家队」, 每年支撑应急处置事件超 10 万起, 今年网络安全形势依旧不容乐观。零信任的理念与网络攻防非常贴切, 可以帮助防守方应对愈演愈烈的网络攻击。零信任可以针对攻击的不同阶段进行防守, 比如, 在侦查阶段, 零信任可以隐藏服务器、应用信息, 减少暴露面;在投放武器阶段, 零信任可以对设备进行可信等级的检测, 及时隔离威胁;在植入后门阶段, 零信任可以对终端行为进行检测等。
国家信息中心信息与网络安全部
办公信息化安全处处长 刘蓓:
应对移动办公安全风险, 积极探索零信任技术应用
目前全国已经有 20 多个省发布了统一移动办公平台 App。移动办公是信息化发展的必然趋势, 也要关注带来的安全风险。国家标准也在积极的融入最新的安全技术, 不断完善安全的发展方向, 助力数字政府建设取得新的成效。基于零信任理念, 实现移动终端安全, 主要有以下模式:一是对于终端运行安全的评估, 二是对可信终端应用程序的持续评估, 三是提供相对隔离的安全的工作空间。
用户倾情分享零信任落地经验
金融行业用户代表:
稳定支撑超万亿资产规模证券公司
基于零信任构建安全接入新范式
零信任的实质正是重构网络访问控制, 以身份为核心进行访问控制。
从零开始建设零信任, 我们认为要找准亟需建设的场景:
1. 正式员工访问办公类的场景。
方案设计了 7 层应用代理和 4 层有端网络接入相结合, 通过部署深信服零信任 aTrust, 与企业统一认证平台、通讯软件打通认证机制, 采用无端方式, 通过代理访问收敛后的目标应用, 最大程度兼顾安全效果与访问体验。同时保留已有使用 VPN 有端方式访问的应用系统和基础设施资源, 将资源访问逐步由 VPN 切换至零信任 aTrust。
2. 第三方人员通过 BYOD 设备接入公司内网的场景。
方案保证了第三方人员全部通过零信任客户端+沙箱进行内网资源访问, 外包人员终端需要始终满足安全基线准入, 以最小权限访问企业资源, 并通过部署沙箱, 保护企业敏感数据。
在这套零信任安全接入新范式下, 收获的安全效果非常显著:
1. 有效收敛高风险应用的暴露面, 大幅度降低了互联网侧应用漏洞被利用的风险。
2. 采用 7 层应用代理的方式, 不改变用户访问的体验, 兼顾了安全效果和体验的平衡。
在落地过程中, 我们发现零信任与现有的安全技术体系可以天然融合, 帮助提升整体安全运营和主动防御能力。因此后续将考虑扩展零信任更多的应用场景, 并利用零信任进一步提升主动防御能力。
能源行业用户代表:
实力保障国家基础设施稳定运转
科技赋能·零信任助力数字桂冠安全办公
面对数字化转型的浪潮, 我们既要满足业务广泛数字化的需求, 又要对抗不断加剧的网络威胁。这就要求我们需要在保障业务流畅性的基础上, 建立实战级的安全防护。
自 2021 年起, 我们启动了零信任建设, 期间经历了策略优化、系统升级, 目前基于深信服零信任 aTrust 构建了安全接入方案, 包括身份验证、终端安全检查、网络隔离、访问权限控制等能力, 确保了用户访问业务的全链接保护。
然而近两年来, 钓鱼攻击频发, 为了增强对终端远控的防护, 除网络隔离之外, 我们还引入了威胁诱捕功能。如果终端受到了钓鱼攻击, 触及诱饵, 我们可以迅速锁定被攻击终端, 并采取相应措施。实践证明, 零信任主动防御能力不仅提升了整体实战防护能力, 还给分享溯源提供了线索, 大幅提升运营研判效率。
深信服于业界率先发布 X-SDP 主动防御能力
当前, 零信任在各行各业广泛落地, 最常见的是远程接入场景。然而, 深信服认为, 零信任不止于远程办公, 应逐步向更广泛的场景进发, 以不断沉淀的技术实力与不断增强的产品能力, 诠释安全接入的全新范式。但这个过程中遇到了两大挑战:
挑战一:零信任 SDP 无法缓解人的脆弱性带来的安全风险。
挑战二:零信任 SDP 所设想的最小权限过于理想, 落地障碍巨大。
面对这些挑战, 深信服一直在思考:零信任 SDP 能否在不依赖权限最小化的前提下, 让安全效果再上一个台阶?
答案呼之欲出:鉴黑。——安全技术手段本质是鉴白或鉴黑的逻辑, 深信服零信任 aTrust 需要不断强化已有的鉴白能力, 也必须扩展鉴黑的能力。
深信服于业界率先推出 X-SDP「主动防御+被动防御」一体化能力, 创新融合「鉴黑」「鉴白」逻辑, 通过被动防御, 在不安全的访问中识别出合法的访问行为, 通过主动防御, 识别伪装成合法访问的攻击行为。
在被动防御层面, 基于账号、终端、设备三道防线持续增强防线内纵深防护。
在主动防御层面, 基于正确的数据 (Right Data) 理念构建原生零误报鉴黑能力, 并持续构建主动威胁预警能力。
黑白并举, 攻守兼备, 谓之业务安全接入防护之「道」, 由此构建零信任全新范式。
大咖对话零信任助力实战攻防领先一步
Q1:如何看待当前的实战攻防态势? 安全建设面临着哪些严峻挑战?
某证券公司信息安全团队负责人:从多年参加国家级网络安全攻防演习的经验, 我印象最深的一点, 是攻防不对等, 体现在三个方面:第一, 互联网应用存在暴露面, 并在进行漏洞处理时, 存在情报预警分析处置的滞后性。第二, 钓鱼社工的攻击手段, 永远没有办法通过管理的方式解决, 还是需要依靠技术手段。第三, 供应链管理困难, 容易造成防守单位的失陷。
银联商务办公系统服务室负责人 姚佶思:我们公司有 1 万多名员工, 攻击方想钓鱼的话太容易了, 之前无论上什么技术手段都难以实现零失误。举个例子来说, 大概有 3000 多个地市员工平时都是通过 SDP 访问内网, 有一次一位同事被钓鱼了, 攻击队已经控制终端, 一直在等他通过 SDP 设备连接, 但他因为在外出差, 一直没有登陆连接, 后面攻击队多次电话催他上线, 引发员工警惕, 攻击行为才被暴露。其实这个也引发了我们思考:全网零信任是否可行? 这也促使我们更加关注零信任拓展更多场景的应用, 思考零信任在实战攻防的价值。
Q2:实战攻防场景下, 零信任给用户带来了哪些价值?
某证券公司信息安全团队负责人:通过落地零信任, 我们收敛了 20 多个高风险互联网应用, 就能够比较从容、有序应对漏洞的处置。同时我们发现零信任+沙箱的机制, 在实战攻防演练期间发挥了非常重要的作用, 多家厂商的技术人员通过统一授权访问安全工具, 包括态势感知平台、流量监控工具, 有效顺利开展了防守工作, 并且保证了安全数据隔离在本地。
深信服科技 CISO 沙明:在体验层面, 过去我们落地 50 多台防火墙的策略, 需要拉通安全部和运维部的大量人员。现在安全部其实只需要投入一个人维护用户访问关系, 并且权限动态可调整, 大大提高了运维效率, 让安全真正可落地。在效果层面, 过去我们需要时刻防守 13 条攻击路径, 落地零信任后, 我们只需要关注用户 PC 到 Server 和 Server 到 Server 两类攻击路径。不管是近源还是钓鱼攻击, 只要是从 PC 到 Server 的攻击路径, 我们统一在 PC 侧与 SDP 侧进行监测, 大幅收敛了 PC 到 Server 的攻击路径。
深信服科技零信任业务总经理 郭炳梁:研发 X-SDP 新能力的过程中, 我们一直坚持与用户共创。我们关注到用户对稳定性的要求, 以高性能隧道传输技术 X-Tunnel 和自研分布式高可靠架构 X-Performance, 为 X-SDP 提供超前稳定的底层内核支撑, 稳稳承载单用户超百万并发, 两倍超压下业务成功率高达 90%。
「落地有声」第三届零信任用户分享大会, 深信服秉持与时俱进的态度, 让每一位用户表达真实心声——谈拓展零信任的能力和场景, 谈打造安全接入的全新范式, 谈兼顾安全体验和效果领先。
向内看, 宝剑锋从磨砺出——
深信服零信任十几年如一日
持续修炼内功, 不断扩展能力
向外看, 一片冰心在玉壶——
这一路深信服零信任始终与用户携手并肩
持续致力于解决不同场景的落地难题
向后看, 轻舟已过万重山——
通过持续打造
「一年一度零信任用户落地经验分享」平台
已影响各行业上千位用户
传递成功落地的秘诀
向前看, 长路漫漫亦灿灿——
深信服在业界率先发布主动防御能力
构建「零信任新范式」
助力每一位用户「安全领先一步」
来源:中关村网
