近日,有攻擊者在黑客論壇放出了一份近50萬條Fortinet VPN設(shè)備登錄憑證清單,據(jù)分析里邊包含12856臺(tái)設(shè)備上的498908名用戶的VPN登錄憑證;安全研究人員發(fā)現(xiàn),這些Fortinet VPN設(shè)備的IP分布在全球各地,其中位于中國(guó)(大陸+臺(tái)灣)的設(shè)備占比11.89%,臺(tái)灣占比8.45%,大陸占比3.44%;這次泄漏并不是一個(gè)普通的安全事件,因?yàn)?VPN 憑證可以讓攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)滲透,安裝惡意軟件,并進(jìn)行勒索軟件攻擊。
近年來VPN相關(guān)的安全事件屢屢爆出,尤其在疫情后,遠(yuǎn)程辦公的興起更是頻頻把VPN安全推向風(fēng)口浪尖。不久前就曾有黑客利用員工才能使用的VPN帳戶和密碼進(jìn)入企業(yè)內(nèi)網(wǎng)盜取重要資料。
其實(shí)從各類由VPN引起的攻擊事件來看,不難得出VPN在抵御外部威脅上存在明顯的能力不足。尤其在更為復(fù)雜的網(wǎng)絡(luò)安全環(huán)境下,用戶、終端、辦公地點(diǎn)等多樣性的變化更會(huì)將VPN的缺點(diǎn)暴露無遺。
首先,VPN認(rèn)證方式相對(duì)簡(jiǎn)單,用戶通過賬戶驗(yàn)證就能獲取操作權(quán)限,實(shí)際上,在網(wǎng)絡(luò)攻擊類型繁雜的今天,僅通過驗(yàn)證用戶的方式顯然不足以構(gòu)建企業(yè)的內(nèi)網(wǎng)安全,單純的用戶驗(yàn)證方式遠(yuǎn)不能滿足企業(yè)的安全需求。
其次,黑客一旦獲得授權(quán),就可以獲得相應(yīng)的訪問權(quán)限,系統(tǒng)并不會(huì)因?yàn)椴僮髡叩男袨楫惓6钄嗪诳偷牟僮鳈?quán)限,即通過VPN建立的訪問,在訪問過程中的安全是無法得到保障的。
除此以外,黑客還能通過VPN,利用撞庫(kù)、爆破的方式去獲取企業(yè)內(nèi)部的機(jī)密信息。
零信任vsVPN
對(duì)比vpn,零信任的安全防護(hù)措施會(huì)更嚴(yán)謹(jǐn)。在驗(yàn)證方式上,零信任會(huì)隱藏服務(wù)器地址、端口使之不被掃描發(fā)現(xiàn),在連接服務(wù)器之前會(huì)先驗(yàn)證用戶和設(shè)備的合法性,實(shí)現(xiàn)先驗(yàn)證后連接。
而傳統(tǒng)vpn則是先連接后認(rèn)證,這種認(rèn)證方式極易因?yàn)槎丝诒┞秾?dǎo)致被黑客攻擊。且大部分VPN只針對(duì)用戶做認(rèn)證,缺乏對(duì)終端設(shè)備的認(rèn)證及安全性評(píng)估。終端種類和來源的多樣性帶來的安全風(fēng)險(xiǎn)大大增加,存在終端被入侵并作為攻擊跳板的可能性。
零信任的架構(gòu)能很好彌補(bǔ)VPN的缺陷,在Gartner發(fā)布的一份《Market Guide for Zero TrustNetwork Access》報(bào)告中指出:到2022年,面向生態(tài)系統(tǒng)合作伙伴開放的80%的新數(shù)字業(yè)務(wù)應(yīng)用程序?qū)⑼ㄟ^零信任網(wǎng)絡(luò)進(jìn)行訪問。到2023年,60%的企業(yè)將淘汰大部分VPN,轉(zhuǎn)而使用零信任網(wǎng)絡(luò)。
相較vpn的不足之處,以“永不信任、持續(xù)驗(yàn)證”的零信任架構(gòu)完全可以替代VPN,滿足企業(yè)的安全需求,零信任的特點(diǎn)也能完全彌補(bǔ)VPN在安全防護(hù)上的缺失:
零信任的核心理念就是持續(xù)的身份鑒別和訪問控制,因此身份管理從源頭上就是零信任架構(gòu)的核心部分。和傳統(tǒng)的IAM技術(shù)相比,零信任架構(gòu)對(duì)身份管理也提出了更高的要求。除了對(duì)用戶身份的統(tǒng)一管理、認(rèn)證和授權(quán)之外,還需要實(shí)現(xiàn)基于風(fēng)險(xiǎn)的動(dòng)態(tài)感知和智能分析平臺(tái),基于大數(shù)據(jù)和AI技術(shù),對(duì)于用戶訪問的行為數(shù)據(jù)、用戶的特征和權(quán)限數(shù)據(jù),以及環(huán)境上下文數(shù)據(jù)進(jìn)行分析,通過風(fēng)險(xiǎn)模型自動(dòng)生成認(rèn)證和授權(quán)策略。
在零信任架構(gòu)中,應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以視作業(yè)務(wù)資源,支持應(yīng)用級(jí)、功能級(jí)、數(shù)據(jù)多層級(jí)細(xì)粒度授權(quán),實(shí)現(xiàn)全面最小化授權(quán)。零信任架構(gòu)通過構(gòu)建保護(hù)面實(shí)現(xiàn)對(duì)暴露面的收縮,要求所有業(yè)務(wù)默認(rèn)隱藏,根據(jù)授權(quán)結(jié)果進(jìn)行最小程度的開放,減少員工接觸無權(quán)限的機(jī)密信息。
大多數(shù)系統(tǒng)都會(huì)采用入口大門先出示憑證,或增加二次強(qiáng)認(rèn)證來保證訪問系統(tǒng)的主體的合法性,一旦認(rèn)證通過將通行無阻,出現(xiàn)的惡意訪問、越權(quán)、非法操作將無法防護(hù)。
零信任中的持續(xù)認(rèn)證是細(xì)粒度到主體的每一次事務(wù)性的資源獲取或操作過程必須重新評(píng)估主體的信任,因?yàn)樵趶?fù)雜的互聯(lián)網(wǎng)中主體中狀態(tài)是持續(xù)動(dòng)態(tài)的在變化,那么就要進(jìn)行持續(xù)的認(rèn)證和風(fēng)險(xiǎn)評(píng)估,才能做到最細(xì)粒度的風(fēng)險(xiǎn)控制。
零信任環(huán)境還會(huì)持續(xù)判斷主機(jī)行為,從用戶登錄行為進(jìn)行全面審計(jì),精準(zhǔn)記錄用戶賬號(hào)認(rèn)證、訪問、變更等行為,以報(bào)表的形式展現(xiàn)給系統(tǒng)管理員,實(shí)時(shí)的登錄風(fēng)險(xiǎn)預(yù)警,及時(shí)發(fā)現(xiàn)異常情況。
作為國(guó)內(nèi)一體化零信任安全解決方案的領(lǐng)導(dǎo)者,派拉軟件率先將軟件定義邊界、持續(xù)自適應(yīng)、微隔離等信息安全前沿技術(shù)導(dǎo)入身份管理產(chǎn)品的研發(fā)與實(shí)踐中,為各個(gè)行業(yè)客戶提供專業(yè)的一體化零信任安全解決方案,覆蓋內(nèi)部員工身份治理(2E)、 外部合作伙伴身份治理(2P)、C端客戶身份治理(2C)、API身份治理(2API)、IoT身份治理(2IoT)、云身份治理、 特權(quán)身份管理。雖然零信任的發(fā)展是一條漫長(zhǎng)的道路,但派拉還是會(huì)勇往直前,持續(xù)深耕零信任安全領(lǐng)域,為助力企業(yè)的數(shù)字化轉(zhuǎn)型、為建設(shè)國(guó)家的網(wǎng)絡(luò)安全提供更好的解決方案。