時至今日，零信任已經不再冷門。但是大部分人對于零信任的了解還停留在概念層面，知道零信任有哪些能力，但不知道零信任到底怎么解決實際問題的。

　　其實，零信任本身是非常落地的，著名的零信任架構BeyondCorp就是谷歌公司根據自身的攻防實踐總結出來的。谷歌內部一直沿用至今，效果顯著。

　　下面舉一個黑客攻擊的實戰(zhàn)案例，看看企業(yè)網絡存在哪些問題。然后再看看面對同樣的攻擊，零信任能起什么作用。（案例根據《黑客出更》改編）

　　1、一次黑客攻擊實戰(zhàn)

　?。?）背景

　　Alpha公司（化名）是國際知名的系統(tǒng)軟件公司。Hammer系統(tǒng)是公司的核心產品，產品質量行業(yè)第一。但是Hammer系統(tǒng)在給公司帶來巨額收入的同時，也引起了很多同行的覬覦……

　　小黑是一名“客齡”三年的職業(yè)黑客。

　　某天，一個身穿西服老板模樣的人找到小黑，出價500萬，要偷到Hammer軟件下一個版本的全部源代碼。

　　商業(yè)競爭的事情，小黑也不是很明白，反正回報異常豐厚，小黑決定接受這個合約。

　?。?）收集信息

　　開始攻擊之前，小黑對Alpha公司的信息進行了全方位的搜集。

　　小黑用谷歌搜到了很多Alpha公司的員工郵箱。小黑查看了所有郵箱的前綴，很快就猜出了Alpha公司郵箱的命名規(guī)則——姓名的全拼。

　　在網上搜索員工信息時，小黑還發(fā)現了不少Alpha公司大牛分享的技術帖，里面就包含很多Alpha公司的網絡情況。小黑還意外地在一個合作公司的網站上找到了Alpha公司部分銷售機構的通訊錄。

　　在收集了大約200個公司的郵箱地址后，小黑覺得信息搜集得差不多了。

　?。?）釣魚

　　為了配合下一步的攻擊行動，小黑做了一個假的游戲網站。

　　小黑從之前搜集的郵箱中選出10個（控制數量避免垃圾過濾），發(fā)送了一封釣魚郵件——免費試玩最新游戲。大致內容是我公司正在測試一款新的游戲，需要高手的測試，你是游戲高手嗎？來試試！郵件中有個游戲的下載鏈接。當然，游戲文件是帶木馬的。

　　小明是個年輕的碼農，除了寫代碼，就是玩游戲。一天早晨，小明瀏覽公司郵件時，發(fā)現了免費試玩游戲的郵件，“酷??！”小明贊嘆著，內心的沖動讓他決定要試一試。

　　小明知道不能讓公司抓住自己通過公司網絡下載游戲，所以，他先關閉了公司的VPN連接，然后點擊了郵件中的鏈接下載游戲。

　　下載后小明進行了病毒掃描，沒問題后才開始游戲。游戲是個“綠色”軟件，無需安裝，小明感覺很不錯，玩得很過癮，還寫了一個郵件，給“開發(fā)商”提了些建議。

　　當然他沒有注意到，游戲開始的同時，木馬后門程序已經開始工作。（小黑深知Alpha公司終端管控軟件的厲害，木馬沒有在本地留痕跡，而是注入到了進程中）

　?。?）傳播

　　玩了一會兒游戲，小明開始繼續(xù)工作，所以又打開了與公司的VPN連接。

　　此時小明機器中的木馬進程開始通過VPN鏈路掃描整個Alpha公司的網絡。不一會就掃描到了一個文件共享服務器，上面有很多員工常用的軟件，也包括VPN客戶端軟件。

　　這個服務器的安全管理很差，小黑沒費什么力氣就獲得了管理員權限。

　　小黑替換了服務器上的一個常用的文字編輯軟件，并在軟件中植入了竊聽木馬。

　　公司的其他員工下載使用這個軟件時，木馬先復制自己，再正常運行，所以用戶也沒有感覺到什么異常，很快，小黑的竊聽木馬在Alpha公司內部四處傳播。

　?。?）盜號

　　小黑的竊聽木馬可以收集系統(tǒng)內的密碼文件，可以記錄用戶建立新連接時鍵盤記錄，還可以分析流量過濾登錄時填寫的用戶ID與密碼。

　　木馬把所有搜集到的密碼都傳到了小黑手里進行破解。不到三個小時，小黑就獲得了50多個密碼，其中還包括研發(fā)副總裁和產品總監(jiān)的賬號密碼。

　?。?）竊取

　　利用這些剛破解的密碼，小黑以“合法身份”登上Alpha公司的VPN，進入了Alpha公司的內部網絡。

　　小黑開始慢慢地掃描Hammer軟件源代碼的藏身之處。（減少掃描頻率是為了避免被發(fā)現）

　　為了不讓安全人員的注意到自己的掃描行為，小黑還對Alpha公司的外部網站進行了間歇性的DDoS攻擊，給自己打掩護。

　　在定位了Hammer源代碼的位置后，小黑利用此前盜取的賬號，很快取得了代碼倉庫的下載權限。

　　“寶藏”到手了，小黑高興得叫了出來。當然，工作需要小心地、一步一步地進行…沒有幾天，小黑通過幾臺肉雞把全部代碼分割打包逐步下載了到自己的系統(tǒng)中。

　?。?）收尾

　　取走源碼之后，小黑沒忘記清理自己的入侵痕跡，下指令讓木馬自我毀滅，并利用it運維權限刪除了日志。

　　成功的小黑如期“交貨”，看著驚訝又欽佩的老板，愜意地點著厚厚的鈔票……

　　2、問題分析：最大的漏洞是人的漏洞

　　上面例子中小黑用的是一個非常典型的攻擊套路，這種套路的特點是以“人”為攻擊的中心，先尋找弱點入侵設備或竊取身份，隨后以入侵點為跳板，蔓延到整個網絡，最后披著合法的身份干壞事。

　　在小黑的攻擊之下，Alpha公司暴露了三個值得注意的問題：

　?。?）員工安全意識不足，導致設備的防護措施失效

　　因為人的安全意識參差不齊，容易做出各種違規(guī)操作?，F實中很多企業(yè)可能已經上了安全軟件，但員工有時候為了自己方便，會關掉這些殺毒、終端管理軟件。這時，員工就很容易中招。

　　案例中，小黑通過釣魚，很容易就讓小明中招，入侵了小明的設備。

　　再比如，有人的電腦經常不鎖屏。之前碰到過一個案例是攻擊方從地下車庫混進了公司大廈，跟著其他員工混過了門禁。在辦公區(qū)看到沒鎖屏的電腦，就插上帶毒的U盤，直接植入木馬。

　　（2）內網權限疏于管理，威脅進來就會快速傳播

　　一般企業(yè)網絡會對外部徹底隔離，但是對已經接入內網的人限制很少。這就給攻擊者提供了極大的便利。

　　案例中，小黑入侵小明的設備之后，可以隨意掃描內網，并且很快就找到了有漏洞的系統(tǒng)。

　　系統(tǒng)漏洞沒法避免，但是權限過度的問題可以避免。

　　小明可以使用文件共享服務，但是管理端口應該完全不對小明暴露才對。對小明暴露，就相當于對小黑暴露了。

　?。?）身份泄露后，黑客以“合法身份”竊取數據，難以攔截

　　除了黑客直接盜號之外，員工常常會互相“借用”賬號，“共享”賬號，造成身份信息泄露。加上各種弱密碼、社會上的密碼泄露事件等等，對于安全人員來說，基本可以默認用戶的賬號密碼肯定會被泄露。

　　有些公司會記錄一些網絡數據，審計分析用戶行為。但這些系統(tǒng)通常是“外掛式”的，很少能夠做到貼合業(yè)務，及時發(fā)現并攔截異常行為。

　　案例中的小黑是非常狡猾的，利用合法的身份作掩護，還會通過一些技巧，如慢掃描、無文件攻擊、切割文件后分批傳走等等方式躲避安全人員的監(jiān)控。所以，小黑的非法行為很難察覺。

　　3、解決方案：通過安全框架克服人的不可靠性

　　攻擊的核心是“人”，所以防御的核心必須也是“人”。防御小黑這類攻擊的關鍵就是通過建立一套“安全框架”，去克服“人”的不可靠性。

　　零信任就是一種聚合了很多實用的技術，針對“人”做全面防御的安全框架。

　　（1）人的安全意識比較低，但是零信任可以強制要求人去提高

　　零信任可以收集終端設備的安全狀態(tài)，并制定限制條件，如果達不到要求，就不讓訪問。

　　比如，為了避免病毒的傳播，“零信任客戶端”可以檢測用戶電腦上是否裝了殺毒軟件和終端管理軟件。零信任網關守護在內網入口，只有客戶端檢測成功，并且上報給網關，零信任網關才會放行。

　　這樣，不安全的設備就沒法接入內網，避免了因為用戶安全意識不足而引入風險。（為了防御一些高級威脅，零信任還可以與EDR產品聯動）

　　為了實現數據防泄密，可以要求客戶端檢測用戶是否正在使用云桌面，如果沒有，則不讓該用戶訪問一些重要的資源，避免源代碼、客戶名單等敏感信息的泄露。

　　為了避免攻擊者買通內鬼或者自己混入辦公室傳播風險，可以要求客戶端檢測用戶是否設置了鎖屏密碼，如果沒有則不讓接入內網。

　　為了避免攻擊者遠程控制用戶設備，可以要求客戶端檢測用戶是否關閉了遠程服務、遠程共享，如果沒有則不讓接入內網。

　?。?）零信任網絡中，人和資源天然就是隔離的，威脅不會快速傳播

　　零信任網絡中，零信任網關處于整個內網的入口位置，隔離了人和資源。

　　攻擊者即便竊取了賬號和設備，也不能直接進入內網。攻擊者能做的事情非常有限。

　　首先，攻擊者掃不出幾個端口了。

　　零信任的SPA隱身技術能攔截掉未授權的端口掃描。用戶如果沒有訪問權限的話，那么相應的服務器端口不會對其開放。攻擊者發(fā)出的端口探測請求會被零信任網關中的防火墻直接丟棄。（具體可以參考我的文章《揭秘零信任里的“隱身”黑科技》）

　　這樣的話，案例中的小黑只能掃到小明有權訪問的服務器，不能在整個內網大范圍掃描。

　　其次，攻擊者沒法直連服務器了。

　　零信任網關可以限制只做應用層的代理和準入。

　　此時，小黑會發(fā)現與他直連的只有零信任網關，對于真實的業(yè)務服務器則只能通過零信任網關的轉發(fā)，進行HTTPS協(xié)議的通信。

　　再次，成熟的零信任還會包括數據級的統(tǒng)一權限管理。小黑會發(fā)現web頁面中也不是所有數據都能訪問。

　　最后，即便攻擊者入侵了一臺服務器，他也沒法以此為跳板繼續(xù)橫向攻擊。

　　零信任的微隔離技術可以做服務器之間的訪問控制。攻擊者入侵了一個服務器之后，掃描同一網段的其他服務器，是掃不到的。其他服務器上的微隔離agent會攔截掉探測流量。（具體可以參考我的文章《用微隔離技術實現零信任》）

　　（3）密碼會泄露，但是零信任還會驗證設備、人臉、行為

　　首先，設備綁定和多因子認證是零信任必備的功能。

　　攻擊者盜號之后，零信任客戶端會檢測設備是否在可信名單中，用新設備登錄會被視為一種可疑事件，觸發(fā)一次多因子認證。

　　案例中，小黑沒有Alpha公司發(fā)給員工的可信設備，是沒法直接登錄VPN接入內網的。

　　一些特別重要的應用，可以要求首次登錄時必須做一次多因子認證，比如人臉識別之后才能進入。

　　有些特別重要的系統(tǒng)甚至可以要求客戶端全程開啟人臉識別，用戶離開座位或者有人在后面圍觀就自動斷開連接。

　　其次，即使身份蒙混過關，異常行為也會讓他露餡。

　　零信任框架包含識別“異常行為”的能力，并且跟業(yè)務層結合的很緊。通過客戶端和網關的配合，可以在發(fā)生異常情況時，觸發(fā)二次認證，驗證用戶短信或人臉識別后才允許繼續(xù)通信。

　　比如用戶10分鐘前還在北京，10分鐘后登錄位置突然變成了上海。這種異常的位置變化代表賬號可能被盜了。

　　這時，零信任平臺會命令客戶端和網關暫時中斷通信，提示讓用戶驗證一下短信，通過之后，再恢復正常通信。

　　案例中，小黑的所有行為都會被持續(xù)監(jiān)控，很多攻擊行為都會被視為可疑事件，比如入侵小明的電腦后留下了可疑的進程，掃描內網時訪問行為具有強烈的規(guī)律性，短時間內大量下載源碼文件的行為等等，都會觸發(fā)二次認證，阻止小黑繼續(xù)干壞事，同時引起小明的警覺。

　　4、有零信任之后，案例變成什么樣子

　?。?）釣魚階段：愛玩的小明還是會被釣魚，下載木馬。但是小明進入內網前，零信任客戶端會主動檢測設備的安全能力是否開啟，設備是否處于安全狀態(tài)，木馬很快會被發(fā)現和處理。

　　（2）傳播階段：零信任會通過隱身和隔離技術限制風險的傳播，讓小黑探測不到有價值的目標。零信任還會持續(xù)檢測傳播風險的異常行為，觸發(fā)多因子認證，封鎖小黑的下一步行動。

　?。?）盜號階段：小黑可以盜取賬號密碼，但是小黑沒法通過設備認證和多因子認證，所以盜了也沒用。

　?。?）竊取階段：小黑在前幾個階段沒法突破零信任對身份認證、設備認證、行為檢測、網絡授權等方面的限制，最終還是沒法竊取到數據。

　　5、一句話總結：零信任到底能干嘛？

　　黑客攻防中，人是最大的漏洞。零信任就是不相信任何人，通過安全框架彌補人的不可靠性，綜合各類檢測、認證和限制，讓原本來去自如的攻擊者寸步難行。