時(shí)至今日，零信任已經(jīng)不再冷門(mén)。但是大部分人對(duì)于零信任的了解還停留在概念層面，知道零信任有哪些能力，但不知道零信任到底怎么解決實(shí)際問(wèn)題的。

　　其實(shí)，零信任本身是非常落地的，著名的零信任架構(gòu)BeyondCorp就是谷歌公司根據(jù)自身的攻防實(shí)踐總結(jié)出來(lái)的。谷歌內(nèi)部一直沿用至今，效果顯著。

　　下面舉一個(gè)黑客攻擊的實(shí)戰(zhàn)案例，看看企業(yè)網(wǎng)絡(luò)存在哪些問(wèn)題。然后再看看面對(duì)同樣的攻擊，零信任能起什么作用。（案例根據(jù)《黑客出更》改編）

　　1、一次黑客攻擊實(shí)戰(zhàn)

　?。?）背景

　　Alpha公司（化名）是國(guó)際知名的系統(tǒng)軟件公司。Hammer系統(tǒng)是公司的核心產(chǎn)品，產(chǎn)品質(zhì)量行業(yè)第一。但是Hammer系統(tǒng)在給公司帶來(lái)巨額收入的同時(shí)，也引起了很多同行的覬覦……

　　小黑是一名“客齡”三年的職業(yè)黑客。

　　某天，一個(gè)身穿西服老板模樣的人找到小黑，出價(jià)500萬(wàn)，要偷到Hammer軟件下一個(gè)版本的全部源代碼。

　　商業(yè)競(jìng)爭(zhēng)的事情，小黑也不是很明白，反正回報(bào)異常豐厚，小黑決定接受這個(gè)合約。

　　（2）收集信息

　　開(kāi)始攻擊之前，小黑對(duì)Alpha公司的信息進(jìn)行了全方位的搜集。

　　小黑用谷歌搜到了很多Alpha公司的員工郵箱。小黑查看了所有郵箱的前綴，很快就猜出了Alpha公司郵箱的命名規(guī)則——姓名的全拼。

　　在網(wǎng)上搜索員工信息時(shí)，小黑還發(fā)現(xiàn)了不少Alpha公司大牛分享的技術(shù)帖，里面就包含很多Alpha公司的網(wǎng)絡(luò)情況。小黑還意外地在一個(gè)合作公司的網(wǎng)站上找到了Alpha公司部分銷(xiāo)售機(jī)構(gòu)的通訊錄。

　　在收集了大約200個(gè)公司的郵箱地址后，小黑覺(jué)得信息搜集得差不多了。

　　（3）釣魚(yú)

　　為了配合下一步的攻擊行動(dòng)，小黑做了一個(gè)假的游戲網(wǎng)站。

　　小黑從之前搜集的郵箱中選出10個(gè)（控制數(shù)量避免垃圾過(guò)濾），發(fā)送了一封釣魚(yú)郵件——免費(fèi)試玩最新游戲。大致內(nèi)容是我公司正在測(cè)試一款新的游戲，需要高手的測(cè)試，你是游戲高手嗎？來(lái)試試！郵件中有個(gè)游戲的下載鏈接。當(dāng)然，游戲文件是帶木馬的。

　　小明是個(gè)年輕的碼農(nóng)，除了寫(xiě)代碼，就是玩游戲。一天早晨，小明瀏覽公司郵件時(shí)，發(fā)現(xiàn)了免費(fèi)試玩游戲的郵件，“酷??！”小明贊嘆著，內(nèi)心的沖動(dòng)讓他決定要試一試。

　　小明知道不能讓公司抓住自己通過(guò)公司網(wǎng)絡(luò)下載游戲，所以，他先關(guān)閉了公司的VPN連接，然后點(diǎn)擊了郵件中的鏈接下載游戲。

　　下載后小明進(jìn)行了病毒掃描，沒(méi)問(wèn)題后才開(kāi)始游戲。游戲是個(gè)“綠色”軟件，無(wú)需安裝，小明感覺(jué)很不錯(cuò)，玩得很過(guò)癮，還寫(xiě)了一個(gè)郵件，給“開(kāi)發(fā)商”提了些建議。

　　當(dāng)然他沒(méi)有注意到，游戲開(kāi)始的同時(shí)，木馬后門(mén)程序已經(jīng)開(kāi)始工作。（小黑深知Alpha公司終端管控軟件的厲害，木馬沒(méi)有在本地留痕跡，而是注入到了進(jìn)程中）

　?。?）傳播

　　玩了一會(huì)兒游戲，小明開(kāi)始繼續(xù)工作，所以又打開(kāi)了與公司的VPN連接。

　　此時(shí)小明機(jī)器中的木馬進(jìn)程開(kāi)始通過(guò)VPN鏈路掃描整個(gè)Alpha公司的網(wǎng)絡(luò)。不一會(huì)就掃描到了一個(gè)文件共享服務(wù)器，上面有很多員工常用的軟件，也包括VPN客戶端軟件。

　　這個(gè)服務(wù)器的安全管理很差，小黑沒(méi)費(fèi)什么力氣就獲得了管理員權(quán)限。

　　小黑替換了服務(wù)器上的一個(gè)常用的文字編輯軟件，并在軟件中植入了竊聽(tīng)木馬。

　　公司的其他員工下載使用這個(gè)軟件時(shí)，木馬先復(fù)制自己，再正常運(yùn)行，所以用戶也沒(méi)有感覺(jué)到什么異常，很快，小黑的竊聽(tīng)木馬在Alpha公司內(nèi)部四處傳播。

　　（5）盜號(hào)

　　小黑的竊聽(tīng)木馬可以收集系統(tǒng)內(nèi)的密碼文件，可以記錄用戶建立新連接時(shí)鍵盤(pán)記錄，還可以分析流量過(guò)濾登錄時(shí)填寫(xiě)的用戶ID與密碼。

　　木馬把所有搜集到的密碼都傳到了小黑手里進(jìn)行破解。不到三個(gè)小時(shí)，小黑就獲得了50多個(gè)密碼，其中還包括研發(fā)副總裁和產(chǎn)品總監(jiān)的賬號(hào)密碼。

　?。?）竊取

　　利用這些剛破解的密碼，小黑以“合法身份”登上Alpha公司的VPN，進(jìn)入了Alpha公司的內(nèi)部網(wǎng)絡(luò)。

　　小黑開(kāi)始慢慢地掃描Hammer軟件源代碼的藏身之處。（減少掃描頻率是為了避免被發(fā)現(xiàn)）

　　為了不讓安全人員的注意到自己的掃描行為，小黑還對(duì)Alpha公司的外部網(wǎng)站進(jìn)行了間歇性的DDoS攻擊，給自己打掩護(hù)。

　　在定位了Hammer源代碼的位置后，小黑利用此前盜取的賬號(hào)，很快取得了代碼倉(cāng)庫(kù)的下載權(quán)限。

　　“寶藏”到手了，小黑高興得叫了出來(lái)。當(dāng)然，工作需要小心地、一步一步地進(jìn)行…沒(méi)有幾天，小黑通過(guò)幾臺(tái)肉雞把全部代碼分割打包逐步下載了到自己的系統(tǒng)中。

　?。?）收尾

　　取走源碼之后，小黑沒(méi)忘記清理自己的入侵痕跡，下指令讓木馬自我毀滅，并利用it運(yùn)維權(quán)限刪除了日志。

　　成功的小黑如期“交貨”，看著驚訝又欽佩的老板，愜意地點(diǎn)著厚厚的鈔票……

　　2、問(wèn)題分析：最大的漏洞是人的漏洞

　　上面例子中小黑用的是一個(gè)非常典型的攻擊套路，這種套路的特點(diǎn)是以“人”為攻擊的中心，先尋找弱點(diǎn)入侵設(shè)備或竊取身份，隨后以入侵點(diǎn)為跳板，蔓延到整個(gè)網(wǎng)絡(luò)，最后披著合法的身份干壞事。

　　在小黑的攻擊之下，Alpha公司暴露了三個(gè)值得注意的問(wèn)題：

　?。?）員工安全意識(shí)不足，導(dǎo)致設(shè)備的防護(hù)措施失效

　　因?yàn)槿说陌踩庾R(shí)參差不齊，容易做出各種違規(guī)操作?，F(xiàn)實(shí)中很多企業(yè)可能已經(jīng)上了安全軟件，但員工有時(shí)候?yàn)榱俗约悍奖悖瑫?huì)關(guān)掉這些殺毒、終端管理軟件。這時(shí)，員工就很容易中招。

　　案例中，小黑通過(guò)釣魚(yú)，很容易就讓小明中招，入侵了小明的設(shè)備。

　　再比如，有人的電腦經(jīng)常不鎖屏。之前碰到過(guò)一個(gè)案例是攻擊方從地下車(chē)庫(kù)混進(jìn)了公司大廈，跟著其他員工混過(guò)了門(mén)禁。在辦公區(qū)看到?jīng)]鎖屏的電腦，就插上帶毒的U盤(pán)，直接植入木馬。

　?。?）內(nèi)網(wǎng)權(quán)限疏于管理，威脅進(jìn)來(lái)就會(huì)快速傳播

　　一般企業(yè)網(wǎng)絡(luò)會(huì)對(duì)外部徹底隔離，但是對(duì)已經(jīng)接入內(nèi)網(wǎng)的人限制很少。這就給攻擊者提供了極大的便利。

　　案例中，小黑入侵小明的設(shè)備之后，可以隨意掃描內(nèi)網(wǎng)，并且很快就找到了有漏洞的系統(tǒng)。

　　系統(tǒng)漏洞沒(méi)法避免，但是權(quán)限過(guò)度的問(wèn)題可以避免。

　　小明可以使用文件共享服務(wù)，但是管理端口應(yīng)該完全不對(duì)小明暴露才對(duì)。對(duì)小明暴露，就相當(dāng)于對(duì)小黑暴露了。

　?。?）身份泄露后，黑客以“合法身份”竊取數(shù)據(jù)，難以攔截

　　除了黑客直接盜號(hào)之外，員工常常會(huì)互相“借用”賬號(hào)，“共享”賬號(hào)，造成身份信息泄露。加上各種弱密碼、社會(huì)上的密碼泄露事件等等，對(duì)于安全人員來(lái)說(shuō)，基本可以默認(rèn)用戶的賬號(hào)密碼肯定會(huì)被泄露。

　　有些公司會(huì)記錄一些網(wǎng)絡(luò)數(shù)據(jù)，審計(jì)分析用戶行為。但這些系統(tǒng)通常是“外掛式”的，很少能夠做到貼合業(yè)務(wù)，及時(shí)發(fā)現(xiàn)并攔截異常行為。

　　案例中的小黑是非常狡猾的，利用合法的身份作掩護(hù)，還會(huì)通過(guò)一些技巧，如慢掃描、無(wú)文件攻擊、切割文件后分批傳走等等方式躲避安全人員的監(jiān)控。所以，小黑的非法行為很難察覺(jué)。

　　3、解決方案：通過(guò)安全框架克服人的不可靠性

　　攻擊的核心是“人”，所以防御的核心必須也是“人”。防御小黑這類攻擊的關(guān)鍵就是通過(guò)建立一套“安全框架”，去克服“人”的不可靠性。

　　零信任就是一種聚合了很多實(shí)用的技術(shù)，針對(duì)“人”做全面防御的安全框架。

　?。?）人的安全意識(shí)比較低，但是零信任可以強(qiáng)制要求人去提高

　　零信任可以收集終端設(shè)備的安全狀態(tài)，并制定限制條件，如果達(dá)不到要求，就不讓訪問(wèn)。

　　比如，為了避免病毒的傳播，“零信任客戶端”可以檢測(cè)用戶電腦上是否裝了殺毒軟件和終端管理軟件。零信任網(wǎng)關(guān)守護(hù)在內(nèi)網(wǎng)入口，只有客戶端檢測(cè)成功，并且上報(bào)給網(wǎng)關(guān)，零信任網(wǎng)關(guān)才會(huì)放行。

　　這樣，不安全的設(shè)備就沒(méi)法接入內(nèi)網(wǎng)，避免了因?yàn)橛脩舭踩庾R(shí)不足而引入風(fēng)險(xiǎn)。（為了防御一些高級(jí)威脅，零信任還可以與EDR產(chǎn)品聯(lián)動(dòng)）

　　為了實(shí)現(xiàn)數(shù)據(jù)防泄密，可以要求客戶端檢測(cè)用戶是否正在使用云桌面，如果沒(méi)有，則不讓該用戶訪問(wèn)一些重要的資源，避免源代碼、客戶名單等敏感信息的泄露。

　　為了避免攻擊者買(mǎi)通內(nèi)鬼或者自己混入辦公室傳播風(fēng)險(xiǎn)，可以要求客戶端檢測(cè)用戶是否設(shè)置了鎖屏密碼，如果沒(méi)有則不讓接入內(nèi)網(wǎng)。

　　為了避免攻擊者遠(yuǎn)程控制用戶設(shè)備，可以要求客戶端檢測(cè)用戶是否關(guān)閉了遠(yuǎn)程服務(wù)、遠(yuǎn)程共享，如果沒(méi)有則不讓接入內(nèi)網(wǎng)。

　?。?）零信任網(wǎng)絡(luò)中，人和資源天然就是隔離的，威脅不會(huì)快速傳播

　　零信任網(wǎng)絡(luò)中，零信任網(wǎng)關(guān)處于整個(gè)內(nèi)網(wǎng)的入口位置，隔離了人和資源。

　　攻擊者即便竊取了賬號(hào)和設(shè)備，也不能直接進(jìn)入內(nèi)網(wǎng)。攻擊者能做的事情非常有限。

　　首先，攻擊者掃不出幾個(gè)端口了。

　　零信任的SPA隱身技術(shù)能攔截掉未授權(quán)的端口掃描。用戶如果沒(méi)有訪問(wèn)權(quán)限的話，那么相應(yīng)的服務(wù)器端口不會(huì)對(duì)其開(kāi)放。攻擊者發(fā)出的端口探測(cè)請(qǐng)求會(huì)被零信任網(wǎng)關(guān)中的防火墻直接丟棄。（具體可以參考我的文章《揭秘零信任里的“隱身”黑科技》）

　　這樣的話，案例中的小黑只能掃到小明有權(quán)訪問(wèn)的服務(wù)器，不能在整個(gè)內(nèi)網(wǎng)大范圍掃描。

　　其次，攻擊者沒(méi)法直連服務(wù)器了。

　　零信任網(wǎng)關(guān)可以限制只做應(yīng)用層的代理和準(zhǔn)入。

　　此時(shí)，小黑會(huì)發(fā)現(xiàn)與他直連的只有零信任網(wǎng)關(guān)，對(duì)于真實(shí)的業(yè)務(wù)服務(wù)器則只能通過(guò)零信任網(wǎng)關(guān)的轉(zhuǎn)發(fā)，進(jìn)行HTTPS協(xié)議的通信。

　　再次，成熟的零信任還會(huì)包括數(shù)據(jù)級(jí)的統(tǒng)一權(quán)限管理。小黑會(huì)發(fā)現(xiàn)web頁(yè)面中也不是所有數(shù)據(jù)都能訪問(wèn)。

　　最后，即便攻擊者入侵了一臺(tái)服務(wù)器，他也沒(méi)法以此為跳板繼續(xù)橫向攻擊。

　　零信任的微隔離技術(shù)可以做服務(wù)器之間的訪問(wèn)控制。攻擊者入侵了一個(gè)服務(wù)器之后，掃描同一網(wǎng)段的其他服務(wù)器，是掃不到的。其他服務(wù)器上的微隔離agent會(huì)攔截掉探測(cè)流量。（具體可以參考我的文章《用微隔離技術(shù)實(shí)現(xiàn)零信任》）

　　（3）密碼會(huì)泄露，但是零信任還會(huì)驗(yàn)證設(shè)備、人臉、行為

　　首先，設(shè)備綁定和多因子認(rèn)證是零信任必備的功能。

　　攻擊者盜號(hào)之后，零信任客戶端會(huì)檢測(cè)設(shè)備是否在可信名單中，用新設(shè)備登錄會(huì)被視為一種可疑事件，觸發(fā)一次多因子認(rèn)證。

　　案例中，小黑沒(méi)有Alpha公司發(fā)給員工的可信設(shè)備，是沒(méi)法直接登錄VPN接入內(nèi)網(wǎng)的。

　　一些特別重要的應(yīng)用，可以要求首次登錄時(shí)必須做一次多因子認(rèn)證，比如人臉識(shí)別之后才能進(jìn)入。

　　有些特別重要的系統(tǒng)甚至可以要求客戶端全程開(kāi)啟人臉識(shí)別，用戶離開(kāi)座位或者有人在后面圍觀就自動(dòng)斷開(kāi)連接。

　　其次，即使身份蒙混過(guò)關(guān)，異常行為也會(huì)讓他露餡。

　　零信任框架包含識(shí)別“異常行為”的能力，并且跟業(yè)務(wù)層結(jié)合的很緊。通過(guò)客戶端和網(wǎng)關(guān)的配合，可以在發(fā)生異常情況時(shí)，觸發(fā)二次認(rèn)證，驗(yàn)證用戶短信或人臉識(shí)別后才允許繼續(xù)通信。

　　比如用戶10分鐘前還在北京，10分鐘后登錄位置突然變成了上海。這種異常的位置變化代表賬號(hào)可能被盜了。

　　這時(shí)，零信任平臺(tái)會(huì)命令客戶端和網(wǎng)關(guān)暫時(shí)中斷通信，提示讓用戶驗(yàn)證一下短信，通過(guò)之后，再恢復(fù)正常通信。

　　案例中，小黑的所有行為都會(huì)被持續(xù)監(jiān)控，很多攻擊行為都會(huì)被視為可疑事件，比如入侵小明的電腦后留下了可疑的進(jìn)程，掃描內(nèi)網(wǎng)時(shí)訪問(wèn)行為具有強(qiáng)烈的規(guī)律性，短時(shí)間內(nèi)大量下載源碼文件的行為等等，都會(huì)觸發(fā)二次認(rèn)證，阻止小黑繼續(xù)干壞事，同時(shí)引起小明的警覺(jué)。

　　4、有零信任之后，案例變成什么樣子

　?。?）釣魚(yú)階段：愛(ài)玩的小明還是會(huì)被釣魚(yú)，下載木馬。但是小明進(jìn)入內(nèi)網(wǎng)前，零信任客戶端會(huì)主動(dòng)檢測(cè)設(shè)備的安全能力是否開(kāi)啟，設(shè)備是否處于安全狀態(tài)，木馬很快會(huì)被發(fā)現(xiàn)和處理。

　?。?）傳播階段：零信任會(huì)通過(guò)隱身和隔離技術(shù)限制風(fēng)險(xiǎn)的傳播，讓小黑探測(cè)不到有價(jià)值的目標(biāo)。零信任還會(huì)持續(xù)檢測(cè)傳播風(fēng)險(xiǎn)的異常行為，觸發(fā)多因子認(rèn)證，封鎖小黑的下一步行動(dòng)。

　　（3）盜號(hào)階段：小黑可以盜取賬號(hào)密碼，但是小黑沒(méi)法通過(guò)設(shè)備認(rèn)證和多因子認(rèn)證，所以盜了也沒(méi)用。

　?。?）竊取階段：小黑在前幾個(gè)階段沒(méi)法突破零信任對(duì)身份認(rèn)證、設(shè)備認(rèn)證、行為檢測(cè)、網(wǎng)絡(luò)授權(quán)等方面的限制，最終還是沒(méi)法竊取到數(shù)據(jù)。

　　5、一句話總結(jié)：零信任到底能干嘛？

　　黑客攻防中，人是最大的漏洞。零信任就是不相信任何人，通過(guò)安全框架彌補(bǔ)人的不可靠性，綜合各類檢測(cè)、認(rèn)證和限制，讓原本來(lái)去自如的攻擊者寸步難行。