時至今日，零信任已經(jīng)不再冷門。但是大部分人對于零信任的了解還停留在概念層面，知道零信任有哪些能力，但不知道零信任到底怎么解決實(shí)際問題的。

　　其實(shí)，零信任本身是非常落地的，著名的零信任架構(gòu)BeyondCorp就是谷歌公司根據(jù)自身的攻防實(shí)踐總結(jié)出來的。谷歌內(nèi)部一直沿用至今，效果顯著。

　　下面舉一個黑客攻擊的實(shí)戰(zhàn)案例，看看企業(yè)網(wǎng)絡(luò)存在哪些問題。然后再看看面對同樣的攻擊，零信任能起什么作用。（案例根據(jù)《黑客出更》改編）

　　1、一次黑客攻擊實(shí)戰(zhàn)

　?。?）背景

　　Alpha公司（化名）是國際知名的系統(tǒng)軟件公司。Hammer系統(tǒng)是公司的核心產(chǎn)品，產(chǎn)品質(zhì)量行業(yè)第一。但是Hammer系統(tǒng)在給公司帶來巨額收入的同時，也引起了很多同行的覬覦……

　　小黑是一名“客齡”三年的職業(yè)黑客。

　　某天，一個身穿西服老板模樣的人找到小黑，出價500萬，要偷到Hammer軟件下一個版本的全部源代碼。

　　商業(yè)競爭的事情，小黑也不是很明白，反正回報(bào)異常豐厚，小黑決定接受這個合約。

　?。?）收集信息

　　開始攻擊之前，小黑對Alpha公司的信息進(jìn)行了全方位的搜集。

　　小黑用谷歌搜到了很多Alpha公司的員工郵箱。小黑查看了所有郵箱的前綴，很快就猜出了Alpha公司郵箱的命名規(guī)則——姓名的全拼。

　　在網(wǎng)上搜索員工信息時，小黑還發(fā)現(xiàn)了不少Alpha公司大牛分享的技術(shù)帖，里面就包含很多Alpha公司的網(wǎng)絡(luò)情況。小黑還意外地在一個合作公司的網(wǎng)站上找到了Alpha公司部分銷售機(jī)構(gòu)的通訊錄。

　　在收集了大約200個公司的郵箱地址后，小黑覺得信息搜集得差不多了。

　?。?）釣魚

　　為了配合下一步的攻擊行動，小黑做了一個假的游戲網(wǎng)站。

　　小黑從之前搜集的郵箱中選出10個（控制數(shù)量避免垃圾過濾），發(fā)送了一封釣魚郵件——免費(fèi)試玩最新游戲。大致內(nèi)容是我公司正在測試一款新的游戲，需要高手的測試，你是游戲高手嗎？來試試！郵件中有個游戲的下載鏈接。當(dāng)然，游戲文件是帶木馬的。

　　小明是個年輕的碼農(nóng)，除了寫代碼，就是玩游戲。一天早晨，小明瀏覽公司郵件時，發(fā)現(xiàn)了免費(fèi)試玩游戲的郵件，“酷??！”小明贊嘆著，內(nèi)心的沖動讓他決定要試一試。

　　小明知道不能讓公司抓住自己通過公司網(wǎng)絡(luò)下載游戲，所以，他先關(guān)閉了公司的VPN連接，然后點(diǎn)擊了郵件中的鏈接下載游戲。

　　下載后小明進(jìn)行了病毒掃描，沒問題后才開始游戲。游戲是個“綠色”軟件，無需安裝，小明感覺很不錯，玩得很過癮，還寫了一個郵件，給“開發(fā)商”提了些建議。

　　當(dāng)然他沒有注意到，游戲開始的同時，木馬后門程序已經(jīng)開始工作。（小黑深知Alpha公司終端管控軟件的厲害，木馬沒有在本地留痕跡，而是注入到了進(jìn)程中）

　?。?）傳播

　　玩了一會兒游戲，小明開始繼續(xù)工作，所以又打開了與公司的VPN連接。

　　此時小明機(jī)器中的木馬進(jìn)程開始通過VPN鏈路掃描整個Alpha公司的網(wǎng)絡(luò)。不一會就掃描到了一個文件共享服務(wù)器，上面有很多員工常用的軟件，也包括VPN客戶端軟件。

　　這個服務(wù)器的安全管理很差，小黑沒費(fèi)什么力氣就獲得了管理員權(quán)限。

　　小黑替換了服務(wù)器上的一個常用的文字編輯軟件，并在軟件中植入了竊聽木馬。

　　公司的其他員工下載使用這個軟件時，木馬先復(fù)制自己，再正常運(yùn)行，所以用戶也沒有感覺到什么異常，很快，小黑的竊聽木馬在Alpha公司內(nèi)部四處傳播。

　?。?）盜號

　　小黑的竊聽木馬可以收集系統(tǒng)內(nèi)的密碼文件，可以記錄用戶建立新連接時鍵盤記錄，還可以分析流量過濾登錄時填寫的用戶ID與密碼。

　　木馬把所有搜集到的密碼都傳到了小黑手里進(jìn)行破解。不到三個小時，小黑就獲得了50多個密碼，其中還包括研發(fā)副總裁和產(chǎn)品總監(jiān)的賬號密碼。

　?。?）竊取

　　利用這些剛破解的密碼，小黑以“合法身份”登上Alpha公司的VPN，進(jìn)入了Alpha公司的內(nèi)部網(wǎng)絡(luò)。

　　小黑開始慢慢地掃描Hammer軟件源代碼的藏身之處。（減少掃描頻率是為了避免被發(fā)現(xiàn)）

　　為了不讓安全人員的注意到自己的掃描行為，小黑還對Alpha公司的外部網(wǎng)站進(jìn)行了間歇性的DDoS攻擊，給自己打掩護(hù)。

　　在定位了Hammer源代碼的位置后，小黑利用此前盜取的賬號，很快取得了代碼倉庫的下載權(quán)限。

　　“寶藏”到手了，小黑高興得叫了出來。當(dāng)然，工作需要小心地、一步一步地進(jìn)行…沒有幾天，小黑通過幾臺肉雞把全部代碼分割打包逐步下載了到自己的系統(tǒng)中。

　?。?）收尾

　　取走源碼之后，小黑沒忘記清理自己的入侵痕跡，下指令讓木馬自我毀滅，并利用it運(yùn)維權(quán)限刪除了日志。

　　成功的小黑如期“交貨”，看著驚訝又欽佩的老板，愜意地點(diǎn)著厚厚的鈔票……

　　2、問題分析：最大的漏洞是人的漏洞

　　上面例子中小黑用的是一個非常典型的攻擊套路，這種套路的特點(diǎn)是以“人”為攻擊的中心，先尋找弱點(diǎn)入侵設(shè)備或竊取身份，隨后以入侵點(diǎn)為跳板，蔓延到整個網(wǎng)絡(luò)，最后披著合法的身份干壞事。

　　在小黑的攻擊之下，Alpha公司暴露了三個值得注意的問題：

　?。?）員工安全意識不足，導(dǎo)致設(shè)備的防護(hù)措施失效

　　因?yàn)槿说陌踩庾R參差不齊，容易做出各種違規(guī)操作?，F(xiàn)實(shí)中很多企業(yè)可能已經(jīng)上了安全軟件，但員工有時候?yàn)榱俗约悍奖?，會關(guān)掉這些殺毒、終端管理軟件。這時，員工就很容易中招。

　　案例中，小黑通過釣魚，很容易就讓小明中招，入侵了小明的設(shè)備。

　　再比如，有人的電腦經(jīng)常不鎖屏。之前碰到過一個案例是攻擊方從地下車庫混進(jìn)了公司大廈，跟著其他員工混過了門禁。在辦公區(qū)看到?jīng)]鎖屏的電腦，就插上帶毒的U盤，直接植入木馬。

　?。?）內(nèi)網(wǎng)權(quán)限疏于管理，威脅進(jìn)來就會快速傳播

　　一般企業(yè)網(wǎng)絡(luò)會對外部徹底隔離，但是對已經(jīng)接入內(nèi)網(wǎng)的人限制很少。這就給攻擊者提供了極大的便利。

　　案例中，小黑入侵小明的設(shè)備之后，可以隨意掃描內(nèi)網(wǎng)，并且很快就找到了有漏洞的系統(tǒng)。

　　系統(tǒng)漏洞沒法避免，但是權(quán)限過度的問題可以避免。

　　小明可以使用文件共享服務(wù)，但是管理端口應(yīng)該完全不對小明暴露才對。對小明暴露，就相當(dāng)于對小黑暴露了。

　?。?）身份泄露后，黑客以“合法身份”竊取數(shù)據(jù)，難以攔截

　　除了黑客直接盜號之外，員工常常會互相“借用”賬號，“共享”賬號，造成身份信息泄露。加上各種弱密碼、社會上的密碼泄露事件等等，對于安全人員來說，基本可以默認(rèn)用戶的賬號密碼肯定會被泄露。

　　有些公司會記錄一些網(wǎng)絡(luò)數(shù)據(jù)，審計(jì)分析用戶行為。但這些系統(tǒng)通常是“外掛式”的，很少能夠做到貼合業(yè)務(wù)，及時發(fā)現(xiàn)并攔截異常行為。

　　案例中的小黑是非常狡猾的，利用合法的身份作掩護(hù)，還會通過一些技巧，如慢掃描、無文件攻擊、切割文件后分批傳走等等方式躲避安全人員的監(jiān)控。所以，小黑的非法行為很難察覺。

　　3、解決方案：通過安全框架克服人的不可靠性

　　攻擊的核心是“人”，所以防御的核心必須也是“人”。防御小黑這類攻擊的關(guān)鍵就是通過建立一套“安全框架”，去克服“人”的不可靠性。

　　零信任就是一種聚合了很多實(shí)用的技術(shù)，針對“人”做全面防御的安全框架。

　　（1）人的安全意識比較低，但是零信任可以強(qiáng)制要求人去提高

　　零信任可以收集終端設(shè)備的安全狀態(tài)，并制定限制條件，如果達(dá)不到要求，就不讓訪問。

　　比如，為了避免病毒的傳播，“零信任客戶端”可以檢測用戶電腦上是否裝了殺毒軟件和終端管理軟件。零信任網(wǎng)關(guān)守護(hù)在內(nèi)網(wǎng)入口，只有客戶端檢測成功，并且上報(bào)給網(wǎng)關(guān)，零信任網(wǎng)關(guān)才會放行。

　　這樣，不安全的設(shè)備就沒法接入內(nèi)網(wǎng)，避免了因?yàn)橛脩舭踩庾R不足而引入風(fēng)險。（為了防御一些高級威脅，零信任還可以與EDR產(chǎn)品聯(lián)動）

　　為了實(shí)現(xiàn)數(shù)據(jù)防泄密，可以要求客戶端檢測用戶是否正在使用云桌面，如果沒有，則不讓該用戶訪問一些重要的資源，避免源代碼、客戶名單等敏感信息的泄露。

　　為了避免攻擊者買通內(nèi)鬼或者自己混入辦公室傳播風(fēng)險，可以要求客戶端檢測用戶是否設(shè)置了鎖屏密碼，如果沒有則不讓接入內(nèi)網(wǎng)。

　　為了避免攻擊者遠(yuǎn)程控制用戶設(shè)備，可以要求客戶端檢測用戶是否關(guān)閉了遠(yuǎn)程服務(wù)、遠(yuǎn)程共享，如果沒有則不讓接入內(nèi)網(wǎng)。

　?。?）零信任網(wǎng)絡(luò)中，人和資源天然就是隔離的，威脅不會快速傳播

　　零信任網(wǎng)絡(luò)中，零信任網(wǎng)關(guān)處于整個內(nèi)網(wǎng)的入口位置，隔離了人和資源。

　　攻擊者即便竊取了賬號和設(shè)備，也不能直接進(jìn)入內(nèi)網(wǎng)。攻擊者能做的事情非常有限。

　　首先，攻擊者掃不出幾個端口了。

　　零信任的SPA隱身技術(shù)能攔截掉未授權(quán)的端口掃描。用戶如果沒有訪問權(quán)限的話，那么相應(yīng)的服務(wù)器端口不會對其開放。攻擊者發(fā)出的端口探測請求會被零信任網(wǎng)關(guān)中的防火墻直接丟棄。（具體可以參考我的文章《揭秘零信任里的“隱身”黑科技》）

　　這樣的話，案例中的小黑只能掃到小明有權(quán)訪問的服務(wù)器，不能在整個內(nèi)網(wǎng)大范圍掃描。

　　其次，攻擊者沒法直連服務(wù)器了。

　　零信任網(wǎng)關(guān)可以限制只做應(yīng)用層的代理和準(zhǔn)入。

　　此時，小黑會發(fā)現(xiàn)與他直連的只有零信任網(wǎng)關(guān)，對于真實(shí)的業(yè)務(wù)服務(wù)器則只能通過零信任網(wǎng)關(guān)的轉(zhuǎn)發(fā)，進(jìn)行HTTPS協(xié)議的通信。

　　再次，成熟的零信任還會包括數(shù)據(jù)級的統(tǒng)一權(quán)限管理。小黑會發(fā)現(xiàn)web頁面中也不是所有數(shù)據(jù)都能訪問。

　　最后，即便攻擊者入侵了一臺服務(wù)器，他也沒法以此為跳板繼續(xù)橫向攻擊。

　　零信任的微隔離技術(shù)可以做服務(wù)器之間的訪問控制。攻擊者入侵了一個服務(wù)器之后，掃描同一網(wǎng)段的其他服務(wù)器，是掃不到的。其他服務(wù)器上的微隔離agent會攔截掉探測流量。（具體可以參考我的文章《用微隔離技術(shù)實(shí)現(xiàn)零信任》）

　?。?）密碼會泄露，但是零信任還會驗(yàn)證設(shè)備、人臉、行為

　　首先，設(shè)備綁定和多因子認(rèn)證是零信任必備的功能。

　　攻擊者盜號之后，零信任客戶端會檢測設(shè)備是否在可信名單中，用新設(shè)備登錄會被視為一種可疑事件，觸發(fā)一次多因子認(rèn)證。

　　案例中，小黑沒有Alpha公司發(fā)給員工的可信設(shè)備，是沒法直接登錄VPN接入內(nèi)網(wǎng)的。

　　一些特別重要的應(yīng)用，可以要求首次登錄時必須做一次多因子認(rèn)證，比如人臉識別之后才能進(jìn)入。

　　有些特別重要的系統(tǒng)甚至可以要求客戶端全程開啟人臉識別，用戶離開座位或者有人在后面圍觀就自動斷開連接。

　　其次，即使身份蒙混過關(guān)，異常行為也會讓他露餡。

　　零信任框架包含識別“異常行為”的能力，并且跟業(yè)務(wù)層結(jié)合的很緊。通過客戶端和網(wǎng)關(guān)的配合，可以在發(fā)生異常情況時，觸發(fā)二次認(rèn)證，驗(yàn)證用戶短信或人臉識別后才允許繼續(xù)通信。

　　比如用戶10分鐘前還在北京，10分鐘后登錄位置突然變成了上海。這種異常的位置變化代表賬號可能被盜了。

　　這時，零信任平臺會命令客戶端和網(wǎng)關(guān)暫時中斷通信，提示讓用戶驗(yàn)證一下短信，通過之后，再恢復(fù)正常通信。

　　案例中，小黑的所有行為都會被持續(xù)監(jiān)控，很多攻擊行為都會被視為可疑事件，比如入侵小明的電腦后留下了可疑的進(jìn)程，掃描內(nèi)網(wǎng)時訪問行為具有強(qiáng)烈的規(guī)律性，短時間內(nèi)大量下載源碼文件的行為等等，都會觸發(fā)二次認(rèn)證，阻止小黑繼續(xù)干壞事，同時引起小明的警覺。

　　4、有零信任之后，案例變成什么樣子

　　（1）釣魚階段：愛玩的小明還是會被釣魚，下載木馬。但是小明進(jìn)入內(nèi)網(wǎng)前，零信任客戶端會主動檢測設(shè)備的安全能力是否開啟，設(shè)備是否處于安全狀態(tài)，木馬很快會被發(fā)現(xiàn)和處理。

　?。?）傳播階段：零信任會通過隱身和隔離技術(shù)限制風(fēng)險的傳播，讓小黑探測不到有價值的目標(biāo)。零信任還會持續(xù)檢測傳播風(fēng)險的異常行為，觸發(fā)多因子認(rèn)證，封鎖小黑的下一步行動。

　?。?）盜號階段：小黑可以盜取賬號密碼，但是小黑沒法通過設(shè)備認(rèn)證和多因子認(rèn)證，所以盜了也沒用。

　　（4）竊取階段：小黑在前幾個階段沒法突破零信任對身份認(rèn)證、設(shè)備認(rèn)證、行為檢測、網(wǎng)絡(luò)授權(quán)等方面的限制，最終還是沒法竊取到數(shù)據(jù)。

　　5、一句話總結(jié)：零信任到底能干嘛？

　　黑客攻防中，人是最大的漏洞。零信任就是不相信任何人，通過安全框架彌補(bǔ)人的不可靠性，綜合各類檢測、認(rèn)證和限制，讓原本來去自如的攻擊者寸步難行。