大咖谈安全 | 零信任架构2.0的进化：基于身份的自动行为识别

零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始，从2010年开始实践，在2015年左右正式形成了零信任架构1.0版本，并在美创科技的每个数据安全产品中无缝落地。美创科技根据市场需求的变化不断地发展着零信任架构，在经过5年的成熟实践之后，近期美创科技零信任架构1.0即将升级为2.0版本，以更好的满足数据安全和网络安全的诉求。

零信任架构2.0是在零信任架构1.0的四大基本原则和六大实践原则基础上的进化版本，能够更适应“云大物移”等这些不断开放的网络环境。相较于零信任架构1.0版，零信任架构2.0版的变革和创新之处主要体现在以下三点：

1、在不可靠网络中寻求可靠支撑点的决心更加坚决，在承认无边界访问的事实之上重新定义安全边界，并以人、边界、资产构成非安全网络的三个基本支撑点。

2、采用智能化识别模式来判断每一个行为的上下文变化和匹配情况，并在过程中不断评估信任和风险，可以真正实现基于上下文风险的动态访问。

3、充分认知到数据流动已经成为主要的安全场景之一，因此，能够让零信任架构真正覆盖到数据流动场景之中。

本篇主要讲述零信任架构2.0中基本支撑点之一：基于身份的自动行为模式识别。

身份是零信任架构的核心锚点，以人为中心的身份管理可以更好地让身份成为基本支撑点。但即使完全是真实世界中的人，依然可能存在类似双胞胎、易容等识别差错问题，存在着被挟持、被诱惑、情绪失控、疲倦等等各种安全威胁问题。在网络世界和现实世界中所存在的这些识别问题，反映在人的行为问题上，不仅存在，而且会更突出。

当我们认为身份是正确身份的时候，则需要进一步确认以下问题：

( 1 ) 身份是否是高度仿真的？

( 2 ) 身份是否是非盗用的？

( 3 ) 身份是否是非挟持的？

( 4 ) 行为是否符合真实意愿的？

生活中的每个自然人总是有规律地工作、娱乐和社交。因此，人的行为在网络世界中也一样遵循着某种规律在运作。通常情况下不变总是占据着主导，故我们可以认定多数情况下是安全的，而变化则是偶发性的，如此，只需要在变化时再执行二次验证即可，并非每次都需要二次验证才能通过用户身份的验证，这样可以最大程度上降低对用户体验的影响，提升效率。

举个例子，一个高度相似的双胞胎在静止不说话时，绝大部分情况下，即使是身边最亲近的人也无法准确对二人进行区分，但当其说话、有具体行为表现时，则很容易被准确辨认。

此类现象或许可以用前两年较为流行的UEBA这个词来近似表述。当然，这也可以认为是美创零信任架构1.0版中四大基本原则之一的知白守黑原则在身份确认中的一种实现。可以说寻找确定性，是零信任架构的基本思想。人的行为模式具有高度的确定性，因此，我们通过身份链、作用域和行为链三个要素来构造身份行为的确定性支架。

身份链

身份在网络中穿越过程中经过的节点构成身份链，可以分为：发起点、过程点和作用点。发起点是身份进入网络的第一个落地点，发起点确认主要由以人为中心的身份支点来确认，由人、终端、应用、账户四个身份要素构成（注：具体参见《以人为中心的身份管理》）。其作用点是身份发起对资产目标直接访问的位置点和上下文，过程点则是穿越的中间位置节点和上下文。

当身份链发生变化，身份的信任程度降低，风险程度提高。例如，当一个人在从杭州去北京的路上，却突然出现在武汉，这往往和常规路线不符合，因此我们就可以据此判断其身份存在不确定性，并适当给予相应的策略反馈，或阻断或告警等。由此可见，身份链变化的检测可以在大部分外部入侵在真正发起攻击之前被检测到。

作用域

作用域是一个身份常规操作目标区域和资源的集合定义，作用域最常见发生在身份四要素的应用上。我们以word.exe为例子，定义的常规作用域为本地word文档的访问，任何其他资源的访问都被认为作用越界。作用域可以很好的作用在应用安全，防御由于应用程序漏洞和越权导致的非预期访问。当作用领域越界，操纵应用的身份信任程度降低，风险程度提高。

行为链

当身份作用最终访问资产上，在资产上的持续性访问就构成了行为链。行为链和基于资产的自动行为模式识别产生高度交叉。行为链主要由四部分构成：行为集合，基于概率的行为拓扑链，基于正常行为特征的特征库，基于异常行为特征的特征库。

总结一下，基于身份的自动行为模式识别是零信任架构2.0中非常核心的支撑点，是零信任架构确定性支架的重要组成部分。

原文来源：第59号