零信任已成为当前大家热议的话题,但是很多人对于零信任的了解还只停留在概念层面,只知道零信任有哪些能力,却不知零信任是怎么解决问题的。
下面让我们一起来看一个零信任在实战中的案例,了解零信任在用户环境中起到了哪些作用。(案例根据《黑客出更》改编)
1
一次黑客攻击实战
小刘是一名具有十年经验的职业黑客。
一天,一个身穿西服、老板模样的人找到小刘,出价1000万,要求他偷到某公司H软件下一个版本的全部源代码,报酬可谓异常丰厚。
于是小刘开始进行他下面的攻击行动:
▶(1)收集信息:开始攻击之前,小刘对该公司的信息进行了全方位的搜集。
▶(2)钓鱼:为了配合下一步的攻击行动,小刘做了一个假的游戏网站,给公司员工邮箱发送邮件。
▶(3)传播:公司某员工收到邮件后,打开链接玩了一会儿游戏,开始继续工作,又打开了公司的VPN连接。这样一来,小刘没费什么力气就获得了该公司内部服务器的管理员权限。小刘替换了服务器上的一个常用的文字编辑软件,并在软件中植入了窃听木马。
▶(4)盗号:小刘的窃听木马可以收集系统内的密码文件,可以记录用户建立新连接时键盘记录,还可以分析流量,过滤登录时填写的用户ID与密码。木马把所有搜集到的密码都传到了小刘手里进行破解。不到三个小时,小刘就获得了50多个密码,其中还包括该公司研发副总裁和产品总监的账号密码。
▶(5)窃取:利用这些刚破解的密码,小刘以“合法身份”登上了该公司的VPN,进入了公司的内部网络,并开始慢慢地扫描H软件源代码的藏身之处。
2
问题分析:最大的漏洞是人的漏洞
在以上案例中,小刘使用的是一个非常典型的攻击套路,这种套路的特点是以“人”为攻击的中心,先寻找弱点入侵设备或窃取身份,随后以入侵点为跳板,蔓延到整个网络,最后披着合法的身份干坏事。
在小刘的攻击之下,某公司暴露了三个值得注意的问题:
(1)员工安全意识不足,导致设备的防护措施失效
因为人的安全意识参差不齐,容易做出各种违规操作。现实中很多企业可能已经安装了安全软件,但员工有时候为了自己方便,会关掉这些杀毒、终端管理软件。这时,员工就很容易中招。
(2)内网权限疏于管理,威胁进来就会快速传播
一般企业网络会对外部彻底隔离,但是对已经接入内网的人限制很少。这就给攻击者提供了极大的便利。
(3)身份泄露后,黑客以“合法身份”窃取数据,难以拦截
除了黑客直接盗号之外,员工常常会互相“借用”账号,“共享”账号,造成身份信息泄露。加上各种弱密码、社会上的密码泄露事件等等,对于安全人员来说,基本可以默认用户的账号密码肯定会被泄露。
3
零信任在案例中能起到哪些作用
01 钓鱼阶段
爱玩的公司员工还是会被钓鱼,下载木马。但是公司员工进入内网前,零信任客户端会主动检测设备的安全能力是否开启,设备是否处于安全状态,木马很快会被发现和处理。
02 传播阶段
零信任会通过隐身和隔离技术限制风险的传播,让小刘探测不到有价值的目标。零信任还会持续检测传播风险的异常行为,触发多因子认证,封锁小刘的下一步行动。
03 盗号阶段
小刘可以盗取账号密码,但是小刘没办法通过设备认证和多因子认证,所以即便盗来了密码也没用。
04 窃取阶段
小刘在前几个阶段无法突破零信任对身份认证、设备认证、行为检测、网络授权等方面的限制,最终还是没办法窃取到数据。
4
零信任的作用
其实,零信任本身可控制对企业资源的访问权限,基于终端安全、身份安全、应用安全、链路安全等核心能力,对终端访问过程进行持续的权限控制和安全保护,确保对企业资源的可信访问,助力企业降低内网办公、远程办公、云上办公等不同业务场景的风险,打造员工无论位于何处 (Anywhere)、何时 (Anytime)、使用何设备 (Any device) 都可安全地访问授权资源,以处理任何业务(Any work)的新型“4A 办公”方式。
原文始发于微信公众号(知道创宇):从实战案例出发,分析零信任在企业安全防护中的作用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论