=Start=
缘由:
零信任(或零信任网络、零信任模型等)这个概念最早是由John Kindervag于2010年提出的,他当时是Forrester的分析师。John Kindervag非常敏锐地发现传统的基于边界的网络安全架构存在缺陷,通常被认为“可信”的内部网络充满威胁,“信任”被过度滥用,并指出“信任是安全的致命弱点”。因此,他创造出了零信任(Zero Trust)这个概念。“从来不信任,始终在校验”(Never Trust,Always Verify)是零信任的核心思想。
谷歌BeyondCorp项目做了全世界第一个落地,谷歌BeyondCorp方案的目的就是为了让员工在不安全的网络下安全地访问公司。之前在blog中有简单记录过几篇相关的文章「Google的BeyondCorp安全模型学习」和「[translate]Google基础设施安全设计概述」,有兴趣的话可以简单看看,后续有机会再多学习记录一下相关的文章。
这里就着腾讯给出的文章学习一下腾讯在无边界访问控制体系建设上的一些方法和思路。
正文:
参考解答:
“零信任”概念是在2010年由Forrester提出,谷歌BeyondCorp项目做了全世界第一个落地,谷歌BeyondCorp方案的目的就是为了让员工在不安全的网络下安全地访问公司。作为腾讯,很多年前已经关注到了这块IT基础建设和基础架构方面的变化。
我们知道无论腾讯也好,互联网公司也好,非互联网公司也好,之前企业网络架构通常是重边界的架构,会把各种安全防御措施、网络隔离措施、安全设备堆在边界上,这样做通常有两种结果:一是如果遇到比较严重APT攻击,一旦突破边界,内部没有足够的安全检测机制和有效防御机制;二是如果内部业务比较复杂,整个IT在内部管理策略和管理成本是非常高的。基于此安全和效率的问题,我们看到了零信任网络架构的价值。
无边界访问控制体系概述
「设备可信、用户可信、应用可信」,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。
无边界访问控制场景
终端安全管理
硬件——硬件资产信息收集、合规准入、日常硬件资产盘点
系统——统一病毒/木马防护、漏洞补丁集中管理分发
软件——配置/服务加固、存储外设开关、禁用高危端口/服务、屏蔽非白名单设备外联
用户——PC端通过入域且通过域帐号登录、移动端使用多因素认证
数据——企业云盘、DLP、可信设备、数据全周期追溯
行为——重点业务/操作日志埋点记录、多日志关联、日常行为基线建设
无缝网络接入
终端&网关「联动」,使用「短连接」方式,「数据包」级别加密(可以做到细粒度控制的同时,提升使用体验)
多维度访问控制(设备识别、身份验证、进程审核)
基于身份控制——销售人员访问销售系统、开发人员访问代码系统
基于目标控制——运维系统只被指定应用访问、内网OA只被特定浏览器访问
基于状态控制——恶意进程(非白名单进程)无法访问后台系统、含高危漏洞的浏览器无法访问后台系统
==
总体看下来其实就是:
0、基于「白名单」的访问控制思路;
1、硬件、系统、软件的「日常资产盘点」;
2、用户认证(不论是PC端的域认证,还是移动端的多因素认证);
3、数据治理(全生命周期追溯);
4、日志埋点、多日志源关联、日常行为基线建设;
思路很清晰、简洁,但是难点在于实现和落地(尤其对于大型/复杂业务类型的互联网公司而言),需要很强的IT基础和架构建设、落地能力,以及必不可少的公司高层支持。
参考链接:
- CSS干货直击:腾讯无边界访问控制体系建设
https://mp.weixin.qq.com/s/V-42z3H5-oLIvHQ00oV87g - 零信任网络:在不可信网络中构建安全系统
https://www.epubit.com/bookDetails?id=UB6c7827767be2a - 零信任网络 在不可信网络中构建安全系统
http://product.dangdang.com/27903172.html - 零信任网络的一个重要功能:信任管理
https://blog.csdn.net/epubit17/article/details/96549714 - 我们能相信互联网流量没有被监听吗?来看看零信任网络
https://zhuanlan.zhihu.com/p/73975792 - 零信任:从BeyondCorp说起
https://www.secrss.com/articles/3271
=END=
《 “学习腾讯无边界访问控制体系建设” 》 有 16 条评论
Kubernetes 下零信任安全架构分析
https://mp.weixin.qq.com/s/WybnFRHiGy1joLFyQyba0g
`
零信任安全最早由著名研究机构 Forrester 的首席分析师约翰.金德维格在 2010 年提出。零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议。
其核心思想是,默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如 IP 地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。
目前落地零信任概念包括 Google BeyondCorp、Google ALTS、Azure Zero Trust Framework 等,云上零信任体系,目前还是一个新兴的技术趋势方向,同样的零信任模型也同样适用于 Kubernetes,本文重点讲解一下 Kubernetes 下零信任安全架构的技术分析。
`
SDP下一代的企业访问控制方法
http://blog.nsfocus.net/generation-enterprise-access-control/
RSAC热点主题之二:“软件定义边界”在企业数据安全领域引发的思考
https://mp.weixin.qq.com/s/eoH9BYJrOTrZRzeed4lcng
https://weibo.com/1134179710/GuX6GF8bF?type=comment
`
基于浏览器做sdp真的挺合适的,也可以理解成一个办公客户端。国内这块的现状比较差,安全市场应该不小。如果红芯做不下去了,360是最有机会做的,毕竟有现成浏览器。谁如果创业做类似产品,我愿意投天使轮,如果一千块钱你不嫌少的话
`
SDP(软件定义边界)让SDN更安全,你的对面可不能是一条狗!
https://www.sdnlab.com/23135.html
参考
1. https://www.darkreading.com/why-security-needs-a-software-defined-perimeter/a/d-id/1332666
2. https://www.sohu.com/a/253812526_490113
3. http://www.waverleylabs.com/software-defined-network-sdn-or-software-defined-perimeter-sdp-whats-the-difference/
4. https://mp.weixin.qq.com/s/eoH9BYJrOTrZRzeed4lcng
5. https://sdn.ieee.org/newsletter/march-2017/software-defined-perimeters-an-architectural-view-of-sdp
6. https://www.csoonline.com/article/3053561/learning-about-sdp-via-google-beyondcorp.html
7. https://www.eweek.com/security/cryptzone-appgate-update-secures-the-software-defined-perimeter
8. https://blackcloud.blog/tag/cisco-aci/
9. https://www.zscaler.com/products/zscaler-private-access
APT 分析及 TTPs 提取
https://projectsharp.org/2020/02/23/APT%20%E5%88%86%E6%9E%90%E5%8F%8A%20TTPs%20%E6%8F%90%E5%8F%96/
`
# Abstract
本文对 APT 分析及 TTPs 提取进行讨论,总结出一套适用于安全分析、安全研究及企业应急响应人员的分析方法。
文章由六部分组成,引用了杀伤链模型,钻石分析模型,ATT&CK 等内容,介绍了攻击事件、APT 攻击的一些概念,简单概括了 “通过攻击者能力切入” 和 “通过基础设施切入” 的两种 APT 事件分析的方法。着重探讨了 TTP 的提取、使用、应用、落地及归因判断。提出了 “特征矩阵” 和 “事件链图”,设计了描述模型,同时进行了简单的可行性论证。
内容适用于具有一定经验的安全分析师,病毒分析师,威胁情报分析师等安全人员。
# 0x00 攻击事件
什么是攻击事件?
个人理解,攻击事件是在未授权情况下,对计算机系统或计算机资源进行访问、使用、更改、破坏的活动。根据事件烈度和影响范围,可以分为以下几类:
常规攻击
Botnet
恶意软件
APT
# 0x00-01 攻击事件甄别
# 0x00-02 攻击事件的核心元素
# 0x01 APT
# 0x01-00 APT 攻击的特点
# 0x01-01 APT 入侵的方式
# 0x02 APT 事件分析
# 0x02-00 APT 两种分析方法
# 0x02-01 IoC 层级
# 0x03 TTPs 提取
# 0x03-00 TTP 提取的难点
# 0x03-01 特征矩阵
# 0x03-02 事件链图
### KILL CHAIN
### 攻击总是线性的
### APT 分析单位
0x04 TTPs 的使用及归因判断
0x05 TTPs 落地的思考
0x05-01 实体抽取
0x05-02 关系描述
0x05-03 完整的描述模型
`
谷歌、微软也开始远程办公了,工程师发文吐槽:VPN 都是垃圾
https://mp.weixin.qq.com/s/S-7eUCP27sJ5QeWNIWnalQ
https://mattslifebytes.com/2020/02/29/remote-access-to-production-infrastructure-death-to-the-vpn/
谷歌BeyondProd:一种新的云原生安全方法(附原文下载)
https://mp.weixin.qq.com/s/l2O-YzCkvnQo2x_tl8TV4A
`
2014年,谷歌开始对外介绍BeyondCorp,这是一种用于用户访问企业网络的网络安全模型。BeyondCorp基于零信任架构原则,重新定义了企业网络访问。在此同时,谷歌同样还将零信任架构应用于其如何连接机器,工作负载与服务之中。这个项目就是BeyondProd。
在BeyondProd中,谷歌设计并实践了以下安全原则:
· 在边缘保护网络;
· 服务间默认不互信;
· 在可信机器上运行来源已知的代码;
· 跨服务强制执行一致策略的关卡;
· 发布流程更改实现简单化、自动化及标准化;
· 工作负载之间进行隔离。
简言之,谷歌通过多种控件和模块,实现容器及在其中运行的微服务能够安全部署,彼此间安全通信,彼此相邻安全运行,而不会给单个微服务开发人员增加基础架构的安全性和实现细节的负担。
`
零信任架构远程办公实战
https://mp.weixin.qq.com/s/Kgm0wuPeQHX7fJoUondz4Q
`
# 实践效果与问题
自方案上线后已经有1个多月了,整体上经受住了考验,因为同时上线了两套方案,对两类方案的优劣势也有了更多体会。
(1)VPN方案的优缺点
VPN优点:
· 可以满足所有远程办公需求
· 使用简单
VPN缺点:
· 处理性能局限:VPN商业设备处理有局限,例如可支持的加密带宽不能超过xxxM,形成瓶颈;
· 难以快速扩容:因为涉及设备采购,上下线网络设备兼容性,紧急情况下扩容难度较大;
· 网络质量要求较高:VPN模式如果网络质量不佳,很容易引起VPN中断,导致所有的会话全部中断,很影响用户体验;
· 安全风险不易控制:VPN模式决定了安全边界在VPN网关上,对于客户端发生的安全事件是无感也无法控制。
(2)零信任架构的优缺点
零信任架构优点:
· 处理能力强:网关主要处理的是HTTP协议,用普通服务器即可,可以有很好的处理能力;
· 可快速扩容:使用LVS等负载均衡方案,可以快速横向或纵向扩容;
· 网络质量要求低:因为不是建立隧道,而是基于HTTPS的请求,网络质量不高的时候不会引起所有会话全部中断;
· 安全控制力强:零信任架构中安全的边界在用户终端上,有更强的控制和感知能力;
· 使用“简单”:用户认证授权完后,对用户的打扰较少,但这个依赖agent设计能力,设计不好会带来更大的用户使用成本。
零信任架构缺点:
· 一些特殊的远程办公需求难以满足,或是要花费很大成本来实现,例如不支持代理的C/S应用,一些特定的协议访问等
(3)其他的问题
这是第一次安全部门来主导大规模远程办公的支持,有很多意想不到的事情,例如:
· 20%不看帮助的用户,占用了80%的人力支出;
· 直面用户,安全工程师要承担很多低价值的热线工作;
· 墨菲定律一定会发生;
· 解决一个问题的同时,也会带来新的问题。
`
建立零信任体系,组织须将IAM纳入IT规划
https://mp.weixin.qq.com/s/ydo962zFg8npvmi0HHuieQ
`
近日,Gartner发布了《2020年规划指南》(以下简称“规划指南”),为IT负责人、技术专家提供了数字化转型的关键技术趋势分析,同时为组织开展整体IT规划和技术选型提供了重要依据。在“规划指南”的《身份和访问管理》部分中提到,IAM对于组织信息安全管理和数字化转型至关重要,IT必须推进IAM(身份和访问控制管理)计划,同时关注身份治理、消费者隐私保护要求以及广泛应用混合/多云环境的趋势。
# IAM是零信任的核心技术支撑
“零信任”是一种安全理念和策略,其内涵可以总结为ABCDE:Assume nothing没有任何假设,Believe nobody不相信任何人,Check everything all the time始终检查所有环节,Defeat risks消除威胁,Expect and prepare for the worst并为最坏的情况做好准备。“始终检查所有内容”指的不仅是网络基础架构、数据、设备、系统、应用程序和服务,更为重要的是,须借助IAM技术来建立以人的身份为中心的安全框架,实现对所有人、接入设备的数字身份真实性的验证以及对访问行为的动态授权和控制。
零信任的核心部分是以动态IAM为基础,以数字身份为中心的安全架构,同时根据访问的环境信息和风险评估指数,采用动态访问控制机制来防止未授权的访问行为。数字时代,随着网络与安全边界的扩大,静态IAM无法应对新型安全挑战,仅用密码认证、静态MFA或无密码的实时生物特征验证都难以确保用户始终处于安全环境,因为将可能被黑客伪造,从而造成更多复杂的风险问题。
# 智能、安全、连接
IAM是一套为一切连接提供安全保护的身份治理体系,其以“人”为核心,连接各种“应用”,是打通信息孤岛、实现智能连接和管理不同类型应用系统的“平台级系统”。
随着业务场景的不断变化和技术更新迭代,IAM技术经历了由点到面,由单一功能模块到全面数字身份治理体系,从SSO->PKI->4A->IAM(包含IGA、IDaaS、CIAM等)的发展历程,业务范围从内网到外网,从线下到云端、移动端、IoT等领域;管理对象从基本的B2E针对内部员工,到B2B面对经销商供应商等合作伙伴,到B2C面向客户的CIAM(Consumer IAM);管理范围从本地身份管理走向云端身份管理IDaaS(Identity-As-A-Service);为满足日益严苛的合规监管以及对法律法律(网络安全法、等保2.0、SOX、GDPR)的遵从,IAM延伸了身份治理IGA(Identity Governance and Administration)的内容,包含权限合规治理、职责分离、身份数据的智能分析和审计;为提升智能识别用户异常访问行为的能力,IAM从基于静态规则和策略的安全管理模式走向动态的自适应风控体系,实时感知用户访问过程中的安全环境变化,动态调整安全控制策略,并持续评估应用、用户、数据流的安全性和风险状态,为数字身份安全提供智能化防御。
因此,全面的身份安全治理体系应包含数字身份自动化管理、身份数据同步、统一认证及访问控制策略管理、授权管理、自适应智能融合认证、访问行为审计、权限互斥审阅、合规管理以及确保实时预警和有效防范的风险管理机制。建立全面的身份治理体系,是组织实现安全、效率与合规的关键环节。
`
零信任架构实战系列:干掉密码,无密码化方案落地
https://mp.weixin.qq.com/s/xs-xybNs6Ha6_-Qr_EE-qw
`
密码/口令一直是企业安全中绕不开的一个话题,无数英雄在此折腰,相信不少人都有欲除之而后快的念头,那么我们是否可以干掉密码?又会有哪些挑战?本文既是对干掉密码的实践,以及如何同零信任结合。
一、密码是良药还是毒药?
(1)密码/口令起源
(2)密码的“危害”
二、去密码化方案分析
(1)密码在企业中的应用
(2)密码挑战
(3)替代密码方案的选择
三、去密码化方案设计
(1)需求实现
(2)统一认证系统架构
(3)认证代理实现
(4)用户身份绑定
四、与零信任架构结合
(1)实施挑战
(2)零信任架构整合
这个方案是零信任架构中一个附带成果,个人觉得对企业安全来说,能解决密码安全问题可以给安全带来很大提升,而方案从设计、开发到实施落地,实际用了很长时间,团队也在背后付出了巨大努力,中间一个比较有价值的体会是,尽量避免违反人性去推动安全。
`
浅谈Forrester零信任架构评估的7个技术维度
https://mp.weixin.qq.com/s/IZ3BGi3rPwcBgsTlc_ILLg
`
零信任是由Forrester Research的分析师John Kindervag在2009开发,并在2010年正式提出的。在过去的10年间,随着云计算、移动互联等技术发展以及全球范围内部威胁的不断涌现,零信任越来越为产业界所接受。
Google从2011年开始探索和实践零信任,并在2014年发表了BeyondCorp系列研究论文,成为零信任大规模实施的典范。
Gartner在2017年发布的其自适应安全3.0的版本CARTA框架,持续自适应的风险与信任评估的思想与零信任内涵和逻辑高度一致,进一步推进了产业界对零信任投入和研究。
NIST在2019和2020也连续发表了SP800-207零信任架构草案第一和第二版本,探讨零信任体系结构(ZTA)网络策略的核心逻辑组件。
从2018开始,Forrester 开始发布零信任扩展生态系统ZTX研究报告,探索零信任架构在企业中的应用,系统性对零信任厂商的能力进行评估。
Forrester对厂商的评估包括多个维度的一系列的指标,例如收入,厂商的零信任的战略和对零信任的宣传,以及API集成能力等。本文主要关注的是Forrester在零信任评估中所涉及的7个主要技术维度,即:
* 网络安全
* 设备安全
* 人员/身份安全
* 工作负载/应用安全
* 数据安全
* 可见性和分析
* 自动化和编排
这7个维度是John Kindervag的继任者,现在Forrester 首席分析师Chase Cunningham在其零信任扩展框架中提炼出的7个支撑维度。在用户视角看,目前实现全面的零信任的改造存在复杂性和风险。但从不同用户具体的IT基础设施的实际出发,从最关切的风险出发,可以逐步落实零信任的原则和理念。
本质上,包括零信任在内的一切新的概念和总结,出发点都是为了解决网络安全和信息安全的本源问题,即应用和系统的可用性问题,数据的机密性问题。围绕可用性、机密性和完整性的原则,不断迭代新的理念和技术,为用户的业务提供更好的支撑和保障,这些零信任产品的发展也是各个厂商在某相对擅长的领域,为了更好的解决客户问题的自然演进。
所以零信任的7个维度划分也不是铁律,我们可以分解来看,一定程度上就是更细的网络边界,应用切分,数据定义,用户身份的多次验证,更细的强制访问控制,在永不信任,持续验证的理念下,如何在不影响用户体验的情况下,提供更好的安全保障和服务。
`
美国国防部零信任的支柱
https://mp.weixin.qq.com/s/Fd0iKkGgE6Y1e81tP3MJFQ
`
1. DISA会议背景
2. 零信任的七个支柱
3. 零信任与身份:将网络边界变为身份边界
4. 零信任与微分段:将粗略边界变为精细边界
5. 零信任与SDP:将硬件边界变为软件边界
6. 国防部网络架构演进
1)2010年前:以边界为中心的封闭网络
2)2010年代:引入云,边界不太明确
3)2020年代:云优先,端点无处不在
7. 从零信任的怀疑者变成信徒
8. 零信任没有银弹
Wallace说:“零信任思想具有很大的包容性。” 零信任实际上包含了下图中的七大支柱,即数据、用户、设备、网络、工作负载、可见性与分析、自动化与编排。
数据:零信任的目的是保护数据。理解数据、应用程序、资产、服务(DAAS)至关重要。数据管理策略是实现零信任方法的一部分。
用户:持续地认证、授权、监视用户活动模式,以管理用户的访问和权限,同时保护所有的交互过程。
设备:了解网络健康状况和状态,可为风险决策提供依据。实时检查、评估、修补,为每个访问请求提供依据。
网络:使用细粒度访问和策略限制,分段、隔离、控制网络环境。
工作负载:控制访问并进一步控制应用程序可以访问的资源,是零信任的核心。
可见性与分析:提供重要的上下文书局,已了解其他零信任支柱的性能、行为、活动。改进检测、反应和做出实时访问决策的能力。
自动化与编排:基于已定义的过程和安全策略的自动化安全响应,即阻止访问或强制修补。
解读1:国防部零信任的七大支柱也可以被称为:零信任数据、零信任用户、零信任设备、零信任网络、零信任应用和工作负载、可见性与分析、自动化与编排。过去,大家经常认为零信任主要强调两个方面:一是身份安全,比如“身份是零信任的基石”;二是零信任网络,比如Evan Gilman的书《零信任网络》、Gartner提到的ZTNA(零信任网络访问)、SDP(软件定义边界)。而七大支柱表明:零信任不只是某个安全领域,而是几乎涉及整个安全领域。
解读1:在NIST零信任架构标准中,明确列出了当前实现零信任的三大技术路线:1)增强型IAM(身份与访问管理);2)微分段;3)SDP(软件定义边界)。这三种技术路线既可以单独实现零信任方案,也可以配合起来实现更加全面的零信任架构。
Wallace接着说,“这件事让我开始认真思考:任何事都只是一个属性(attribute)。传统上,我们只是担心CAC(通用访问卡)和用户的真实性,但是我们不会查看会话的其他属性,比如用户、网络、时间、设备。我们将这些都视为属性。应用程序具有其自己的属性集。零信任成为基于属性的访问决策。多年来,我们一直在谈论ABAC(基于属性的访问控制),通常只是围绕用户本身。但是,在我看来,零信任关系到整个技术栈的属性。……因此,这就是我们正在关注的重点。用户访问给定数据集的途径中所有事物的属性是什么,我们如何对此做出正确的决策?
解读:零信任本质上是ABAC(基于属性的访问控制),但它又超越了ABAC。零信任超越ABAC之处在于:零信任将属性从用户维度推广到整个技术栈(包括用户、网络、设备、应用、数据等)。
`
浅析现代企业网络安全架构
https://mp.weixin.qq.com/s/Ye6-H5d894wD2E6C8uYRSg
`
题外打趣一下,想当年朽木同学去腾讯内网摸到了马总的QQ,才促成了腾讯安全部门的起源,这一系列秘辛,估计很多人都忘记了。看来甲方安全兴起的起源都一样,就是领导被黑了,让领导痛了,领导有了安全认知😂
笔者解读一些BeyondCorp的架构设计原则:
* 无边界设计:不以OSI 7层任何一层的资源作为单一边界,如网络边界,从特定网络的连接不能决定可以访问哪些服务
* 实体上下文感知:对设备、系统、软件和账号等所有可以掌控的实体粒度进行感知分析验证,授予服务相应的访问权限
* 动态访问控制:所有对业务服务的访问都必须经过身份验证、授权和通信加密
最后,笔者解读BeyondCorp分为的6类核心关键组件:
1. 设备清单服务:一个持续收集、处理和发布已知设备状态变化的系统
2. 信任推理器:一种持续分析和注释设备状态,以确定资源最大访问权限的系统
3. 资源清单服务:受系统访问控制的应用程序、服务和基础设施资源管理系统
4. 访问控制引擎:提供实时授权、决策的集中式访问控制策略执行服务
5. 访问策略:可以成功验证授权、资源访问和其他各种信任映射关系的编程管控方式
6. 核心网关:各类网络服务的代理网关,比如SSH、WEB、802.1x 等,可以对所有的应用和服务进行授权操作
`
企业面对APT化攻击的防御困境
https://mp.weixin.qq.com/s/aKkvxnZJqrlyzWeMrx3JCA
`
# 现实
现实的真实场景往往比理论的认知更复杂,企业只有拥有血的教训才会意识到面对APT化的攻击几乎无法防御,现实是老美意识到在逐渐APT化攻击的网络犯罪态势下,各行各业已经处于极度弱势。笔者的观点并非极端狭隘,简单衍生扩展几个问题。
# 企业是否能掌握所有暴露在互联网上的服务?
以互联网公司为例,总有不知道哪个部门、不受控的业务会不按照安全规定上线服务,IT运维自己要上线一个没有安全基线的服务也是稀疏平常的事,甚至多年前业务计划退役的历史遗留系统恐怕都列不全,对于APT来说总有机会攻破其中一个服务。
笔者觉得一个公司要掌握自己所有暴露在互联网上的服务列表不太现实,以后所有的基础设施和服务工程开发、部署都DevOps了,所有的过程都代码化可控,也许会减缓这类安全问题。不过在此之前这些攻击点依然只能用相关安全能力去管控,用网络测绘去主动检测发现。
# 企业是否能掌握所有的账号、服务和资产信息?
一个公司有多少终端,业务资产的所有者是谁。公司越大,生产网、内网的账号和人员、部门以及业务流程的关系就越复杂,资产清点、业务账号的管理都会是让人头疼的问题,APT攻击可以针对的人员、账号和资产何其之多,没有攻不破的账号和资产。
笔者觉得零信任也许是这个问题的解决之道,企业的基础IT能力和安全能力是成正比的,企业的基础IT能力都没做好,何谈防APT?
# 企业所有的系统是否都启用了多因素身份认证?
设想企业内一个临时开发的内部系统,或开源系统或服务,也许身份认证模块都不完整,能有用户密码登录就不错了,对于APT化的攻击,这样有账户和密码就能实施攻击的入口数不胜数。
笔者觉得不是所有的企业都象Google一样,所有系统在零信任架构下,服务默认都强制多因素认证,所有员工都给配了一把泰坦安全钥匙,没有条件的企业只能靠简单的网络访问策略限制不安全的系统。
# 企业所有的系统、服务和设备是否都拥有安全日志和安全检测告警能力?
企业是否知道自己有多少终端和机器未安装杀毒软件,所有的系统和服务是否有安全日志的记录和异常行为的安全检测告警能力,甚至还有一些被忽略的打印机、路由器等物联网和边缘计算设备没有安全能力。不说APT攻击打下一个没有安全日志和安全告警能力的系统,一些想到想不到、压根没有安全能力的边缘计算设备早已成为了APT攻击的后花园。
笔者觉得这里的问题几乎无解,但是能缓解,这里涉及了XDR、SEIM等这类企业安全大数据的建设和运营能力,企业要如何存储和使用巨量的安全日志数据是一个大难题。最重要的还是运营,有多少真正能应对APT的专家可以去分析安全日志和告警。通通都是大命题,笔者暂时不想过多解读。
`
https://www.hhs.gov/sites/default/files/conti-ransomware-health-sector.pdf
https://www.cert.govt.nz/assets/ransomware/cert-lifecycle-of-a-ransomware-incident-with-controls-business-version.pdf
混合办公(Hybrid Work)安全的“三年”技术落地趋势推演
https://mp.weixin.qq.com/s/sRYlS9BfdiM4NzdTpbenOw
`
# 为什么更新本篇?
“黎明将至”,本篇文章的封面真切的体现了笔者现在的真实心情。笔者在去年选择从发展如日中天的云安全,快速“切换赛道”来到了“广义办公安全”(混合办公),经过这段时间的落地和打磨,笔者觉得端、网、云协同办公时代已经悄然成为了今年的热门话题。多年安全厂商发布SASE+终端安全+“零信任”+云安全+云原生安全的产品和解决方案,详见《2021年安全架构总结以及2022安全方向展望》六大预测的内容。笔者的目的还是继续让“混合办公”安全的落地快速往前推进,继续让这个趋势往更大的范围传播和落地,并且笔者也坚信自己在这条路上越走越远。
其实笔者身边依然有一些非常好的朋友,觉得从云安全转向办公安全会不会趋势踩错了。其实笔者当时的思考是已经在云上的客户层面,窥得办公安全的苗头了,再加上当时根据2-3年的持续跟进业界发展,已经从技术趋势角度和疫情的情况下深刻感受到”混合办公“的未来已至。另外笔者在众多次跟钱磊和自化老板身上的多次深度汇报中得到了答案,其实两位老板构思了一个宏大的全局视角”混合办公“的未来版图,笔者也从两位老板深不见底的思维和体系中窥得部分观点,通过目前业界最前沿的技术趋势进行展现,让整个宏大的”混合办公“安全呼之欲出的展现给安全业界、企业、政府、金融等行业。推动着”混合办公“安全技术的快速往前发展和迭代发展。
笔者还是非常兴奋的,因为在”黑暗中”呆了很长时间(比喻,请勿对号入座^_^),终于看到一缕阳光射入,撕开了口子,而且这个口子在不久的将来会越来越亮,这种兴奋感在中年男人身上是非常难得,非常少见的。笔者也是觉得这么多年坚持追求技术,最终的归属原来就是云安全、应用安全、数据安全、攻防技术等等技术栈在“混合”办公场景下成了生命之源泉。当然笔者还是非常理智的对待自己有点控制不住的心情,但是笔者真正为之坚守的初心也许只有这一次的重塑安全的机会了。
# 混合办公安全-“三年”技术落地趋势推演
1、打通终端安全、身份安全、应用安全和数据安全全链路安全,通过身份来串联和落地“端到端零信任”。让终端安全状态上报“端到端零信任“大脑,让身份、权限来决策和条件访问应用系统里面保存的数据。
2、通过解决数据安全问题来撬动基础设施安全、应用安全的变革和解决方案的沉淀,让应用安全、基础设施安全、数据安全达到融合状态,互相绑定减少数据安全泄露的影响。
3、沉淀应用安全解决方案Data Security Runtime Protection(DSRP),注入中间件、应用等完成数据安全合规和安全诉求。
4、升级SSO到强MFA对抗,最终跟操作系统(TPM)进行融合,让对抗升级到能防御国家级威胁体攻击。
5、混合办公应用推到互联网,接受互联网的洗礼,让“端到端零信任”对抗升级。
# 混合办公安全-总结
本文主要有几个核心观点再次总结抽象:
1、“端到端零信任”是从操作系统TPM->终端安全->身份安全->应用安全->数据安全的一个联动的、集成的、紧密结合的端到端的安全体系。
2、数据安全需要跟基础设施安全(应用安全SDLC、基础设施安全)进行绑定:核心路径是GDPR、PCI-DSS等合规需求发布->拆分细则->拆到原子能力->中间技术人员参与转化成技术语言->技术点和需求->技术点DEMO->技术点融合->解决方案解决一类细则->SDL覆盖(100%覆盖)->完成闭环->满足合规->赢得业务跟业务一起发展。
3、“端到端零信任”终究还是有最核心的对抗技术的,通过这个最核心的攻防对抗技术(例如TPM和身份的绑定)来达到提升国家安全水位的目标。
4、“端到端零信任”终究还是需要跟可信TPM进行打通,跟底层操作系统打通保护最核心的认证。
5、SmartSoft为了提升云安全的水位,被国家级威胁体步步紧逼把安全扩展到了终端操作系统上,在操作系统层面展开了激烈的对抗。
6、让终端安全状态上报“端到端零信任“大脑,让身份、权限来决策和条件访问应用系统里面保存的数据,完成大一统联动串联。
7、形成纵深防御体系(拿到账号密码需要过MFA、MFA过了需要设备认证、设备认证过了还需要条件访问,条件访问过了还需要过权限和管理员授权)+单点对抗体系(TPM+身份融合核心点对抗技术)。
8、最核心的还是身份是新边界,身份驱动业务变革,身份也是业务构成的关键技术。
“端到端零信任”攻防发展到何处激烈程度、笔者和众多伙伴们的落地结果如何,我们拭目以待。
本文行文仓促,后续还会有更多版本的迭代和改进,期待读者可以一起讨论其中问题并一起落地真正的“端到端零信任”架构,通过3-5年可以让国家安全关基水位提升。
再次感谢读者您的耐心阅读。
`
Jamf Pro and AWS Verified Access
https://www.jamf.com/blog/jamf-pro-and-aws-verified-access/
`
Jamf Pro and AWS Verified Access ensure that only trusted users on trusted devices can access internal resources hosted on AWS.
只有受信任设备上的受信任用户才能访问托管在AWS上的内部资源。
Jamf 的 AWS Verified Access 集成利用了Jamf Trust:一款直观的应用程序,可为远程工作人员提供统一的云安全性和连接性。Jamf Trust 使用户能够访问强大的安全功能,并且在 Mac 和移动设备上都可用,例如移动威胁防御、内容过滤和零信任网络访问,而不会影响性能或生产力。
Mac 应用程序专门检索客户端设备信息,并通过**浏览器扩展**与 AWS 共享此信息。在访问 AWS 上的这些资源之前,设备和用户必须满足客户定义的 Cedar 策略。该集成是完全可定制的,允许客户设置自己的访问策略和规则。这使客户可以完全控制谁可以访问他们的数据以及他们如何访问数据。客户还可以查看详细的访问日志,让他们完全了解谁在何时访问他们的数据。
`
https://trusted.jamf.com/docs/enabling-aws-verified-access-for-macos?highlight=verified%20access
要做好零信任,现在看到的不管是哪种方案,客户的设备上还是需要有agent才能行,获取足够准确和可信的信息提交给server端进行判断。
如何定位访客WiFi网络终端身份? | 总第193周
https://mp.weixin.qq.com/s/qDLyqfTVbVwgCXlNQL7xKw
`
访客网络是纯上网使用的,主要就是为了外来人员比较容易上网,不能连内网(要有网络隔离)。
访客网络原则上能不提供就不提供,必须要提供你就必须要管好的,没预算做**情报安全网关**,最起码也要做个**准入**,监管的确在网络接入上面有要求的,还要做SSID隐藏。建设公共WiFi并提供上网服务,出事要自己负责的。一般政府公共WiFi的话,至少加个身份认证机制比如短信验证码,这样出事的话你能协助定位到人,你责任就比较小,日志也要留存。未整改完成之前,赶紧下线了。
==
话题:如何定位一直不断访问不同钓鱼网站的WiFi终端?出于安全隔离要求,公司访客WiFi为独立区域且专用一条电信拨号线路出网访问,今天某个终端一直在访问钓鱼网站,无线没有审计设备,网络拓扑如下:终端–>AP–>POE SW–>无线路由器(旁挂arbua无线控制器)。
A1:可以试下如下方法:
1、流量分析是否有身份信息来定位;
2、通过MAC地址判断终端设备类型,通过信号判断位置范围;
3、直接封设备或者通过设备下发提醒功能。
A2:上准入了没?这个问题我们以前也遇到过,后面是通过上设备解决的,无设备基本无解。这种建议还是上套准入来管起来,非标设备通过短信认证来做接入。
Q:就密码验证,给需要访问互联网的终端使用。访客网络是纯上网使用的,主要就是为了外来人员比较容易上网,没有连内网。
A3:那也得搞一套认证体系啊,再不至于搞个短信认证或者mac认证。你把出口换个行管设备做出口,可以直接定位终端mac地址的,哪怕换个普通防火墙做出口也行,路由器这个设备一般用作内网边界转发,但是在其前后也是要加一个安全设备做防护的,现在企业网络不建议单纯用路由器做出口设备了,最简单的ms17010都没法防护,内网有老电脑的话445直接就打穿了。
早期我们有个小分支就是用的路由器,啥防护策略都没有,445直接打穿,内网直接崩溃,要不是内网VPN边界有防火墙拦着,直接波及总部。
我们访客网络现在是单纯用的一个防火墙来做的出口,和内网隔离,单独拉的一个网络给外来人员使用。
Q:你们这个拓扑没有相关安全设备?是如何检测到访问不同钓鱼网站的?
A5:WiFi终端一直不断访问不同钓鱼网站,安全DNS能力吧,另外全流量设备就能检测到。
Q:按照上面网络拓扑,安全dns是怎么部署的呢?
A6:访客WiFi已经做了安全隔离,全流量不太可取。安全DNS可在dhcp那边配置,但这有个问题就是,还得需要设备支持dns代理,要不然自己配置dns的时候就失效了。
A7:那这样的话,就能定位到终端的mac地址和ip了,就好找用户了。
A8:访客网段,理想状态就上情报安全网关,按黑名单自动阻断,阻断黑域名加ip。
A9:不是,黑域名有可能不一样的,要是监管要求落实网络接入实名制,你没办法追踪到责任人就麻烦了。万一有人用你的WiFi干了点啥事,比如攻击xx,发布xx言论,网安追责就麻烦了。
A10:访客网络原则上能不提供就不提供,必须要提供你就必须要管好的,没预算做情报网关,最起码也要做个准入,监管的确在网络接入上面有要求的,还要做SSID隐藏。
A11:建设公共WiFi并提供上网服务,出事要自己负责的。一般政府公共WiFi的话,至少加个身份认证机制比如短信验证码,这样出事的话你能协助定位到人,你责任就比较小,日志也要留存。未整改完成之前,赶紧下线了。
A13:《未做“网络实名制”,网络服务提供者或将入刑!》
`
未做“网络实名制”,网络服务提供者或将入刑!
https://www.zhihu.com/tardis/bd/art/404658920?source_id=1001
`
《中华人民共和国刑法》第286条之1条规定“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
`