3月27日,“京麒”社區聯合安全+共同舉辦了一場線上安全沙龍活動,來自京東、騰訊、滴滴、科大訊飛、平安科技、等知名互聯網公司以及OWASP中國的安全專家,以“零信任框架”為基礎,針對具體問題,深入解析并探討了疫情下的企業遠程辦公安全防護實踐,為企業在新的辦公應用場景中落地零信任架構提供了有力借鑒。
沙龍以直播形式,持續了兩個半小時,總計吸引13000余人次觀看,網友就話題積極參與互動。
議題一
此次疫情來襲時,各位所在的企業都暴露了哪些關鍵的安全風險
張坤(主持):此次疫情來襲時,各位所在的企業都暴露了哪些關鍵的安全風險?
鄧二平:從安全角度來看,這次疫情對于很多企業,會產生幾個比較典型的風險:
一、在疫情下邊界的模糊會顯得尤為明顯,由于虛擬化的遠程辦公,傳統的企業網絡邊界,面臨著越來越大的風險和挑戰,內網與企業防護殼這樣的邊界也正在模糊和消失。
二、邊界在某些層面發生模糊趨勢,比如應用上。對很多企業,特別是大型企業,一般都是采用基線保護、重點保護的思路,通過SDLC來實現整個完整應用生命周期的安全防護。這類方法會優先保護對公網、互聯網以及對合作伙伴開放的系統,加強對它應用安全的防護。但是對于內部后端、后臺,網絡會更靠后。在邊界模糊的情況下,內部的應用安全性,一下就提上了日程,它變的會更加靠外,讓整個企業存在新的網絡攻擊的可能性,從而導致內部有橫向滲透等問題,這對內部整體應用安全的管理、保護,提出了一個新的挑戰。
三、企業內部數據的流動挑戰會更大,權限的管控也需要更加精細化。對于內部數據安全,最大的挑戰風險點就是終端安全的管理,這時候允許你的員工自由流,就要有更好的措施去應對它。
徐亮:在疫情發生時,大部分公司還是沒有零信任的基礎。甚至有的公司,在零信任上還會有安全性的降低。比如以前辦公網絡設備是有準入的,現今情況下準入標準就會有不同程度的降低。成千上萬的私有設備會接入公司網絡,甚至這些設備都未經公司的安全管控,這很大程度上,影響了辦公員工的安全性。這個時期,利用疫情的網絡釣魚行為也有所增長,同時由于大部分運營人員和開發人員技術能力不到位,類似在公網管理后臺等一系列奇葩操作也打破著以往的網絡安全策略。
孟源:最主要的問題是內部應用在設計之初沒有考慮到在零信任環境、無邊界環境中的應用。比如說傳真、物理電話、攝像頭以及身份識別的硬件設備,純粹做虛擬化的映射實現起來還有問題,對于特定的場景如何解決它的遠程辦公需求?臨時來講,我們是通過做一些應急響應和保障來解決,對于必須在內網運營的的場景,核心業務,也是通過有人職守配套執行,所以傳統的應用在新的架構上會有局限性。
張坤(主持):請教孟老師,一般公司需求從五十個激增到五百個的時候,企業是怎么平滑切換又不會影響員工呢?
孟源:我們比較重視整個安全生態的建設,在設備擴容方面得到原廠商大力的支持。我們在每一次放假之前,首先劃定一個期限,我們的設備要滿足全員放假情況下的業務需求。我們以此為基線,假如發生更多的并發情況下,我們可以要求廠商提供設備增加擴容,而且我們本身帶寬資源還比較充足。
黃宇鴻:這次疫情爆發趕在春節,很多工作還是挺有壓力的,原來一些內部的應用,需要開放出去;一些線下的場景,需要切換到線上,在這個過程中,實際上很多工作都很急,也會引入安全風險,需要我們系統的安全進行兜底。
劉傳:前面幾位老師說的都很詳細,一、大家都面臨相同的問題,大量終端接入導致業務系統響應不及時,通過第三方的平臺或者系統進行傳輸,導致數據泄露風險點較大;二、人員造成的風險增加;三、遠程設備安全性,因為遠程設備也會暴露一些高危的漏洞,而軟件設備是否能撐得起這么大量的并發接入;同時,公司的核心研發,研發的安全、代碼是如何保護的?這一塊也是我們值得考慮的風險點,在什么樣的框架下保證數據、代碼只進不出,對我們是比較大的挑戰。
議題二
在這次疫情之前,企業是否有基于零信任的建設,主要關注哪些點?而這次疫情期間,建設內容又有哪些不同和提升?效果如何?
張坤(主持):第二個問題實際上是第一個問題的補充。在這次疫情之前,企業是否有基于零信任的建設,主要關注哪些點?而這次疫情期間,建設內容又有哪些不同和提升?效果如何?
黃宇鴻:在滴滴信息安全,平時有不少技術積累,在疫情期間還是做了一些整合。我們有自研的LCA產品(叫EagleEye,也在商業化),這個產品在終端會做安全檢查,具備DLP能力,LCA產品會跟VPN連接做聯動,使得VPN接入有安全基線。在IAM方面,SSO我們也有卡點,在訪問一些敏感應用時,也會跟前述能力有一些聯動。零信任方案里有一個基本的設施應用網關,針對疫情期間的釣魚,可以和零信任網關聯動,提升MTTR。我們安全基本能力差不多都有,這次疫情也是比較好的契機,我們基于遠程辦公的場景做安全能力整合。在零信任這套框架里,從去年到今年,我們很多工作都是在做能力的整合和提升。
孟源:我們雖然也一直推動零信任架構的建設,但是相對來說我們還是處在比較初級的階段。我們現在采取的方法還是身份認證和設備認證,配合應用安全網關的模式,當然重點還是身份認證和設備認證為核心,最顯著的變化,就是安全運維和基礎運維工作量增加,之前我們可以講在安全上做保證,現在更著眼在可用性上。
徐亮:我們公司算是應用零信任方案的,所以在疫情期間,我們認為它和過去傳統在辦公時是有區別的。實際上大部分零信任都是通過代理轉發的,以前遠程辦公量級比較少,現在這種情況下,安全策略就要做調整,要分清楚誰是誰。我們對零信任的訪問能力做了一個調整,保證員工使用自己的設備,他能夠不那么痛苦的接入到我們公司網絡里。安全上我們對策略做了審計,也保證了在這種情況下,我們的安全模型也能很好運行,及時發現安全問題并止損。
鄧二平:京東在這次疫情中并沒有做什么特別有針對性的東西。因為在我們整體可信架構當中,已經包含進去了。這次疫情,它帶來的影響和觸動不僅僅是涉及到辦公網安全這部分,也會涉及到自己內部應用安全架構和內部網絡基礎架構。
去年年中,我們已經在開始從多個方面籌劃整個京東可信架構的建設,比如說基礎設施可信計算、整個網絡可信類似的架構等,這些都在原來計劃當中推行。而這次疫情使大家意識到數字化真的非常近了,京東很多業務當中已經有所體現。我們內部業務方或者很多管理層,能夠更形象去感知這種數字化下的安全、可信架構安全,對數字化業務的必要性和重要性,對我們整個安全工作其實是有觸動加速的作用。在年初時,我們就已經在構建京東的紫軍,他可以幫助我們的紅軍快速、高覆蓋面的驗證。所以對于這一次疫情來講,像釣魚以及其他方面,紫軍還是有一些展示的場景,其他日常工作跟大家都差不多,只不過實現的方式會有一些差別而已。
議題三
安全防護的具體措施是什么?(從端,到VPN,再到系統,涉及VPN防護、木馬病毒、系統安全加固、產品、權限管控、防護措施等等)
張坤(主持):安全防護的具體措施是什么?(從端,到VPN,再到系統,涉及VPN防護、木馬病毒、系統安全加固、產品、權限管控、防護措施等等)
鄧二平:一是常規意義上的零信任,它解決的對象是從用戶的方式接入到我們的網絡、系統來消費企業的服務,特別是從人的維度,從賬號到設備。這方面,目前并沒有直接采用Google的方式去做,我們會設計分布式,對于外部網絡接入,會基于設備指紋再加安全基線和終端監控配合我們VPN改造,實現這一塊部分的接入。二是這次挑戰最大的應該是數據,它直接控制了表象權限這方面。對于權限這個事情,雖然BeyondCorp提出了權限統一的健全,但是權限最大的挑戰不在于授權。我們試圖去構建一個安全虛擬UI的能力,安全虛擬UI它最終目標是“數字化的公共空間”,企業所有辦公需求,都可以在一個數字化的工作沙箱里去完成。
徐亮:二平老師講了零信任這一塊對賬號體系和賬戶有很大的要求。谷歌給的內容并沒體現出這一部分。我們這邊零信任主要是其他兩個兄弟團隊實現的。我們有很多年關于賬號體系安全的建設經驗,不管過去保護QQ也好、微信也好,我們都會對賬號體系有一定的安全建設,這個功能也是迭代式開發的。最早,騰訊就有通過公網訪問內網運營平臺的能力,但一上來就到零信任可能不適合所有企業,特別是那些一開始沒有賬戶權限的保護機制的公司,對準入方面管理公司很難適合。騰訊這一塊零信任更多還是賬戶體系的保護和訪問權限的合法化。
孟源:我們認為基礎是整個賬號體系本身,我們通過自身實踐覺得有以下幾點是一定要做的。一是一定要在組織內部有自建或者真正有大量人力去運維的賬號管理體系,這作為資產的一部分。我們講的零信任,我們認為所謂的零信任就是處處要進行認證,處處根據認證的結果、可信的結果進行通訊,并不是一次認證完之后就可信。所以我們的體會來講,想實現零信任,更多的是對于安全基礎能力的考驗,基本工做的越扎實,高大上的東西實現起來才會更方便一些。另外真正實施過程當中我特別認同二平老師講的,我們認同的一個概念就是安全工作空間,這次疫情來看最難解決的問題就是數據不落地的問題。
黃宇鴻:零信任我覺得首先是在身份安全方面有較好提升,零信任的要求是去判斷當前會話身份認證可信的程度,僅僅通過賬號密碼去認證,可信就會低一些,設備系統不是最新的版本,可信也會低一些;另外要對后臺的應用進行分級,相關的要對應用的數據和權限進行分級,是否敏感數據;然后基于會話的可信程度和應用分級進行訪問策略管理;所以零信任在身份安全和權限管理方面有很大的靈活性。我們在考慮零信任這套體系和原來的IAM如何融合,兩個系統它的邊界在哪里,目前想法是用零信任解決能否訪問應用的問題,偏安全對抗;訪問到應用以后,用戶能訪問到哪些數據,能做哪些操作,由原來的權限管理系統來管理,偏內部規范,由各個系統管理員來管理。
這里面其實也有很多挑戰,例如應用的分級,它是動態的,和數據和操作權限相關;數據級別需要自動化去識別,在操作權限方面,比如說錢相關的操作權限是較敏感的,但數據上特征不明顯,比較難自動化識別。我們目前有比較大的FT團隊去維護權限,這里會有安全的人員以及業務系統的管理員一起去定義操作權限級別。
劉傳:我們在疫情階段面臨比較大的挑戰就是研發安全這一塊,有些研發人員安全數據代碼如何防護?如何達到看得見拿不走,拿走也打不開的方式?我們這一塊也嘗試建設零信任,同時也產生了一些效果。現在目前要結合零信任使用,這樣在授權終端落地會有更好的保障,我們在安全檢測這一塊,一個態勢感知我們可以實施檢測,這一塊會有外部的一些點,還有一些基礎的以及攻擊類型。
態勢感知這一塊會有危險情報,但是傳統這一塊是沒有危險情報體系。我們零信任可以基于一些用戶行為分析,結合一些危險情報的相關規則做一些判斷和預警,這一塊危險情報是一個亮點。
議題四
從這次疫情的安全防護來看,對企業安全建設有哪些安全建議和思考?
張坤(主持):
從這次疫情的安全防護來看,對企業安全建設有哪些安全建議和思考?
黃宇鴻:
還是說VPN擴容說起,在擴容時候不是很方便,另外安全策略這塊,在大量員工VPN訪問背景下會加很多安全策略,不是很靈活,過程中還出現VPN的安全策略有長度的限制,所以加著加著就超長了;所以第一個建議還是安全建設要有彈性(軟件方式堆疊服務器是比較好的方式),策略要有靈活性。第二個在自動化和工具能力方面需要積累,疫情發展很快,所以會涉及到很多線下辦公的場景要改到線上,有一些內部的應用要開放出來,這里會帶來很多安全風險。這種情況下安全怎么能夠比較快速兜底,這個能力實際上是需要平時積累的,所以平時自動化和工具化多積累,碰到特殊的情況能更從容一些吧。
孟源:
我們覺得在安全建設方面,我們看中兩個方向的發展。一個是基礎,我們在企業運營里,一個是組織的規模越大,其實最基本的技術工作越不是很到位。舉個例子,比如說我們的賬號管理,是不是針對每一個入職或者相關的人員賬號授權,從制度上、流程上都有保證?另外像宇鴻老師說的對自動化工具的使用,包括像現在看上去大量信息的接入,包括我們的日志云、各個應用系統的風險埋點以及風險決策埋點,這種自動化的編排工具、配套平臺,需要更多的引入進來。大規??咳肆Χ询B上去,對一些單點比較復雜的場景用人工是沒有問題的。但是更多這種普世性、篩查的,或者對業務模式進行學習的,可能要有一些自動化工具,不排除用機器學習等。
鄧二平:
其實不同行業、不同規模的企業遇到了問題,可能打法都會有所不一樣,所以說今天我大概去說一下像京東或者滴滴、騰訊包括平安這種類型的大型公司有兩個工作需要重點關注。
第一點,在安全攻防、安全落地的過程當中,有大量業務技術人員、業務運營人員,他們都會一塊跟我們協同,從基礎架構到應用的編碼開發、權限管理等。我們還面臨著一個很大的挑戰,安全怎么樣能夠賦能給自己的業務伙伴,這其實會直接影響到未來我們整個安全工作是不是能夠落地,是不是能夠建起一個強大的真正意義上的縱深防御的體系。
第二點,京東面臨整個數字化轉型的壓力越來越大,不僅僅是體現在此次疫情所看到的IT遠程辦公的數字化需求,還包括電商、零售的數字化演進,這些都會帶來一些新的挑戰,如果我們今天還用現在的手段去應對它,我們會變的越來越被動,這也是為什么京東愿意花精力去重塑安全架構最主要的原因,今天我們面臨挑戰很多,無論是可信計算方面、可信網絡方面,還是可信數據方面,我們都存在很多挑戰。我覺得應該有勇氣和責任去嘗試去努力去改變它。
徐亮:
這次疫情過程中感覺比較明顯的是對于我們安全策略的快速響應和運營人員提出了更多的要求,我也比較期望后續關于安全策略的調整,它可以更智能一些。可能會有像現在的意外讓網絡訪問方式發生變化。
這里舉個很簡單的例子,零信任會導致很多東西通過同樣的來源來訪問,例如不受安全管控的主機接入公司網絡。大家可以想象,用原來管控內的策略去運營私有電腦是很痛苦的,可能有些網絡并不是有木馬或者病毒,只是跟你原有的策略是沖突的,短時間內這些沖突的策略可能會非常得多,如何更智能更AI化調整運營策略?這是后面需要思考的問題。
劉傳:
對于這次疫情的數據安全性,需要對數據進行分級分類,站在數據生命周期的每個階段進行安全防護。
議題五
對未來遠程服務的價值與風險點的看法?
張坤(主持):
對未來遠程服務的價值與風險點的看法?
徐亮:
我個人的想法,遠程辦公這么強的需求,可能不會是一個常態,它可能是疫情下的爆款。通過這次疫情,我相信很多中小型企業或者大型企業也意識到了,之前流通的網絡遠程訪問主要依賴的是VPN,VPN在擴容和使用門檻以及安全性上都有不同程度的挑戰。后續我們要思考下遠程辦公,將來用什么樣的方式,讓自己的員工更好接入公司的網絡。同時在安全策略上保障其安全性。前面各位老師提到過數據安全性,比如在會場是會有保安管理的,但是現在這場會議安全性就很難保障,我們這次是公開的。如果說是私有會議,我們很多地方都會懷疑,比如說網絡傳輸是不是安全的,會不會有人電腦中了木馬?這都是很難預期的問題。遠程辦公下帶來新的問題,就是如何信任你的生產創造的東西是安全的,不會被人拿走,這是一個新的風險點。
孟源:
我們首先覺得無邊界網絡接入這個趨勢是沒有辦法避免的,尤其是隨著萬物互聯的開始,不管愿意也好不愿意也好,傳統基于邊界防護包括內部可信的體系,基本成為影響業務發展的短板,很多情況下我們會發現業務部門和安全部門的矛盾,更多也是基于這個方面來產生的。隨著這些場景的普及,這種長流量的加密、端到端的加密也是不可避免的選擇。后面我們匯集了未來可見的安全攻防的主戰場,從網絡網關的節點會轉到端上來,也包括手機、電腦、云端數據化節點。我們認為處理好硬件可行計算接入準入之后,對于認證以及操作意愿真實性,這是未來的挑戰趨勢。另外各位老師也說過了,整個系統也會越來越復雜,處理的數據量會大量的增加。所以分析的工作、自動編排的工作需要機器學習支持。后來慢慢真的可能變成AI協助下的攻防對抗,安防不光是自己層面發展,更多是要和業務、人工智能等協同部門來產生并發的效益。
鄧二平:
我比較認同孟源老師的觀點。這次疫情可能只是一個導火索或者出發點,我認為我們數字化世界或者叫數字經濟,離我們會越來越近,這個東西不會因為我們想或者不想,就會發生整個逆轉,從我個人的判斷來講,這應該會成為大的趨勢,并且很快會能夠來到,因此會引發實體世界和虛擬世界整個安全的挑戰。我個人最主要的觀點。就是說數字化的世界就在我們眼前了,我們的安全是否做好準備?是否有迎接整個數字化體系和數字化架構下的能力?
黃宇鴻:
第一,我覺得從趨勢看傳統的純邊界防御防不住,零信任方案是在這個背景下,提出從原來在邊界重兵把守,轉變成以身份認證為中心的防護方式。遠程服務的首要要點是身份識別,遠程時不知道對方是誰,因為看不到,即使看到了也未必是真的;所以身份認證是基礎,身份識別也是后續權限管理的基礎,身份識別錯了就都錯了。
第二,遠程服務肯定會涉及到各種數據的傳輸,這個過程當中你是不是采用可靠的協議,數據是否加密和校驗,數據的機密性和完整性如何保證?這也是比較常見的風險。
第三,需要做各種安全能力的整合和聯動,安全趨勢越來越體系化了,零信任它不是一個簡單產品,我覺得它是一套框架,或者相對復雜的方案。在這個框架里涉及到終端的安全,服務端安全,以及應用網關。它實際上是把我們原來很多分散的安全能力整合在一起了,底層數據打通,在各個環節上可以起到互相交驗的作用。
最后,數據安全這一塊,數據安全也是遠程服務面臨的棘手問題。數據在整個生命周期里如何去管理,在數據生成、存儲、使用以及到最后的銷毀,所有的過程中都會面臨泄露的風險。數據安全從國家來說也比較重視,像隱私數據保護,如果保護不好還是需要承擔挺大的責任。
劉傳:
我就延續孟老師講的人工智能這一塊??拼笥嶏w是亞太地區知名的人工智能上市企業?,F在基于人工智能這一塊,真正以后遠程辦公是不是真實的人,也許是機器人,這一塊安全性如何保障?如何鑒別是不是第三方或者外部的間諜?第二點,風險最大的是人員的管理,針對權限和審計的安全意識。
“京麒”社區是由京東安全聯合業界和互聯網公司發起的甲方企業安全社區,聚焦企業安全建設的熱點話題、技術突破、運營管理、標準規范建設等,與此次沙龍的合作伙伴安全+一樣,均是致力于促進企業的安全建設交流與合作、共建健康發展的互聯網安全生態。希望此次“京麒”與安全+所舉辦的本次沙龍,能為零信任在新辦公場景上的運用起到拋磚引玉的作用,使更多信安工作者得到借鑒和創新。
