近年來，數(shù)字化轉(zhuǎn)型和疫情防控的剛需催生了遠程辦公新常態(tài)，遠程接入場景下業(yè)務(wù)系統(tǒng)暴露面不斷擴大，而攻擊方式更加專業(yè)和系統(tǒng)化，我們不得不重新審視遠程接入安全，將安全建設(shè)思路從“安全功能”向常態(tài)化“攻防對抗”轉(zhuǎn)變。

一、常態(tài)化攻防對抗下, 現(xiàn)有遠程接入方式有哪些不足?

如果打通網(wǎng)絡(luò)，將業(yè)務(wù)系統(tǒng)直接發(fā)布到互聯(lián)網(wǎng)，安全風險極高，若通過防火墻等設(shè)備進行源IP地址接入限制，運維難度極大，因此，大部分單位采用VPN/SDP代理訪問方式，雖提高了業(yè)務(wù)系統(tǒng)的接入安全性，但在常態(tài)化的攻防對抗下，安全效果仍存在很多不足：

1. 不法分子冒用身份接入內(nèi)網(wǎng)。普通VPN/SDP通常僅支持雙因素認證，無法識別和阻斷不法分子利用合法賬號進行異常登錄的行為，如非常用地點登錄、賬號在新終端登錄等異常情形。

2. 終端威脅易擴散至內(nèi)網(wǎng)。接入終端多種多樣，尤其是BYOD終端難以保障其安全性，若終端失陷便可以隨意借助普通VPN/SDP接入通道，對內(nèi)網(wǎng)進行攻擊，難防護、難溯源。

3. 設(shè)備易成為攻擊對象。VPN/SDP屬于邊界入口產(chǎn)品，本身會暴露在互聯(lián)網(wǎng)，任何人均可以訪問，容易成為惡意攻擊對象。

不法分子突破邊界入侵內(nèi)網(wǎng)。傳統(tǒng)VPN/SDP產(chǎn)品對終端到設(shè)備的流量會進行SSL加密，但不具備安全檢測能力，邊界被入侵后很難發(fā)現(xiàn)異常行為，導致不法分子突破邊界后，在內(nèi)網(wǎng)肆意破壞或竊取數(shù)據(jù)。

因此，作為關(guān)鍵邊界入口產(chǎn)品，VPN/SDP需要具備常態(tài)化攻防對抗的能力。

　　二、攻防實戰(zhàn)中，“零信任”安全如何構(gòu)筑防線?

針對實戰(zhàn)攻防常見場景，深信服提出了安全接入的“3+4”安全防護思路并應(yīng)用在零信任SDP產(chǎn)品上。“3+4”安全防護思路即：三道防線和四大閉環(huán)能力。用戶在終端上登錄賬號，通過SDP設(shè)備訪問業(yè)務(wù)系統(tǒng)，在這個過程中，賬號、終端、SDP設(shè)備是三大主要攻擊對象。

　　1.基于賬號、終端、設(shè)備構(gòu)建三道安全防線

① 確保賬號安全

很多企業(yè)賬號設(shè)置為工號、手機號、姓名拼音等，并且經(jīng)常多個系統(tǒng)采用相同的賬號，用戶經(jīng)常會將密碼設(shè)置為生日、手機號等簡單的組合。攻擊者很容易通過猜解、社工、釣魚、撞庫等多種手段獲取賬號信息，并通過弱口令爆破等方式破解密碼。

假設(shè)“賬號泄露難以避免”，基于攻防視角，深信服零信任aTrust從“多因素認證+密碼安全防護+防爆破+行為安全(基于終端、地點、時間、訪問行為等)”多個方面來進行防護，確保用戶身份的合法性。

② 提升終端安全

員工接入終端多種多樣，尤其大量員工采用BYOD終端訪問業(yè)務(wù)系統(tǒng)，終端可能存在操作系統(tǒng)補丁未及時更新、未安裝殺毒軟件、未開啟系統(tǒng)防火墻、被釣魚掛馬等情形，導致終端成為業(yè)務(wù)訪問中較為薄弱的一環(huán)，一旦終端失陷，攻擊者很容易橫向遷移，攻擊內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)。

假設(shè)“遠程辦公的終端已經(jīng)失陷”，深信服零信任aTrust從攻防視角出發(fā)，從“基礎(chǔ)終端安全(準入/桌管/殺毒等)+進程安全+網(wǎng)絡(luò)隔離+終端數(shù)據(jù)防泄露”多個方面進行保護，提升在業(yè)務(wù)訪問過程中終端的安全性。

③ 保障設(shè)備安全

業(yè)務(wù)系統(tǒng)被收縮到內(nèi)網(wǎng)后，攻擊難度增加，因此零信任SDP設(shè)備本身就成為遠程接入場景被攻擊的主要目標。攻擊者通常針對設(shè)備對外暴露的業(yè)務(wù)端口、運維端口、中間件/框架漏洞、API接口、邏輯越權(quán)漏洞、認證繞過漏洞，甚至是對設(shè)備源碼分析等方式進行攻擊。

假設(shè)“攻防演練中設(shè)備一定會被攻擊”，基于攻防視角，深信服零信任aTrust從以下多個方面來提升，全方位保障設(shè)備安全。

2.基于加固、運營、溯源、補丁更新構(gòu)建四大閉環(huán)

除了加強接入過程的防護以外，深信服零信任aTrust還提供了“加固、運營、溯源和補丁更新”四大閉環(huán)能力，能夠針對攻擊鏈，在事前進行安全加固、在事中持續(xù)進行檢測響應(yīng)、在事后進行溯源，并針對遇到的問題快速進行補丁修復，這樣才能真正做好有效防御，構(gòu)建攻防對抗中的安全防護閉環(huán)。

年度網(wǎng)絡(luò)攻防實戰(zhàn)即將到來，守護好安全的最后一公里，是各政企事業(yè)單位及組織的防御之道。深信服助力企業(yè)網(wǎng)絡(luò)安全體系向零信任架構(gòu)遷移，以更安全、體驗更好、適應(yīng)性更強的遠程辦公網(wǎng)絡(luò)，增強企業(yè)在實戰(zhàn)中的攻防對抗能力。

目前，深信服零信任在金融、運營商、互聯(lián)網(wǎng)企業(yè)、教育、政府科研等各行各業(yè)落地實施，服務(wù)上千家客戶，其輕量級、易落地、高安全性的優(yōu)勢受到越來越多的用戶認可。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）