時(shí)至今日,,零信任已經(jīng)不再冷門。但是大部分人對(duì)于零信任的了解還停留在概念層面,,知道零信任有哪些能力,,但不知道零信任到底怎么解決實(shí)際問題的,。
其實(shí),零信任本身是非常落地的,,著名的零信任架構(gòu)BeyondCorp就是谷歌公司根據(jù)自身的攻防實(shí)踐總結(jié)出來的,。谷歌內(nèi)部一直沿用至今,效果顯著,。
下面舉一個(gè)黑客攻擊的實(shí)戰(zhàn)案例,,看看企業(yè)網(wǎng)絡(luò)存在哪些問題。然后再看看面對(duì)同樣的攻擊,,零信任能起什么作用,。(案例根據(jù)《黑客出更》改編)
1、一次黑客攻擊實(shí)戰(zhàn)
?。?)背景
Alpha公司(化名)是國際知名的系統(tǒng)軟件公司,。Hammer系統(tǒng)是公司的核心產(chǎn)品,產(chǎn)品質(zhì)量行業(yè)第一,。但是Hammer系統(tǒng)在給公司帶來巨額收入的同時(shí),,也引起了很多同行的覬覦……
小黑是一名“客齡”三年的職業(yè)黑客。
某天,,一個(gè)身穿西服老板模樣的人找到小黑,,出價(jià)500萬,要偷到Hammer軟件下一個(gè)版本的全部源代碼,。
商業(yè)競(jìng)爭(zhēng)的事情,,小黑也不是很明白,反正回報(bào)異常豐厚,,小黑決定接受這個(gè)合約,。
(2)收集信息
開始攻擊之前,,小黑對(duì)Alpha公司的信息進(jìn)行了全方位的搜集,。
小黑用谷歌搜到了很多Alpha公司的員工郵箱。小黑查看了所有郵箱的前綴,,很快就猜出了Alpha公司郵箱的命名規(guī)則——姓名的全拼,。
在網(wǎng)上搜索員工信息時(shí),小黑還發(fā)現(xiàn)了不少Alpha公司大牛分享的技術(shù)帖,,里面就包含很多Alpha公司的網(wǎng)絡(luò)情況。小黑還意外地在一個(gè)合作公司的網(wǎng)站上找到了Alpha公司部分銷售機(jī)構(gòu)的通訊錄,。
在收集了大約200個(gè)公司的郵箱地址后,,小黑覺得信息搜集得差不多了。
?。?)釣魚
為了配合下一步的攻擊行動(dòng),,小黑做了一個(gè)假的游戲網(wǎng)站,。
小黑從之前搜集的郵箱中選出10個(gè)(控制數(shù)量避免垃圾過濾),發(fā)送了一封釣魚郵件——免費(fèi)試玩最新游戲,。大致內(nèi)容是我公司正在測(cè)試一款新的游戲,,需要高手的測(cè)試,你是游戲高手嗎,?來試試,!郵件中有個(gè)游戲的下載鏈接。當(dāng)然,,游戲文件是帶木馬的,。
小明是個(gè)年輕的碼農(nóng),除了寫代碼,,就是玩游戲,。一天早晨,小明瀏覽公司郵件時(shí),,發(fā)現(xiàn)了免費(fèi)試玩游戲的郵件,,“酷啊,!”小明贊嘆著,,內(nèi)心的沖動(dòng)讓他決定要試一試。
小明知道不能讓公司抓住自己通過公司網(wǎng)絡(luò)下載游戲,,所以,,他先關(guān)閉了公司的VPN連接,然后點(diǎn)擊了郵件中的鏈接下載游戲,。
下載后小明進(jìn)行了病毒掃描,,沒問題后才開始游戲。游戲是個(gè)“綠色”軟件,,無需安裝,,小明感覺很不錯(cuò),玩得很過癮,,還寫了一個(gè)郵件,,給“開發(fā)商”提了些建議。
當(dāng)然他沒有注意到,,游戲開始的同時(shí),,木馬后門程序已經(jīng)開始工作。(小黑深知Alpha公司終端管控軟件的厲害,,木馬沒有在本地留痕跡,,而是注入到了進(jìn)程中)
(4)傳播
玩了一會(huì)兒游戲,,小明開始繼續(xù)工作,,所以又打開了與公司的VPN連接,。
此時(shí)小明機(jī)器中的木馬進(jìn)程開始通過VPN鏈路掃描整個(gè)Alpha公司的網(wǎng)絡(luò)。不一會(huì)就掃描到了一個(gè)文件共享服務(wù)器,,上面有很多員工常用的軟件,,也包括VPN客戶端軟件。
這個(gè)服務(wù)器的安全管理很差,,小黑沒費(fèi)什么力氣就獲得了管理員權(quán)限,。
小黑替換了服務(wù)器上的一個(gè)常用的文字編輯軟件,并在軟件中植入了竊聽木馬,。
公司的其他員工下載使用這個(gè)軟件時(shí),,木馬先復(fù)制自己,再正常運(yùn)行,,所以用戶也沒有感覺到什么異常,,很快,小黑的竊聽木馬在Alpha公司內(nèi)部四處傳播,。
?。?)盜號(hào)
小黑的竊聽木馬可以收集系統(tǒng)內(nèi)的密碼文件,可以記錄用戶建立新連接時(shí)鍵盤記錄,,還可以分析流量過濾登錄時(shí)填寫的用戶ID與密碼,。
木馬把所有搜集到的密碼都傳到了小黑手里進(jìn)行破解。不到三個(gè)小時(shí),,小黑就獲得了50多個(gè)密碼,,其中還包括研發(fā)副總裁和產(chǎn)品總監(jiān)的賬號(hào)密碼。
?。?)竊取
利用這些剛破解的密碼,,小黑以“合法身份”登上Alpha公司的VPN,進(jìn)入了Alpha公司的內(nèi)部網(wǎng)絡(luò),。
小黑開始慢慢地掃描Hammer軟件源代碼的藏身之處,。(減少掃描頻率是為了避免被發(fā)現(xiàn))
為了不讓安全人員的注意到自己的掃描行為,小黑還對(duì)Alpha公司的外部網(wǎng)站進(jìn)行了間歇性的DDoS攻擊,,給自己打掩護(hù),。
在定位了Hammer源代碼的位置后,小黑利用此前盜取的賬號(hào),,很快取得了代碼倉庫的下載權(quán)限,。
“寶藏”到手了,小黑高興得叫了出來,。當(dāng)然,,工作需要小心地、一步一步地進(jìn)行…沒有幾天,,小黑通過幾臺(tái)肉雞把全部代碼分割打包逐步下載了到自己的系統(tǒng)中,。
(7)收尾
取走源碼之后,,小黑沒忘記清理自己的入侵痕跡,,下指令讓木馬自我毀滅,并利用it運(yùn)維權(quán)限刪除了日志,。
成功的小黑如期“交貨”,,看著驚訝又欽佩的老板,愜意地點(diǎn)著厚厚的鈔票……
2,、問題分析:最大的漏洞是人的漏洞
上面例子中小黑用的是一個(gè)非常典型的攻擊套路,,這種套路的特點(diǎn)是以“人”為攻擊的中心,先尋找弱點(diǎn)入侵設(shè)備或竊取身份,,隨后以入侵點(diǎn)為跳板,,蔓延到整個(gè)網(wǎng)絡(luò),最后披著合法的身份干壞事,。
在小黑的攻擊之下,,Alpha公司暴露了三個(gè)值得注意的問題:
(1)員工安全意識(shí)不足,,導(dǎo)致設(shè)備的防護(hù)措施失效
因?yàn)槿说陌踩庾R(shí)參差不齊,,容易做出各種違規(guī)操作。現(xiàn)實(shí)中很多企業(yè)可能已經(jīng)上了安全軟件,,但員工有時(shí)候?yàn)榱俗约悍奖?,?huì)關(guān)掉這些殺毒、終端管理軟件,。這時(shí),,員工就很容易中招。
案例中,,小黑通過釣魚,,很容易就讓小明中招,入侵了小明的設(shè)備,。
再比如,,有人的電腦經(jīng)常不鎖屏。之前碰到過一個(gè)案例是攻擊方從地下車庫混進(jìn)了公司大廈,,跟著其他員工混過了門禁,。在辦公區(qū)看到?jīng)]鎖屏的電腦,就插上帶毒的U盤,,直接植入木馬,。
(2)內(nèi)網(wǎng)權(quán)限疏于管理,威脅進(jìn)來就會(huì)快速傳播
一般企業(yè)網(wǎng)絡(luò)會(huì)對(duì)外部徹底隔離,,但是對(duì)已經(jīng)接入內(nèi)網(wǎng)的人限制很少,。這就給攻擊者提供了極大的便利。
案例中,,小黑入侵小明的設(shè)備之后,,可以隨意掃描內(nèi)網(wǎng),并且很快就找到了有漏洞的系統(tǒng),。
系統(tǒng)漏洞沒法避免,,但是權(quán)限過度的問題可以避免。
小明可以使用文件共享服務(wù),,但是管理端口應(yīng)該完全不對(duì)小明暴露才對(duì),。對(duì)小明暴露,就相當(dāng)于對(duì)小黑暴露了,。
?。?)身份泄露后,黑客以“合法身份”竊取數(shù)據(jù),,難以攔截
除了黑客直接盜號(hào)之外,,員工常常會(huì)互相“借用”賬號(hào),“共享”賬號(hào),,造成身份信息泄露,。加上各種弱密碼、社會(huì)上的密碼泄露事件等等,,對(duì)于安全人員來說,,基本可以默認(rèn)用戶的賬號(hào)密碼肯定會(huì)被泄露。
有些公司會(huì)記錄一些網(wǎng)絡(luò)數(shù)據(jù),,審計(jì)分析用戶行為,。但這些系統(tǒng)通常是“外掛式”的,很少能夠做到貼合業(yè)務(wù),,及時(shí)發(fā)現(xiàn)并攔截異常行為,。
案例中的小黑是非常狡猾的,利用合法的身份作掩護(hù),,還會(huì)通過一些技巧,,如慢掃描、無文件攻擊,、切割文件后分批傳走等等方式躲避安全人員的監(jiān)控,。所以,小黑的非法行為很難察覺,。
3,、解決方案:通過安全框架克服人的不可靠性
攻擊的核心是“人”,所以防御的核心必須也是“人”。防御小黑這類攻擊的關(guān)鍵就是通過建立一套“安全框架”,,去克服“人”的不可靠性,。
零信任就是一種聚合了很多實(shí)用的技術(shù),針對(duì)“人”做全面防御的安全框架,。
?。?)人的安全意識(shí)比較低,,但是零信任可以強(qiáng)制要求人去提高
零信任可以收集終端設(shè)備的安全狀態(tài),,并制定限制條件,如果達(dá)不到要求,,就不讓訪問,。
比如,為了避免病毒的傳播,,“零信任客戶端”可以檢測(cè)用戶電腦上是否裝了殺毒軟件和終端管理軟件,。零信任網(wǎng)關(guān)守護(hù)在內(nèi)網(wǎng)入口,只有客戶端檢測(cè)成功,,并且上報(bào)給網(wǎng)關(guān),,零信任網(wǎng)關(guān)才會(huì)放行。
這樣,,不安全的設(shè)備就沒法接入內(nèi)網(wǎng),,避免了因?yàn)橛脩舭踩庾R(shí)不足而引入風(fēng)險(xiǎn)。(為了防御一些高級(jí)威脅,,零信任還可以與EDR產(chǎn)品聯(lián)動(dòng))
為了實(shí)現(xiàn)數(shù)據(jù)防泄密,,可以要求客戶端檢測(cè)用戶是否正在使用云桌面,如果沒有,,則不讓該用戶訪問一些重要的資源,,避免源代碼、客戶名單等敏感信息的泄露,。
為了避免攻擊者買通內(nèi)鬼或者自己混入辦公室傳播風(fēng)險(xiǎn),,可以要求客戶端檢測(cè)用戶是否設(shè)置了鎖屏密碼,如果沒有則不讓接入內(nèi)網(wǎng),。
為了避免攻擊者遠(yuǎn)程控制用戶設(shè)備,,可以要求客戶端檢測(cè)用戶是否關(guān)閉了遠(yuǎn)程服務(wù)、遠(yuǎn)程共享,,如果沒有則不讓接入內(nèi)網(wǎng),。
(2)零信任網(wǎng)絡(luò)中,,人和資源天然就是隔離的,,威脅不會(huì)快速傳播
零信任網(wǎng)絡(luò)中,零信任網(wǎng)關(guān)處于整個(gè)內(nèi)網(wǎng)的入口位置,隔離了人和資源,。
攻擊者即便竊取了賬號(hào)和設(shè)備,,也不能直接進(jìn)入內(nèi)網(wǎng)。攻擊者能做的事情非常有限,。
首先,,攻擊者掃不出幾個(gè)端口了。
零信任的SPA隱身技術(shù)能攔截掉未授權(quán)的端口掃描,。用戶如果沒有訪問權(quán)限的話,,那么相應(yīng)的服務(wù)器端口不會(huì)對(duì)其開放。攻擊者發(fā)出的端口探測(cè)請(qǐng)求會(huì)被零信任網(wǎng)關(guān)中的防火墻直接丟棄,。(具體可以參考我的文章《揭秘零信任里的“隱身”黑科技》)
這樣的話,,案例中的小黑只能掃到小明有權(quán)訪問的服務(wù)器,不能在整個(gè)內(nèi)網(wǎng)大范圍掃描,。
其次,,攻擊者沒法直連服務(wù)器了。
零信任網(wǎng)關(guān)可以限制只做應(yīng)用層的代理和準(zhǔn)入,。
此時(shí),,小黑會(huì)發(fā)現(xiàn)與他直連的只有零信任網(wǎng)關(guān),對(duì)于真實(shí)的業(yè)務(wù)服務(wù)器則只能通過零信任網(wǎng)關(guān)的轉(zhuǎn)發(fā),,進(jìn)行HTTPS協(xié)議的通信,。
再次,成熟的零信任還會(huì)包括數(shù)據(jù)級(jí)的統(tǒng)一權(quán)限管理,。小黑會(huì)發(fā)現(xiàn)web頁面中也不是所有數(shù)據(jù)都能訪問,。
最后,即便攻擊者入侵了一臺(tái)服務(wù)器,,他也沒法以此為跳板繼續(xù)橫向攻擊,。
零信任的微隔離技術(shù)可以做服務(wù)器之間的訪問控制,。攻擊者入侵了一個(gè)服務(wù)器之后,,掃描同一網(wǎng)段的其他服務(wù)器,是掃不到的,。其他服務(wù)器上的微隔離agent會(huì)攔截掉探測(cè)流量,。(具體可以參考我的文章《用微隔離技術(shù)實(shí)現(xiàn)零信任》)
(3)密碼會(huì)泄露,,但是零信任還會(huì)驗(yàn)證設(shè)備,、人臉、行為
首先,,設(shè)備綁定和多因子認(rèn)證是零信任必備的功能,。
攻擊者盜號(hào)之后,,零信任客戶端會(huì)檢測(cè)設(shè)備是否在可信名單中,用新設(shè)備登錄會(huì)被視為一種可疑事件,,觸發(fā)一次多因子認(rèn)證,。
案例中,小黑沒有Alpha公司發(fā)給員工的可信設(shè)備,,是沒法直接登錄VPN接入內(nèi)網(wǎng)的,。
一些特別重要的應(yīng)用,可以要求首次登錄時(shí)必須做一次多因子認(rèn)證,,比如人臉識(shí)別之后才能進(jìn)入,。
有些特別重要的系統(tǒng)甚至可以要求客戶端全程開啟人臉識(shí)別,用戶離開座位或者有人在后面圍觀就自動(dòng)斷開連接,。
其次,,即使身份蒙混過關(guān),異常行為也會(huì)讓他露餡,。
零信任框架包含識(shí)別“異常行為”的能力,并且跟業(yè)務(wù)層結(jié)合的很緊,。通過客戶端和網(wǎng)關(guān)的配合,,可以在發(fā)生異常情況時(shí),觸發(fā)二次認(rèn)證,,驗(yàn)證用戶短信或人臉識(shí)別后才允許繼續(xù)通信,。
比如用戶10分鐘前還在北京,10分鐘后登錄位置突然變成了上海,。這種異常的位置變化代表賬號(hào)可能被盜了,。
這時(shí),零信任平臺(tái)會(huì)命令客戶端和網(wǎng)關(guān)暫時(shí)中斷通信,,提示讓用戶驗(yàn)證一下短信,,通過之后,再恢復(fù)正常通信,。
案例中,,小黑的所有行為都會(huì)被持續(xù)監(jiān)控,很多攻擊行為都會(huì)被視為可疑事件,,比如入侵小明的電腦后留下了可疑的進(jìn)程,,掃描內(nèi)網(wǎng)時(shí)訪問行為具有強(qiáng)烈的規(guī)律性,短時(shí)間內(nèi)大量下載源碼文件的行為等等,,都會(huì)觸發(fā)二次認(rèn)證,,阻止小黑繼續(xù)干壞事,同時(shí)引起小明的警覺,。
4,、有零信任之后,案例變成什么樣子
?。?)釣魚階段:愛玩的小明還是會(huì)被釣魚,,下載木馬。但是小明進(jìn)入內(nèi)網(wǎng)前,,零信任客戶端會(huì)主動(dòng)檢測(cè)設(shè)備的安全能力是否開啟,,設(shè)備是否處于安全狀態(tài),木馬很快會(huì)被發(fā)現(xiàn)和處理,。
?。?)傳播階段:零信任會(huì)通過隱身和隔離技術(shù)限制風(fēng)險(xiǎn)的傳播,讓小黑探測(cè)不到有價(jià)值的目標(biāo),。零信任還會(huì)持續(xù)檢測(cè)傳播風(fēng)險(xiǎn)的異常行為,,觸發(fā)多因子認(rèn)證,,封鎖小黑的下一步行動(dòng),。
(3)盜號(hào)階段:小黑可以盜取賬號(hào)密碼,,但是小黑沒法通過設(shè)備認(rèn)證和多因子認(rèn)證,,所以盜了也沒用,。
?。?)竊取階段:小黑在前幾個(gè)階段沒法突破零信任對(duì)身份認(rèn)證、設(shè)備認(rèn)證,、行為檢測(cè)、網(wǎng)絡(luò)授權(quán)等方面的限制,,最終還是沒法竊取到數(shù)據(jù),。
5、一句話總結(jié):零信任到底能干嘛,?
黑客攻防中,,人是最大的漏洞。零信任就是不相信任何人,,通過安全框架彌補(bǔ)人的不可靠性,綜合各類檢測(cè),、認(rèn)證和限制,,讓原本來去自如的攻擊者寸步難行。