近年來(lái)，數(shù)字化轉(zhuǎn)型和疫情防控的剛需催生了遠(yuǎn)程辦公新常態(tài)，遠(yuǎn)程接入場(chǎng)景下業(yè)務(wù)系統(tǒng)暴露面不斷擴(kuò)大，而攻擊方式更加專業(yè)和系統(tǒng)化，我們不得不重新審視遠(yuǎn)程接入安全，將安全建設(shè)思路從“安全功能”向常態(tài)化“攻防對(duì)抗”轉(zhuǎn)變。

一、常態(tài)化攻防對(duì)抗下, 現(xiàn)有遠(yuǎn)程接入方式有哪些不足?

如果打通網(wǎng)絡(luò)，將業(yè)務(wù)系統(tǒng)直接發(fā)布到互聯(lián)網(wǎng)，安全風(fēng)險(xiǎn)極高，若通過(guò)防火墻等設(shè)備進(jìn)行源IP地址接入限制，運(yùn)維難度極大，因此，大部分單位采用VPN/SDP代理訪問(wèn)方式，雖提高了業(yè)務(wù)系統(tǒng)的接入安全性，但在常態(tài)化的攻防對(duì)抗下，安全效果仍存在很多不足：

1. 不法分子冒用身份接入內(nèi)網(wǎng)。普通VPN/SDP通常僅支持雙因素認(rèn)證，無(wú)法識(shí)別和阻斷不法分子利用合法賬號(hào)進(jìn)行異常登錄的行為，如非常用地點(diǎn)登錄、賬號(hào)在新終端登錄等異常情形。

2. 終端威脅易擴(kuò)散至內(nèi)網(wǎng)。接入終端多種多樣，尤其是BYOD終端難以保障其安全性，若終端失陷便可以隨意借助普通VPN/SDP接入通道，對(duì)內(nèi)網(wǎng)進(jìn)行攻擊，難防護(hù)、難溯源。

3. 設(shè)備易成為攻擊對(duì)象。VPN/SDP屬于邊界入口產(chǎn)品，本身會(huì)暴露在互聯(lián)網(wǎng)，任何人均可以訪問(wèn)，容易成為惡意攻擊對(duì)象。

不法分子突破邊界入侵內(nèi)網(wǎng)。傳統(tǒng)VPN/SDP產(chǎn)品對(duì)終端到設(shè)備的流量會(huì)進(jìn)行SSL加密，但不具備安全檢測(cè)能力，邊界被入侵后很難發(fā)現(xiàn)異常行為，導(dǎo)致不法分子突破邊界后，在內(nèi)網(wǎng)肆意破壞或竊取數(shù)據(jù)。

因此，作為關(guān)鍵邊界入口產(chǎn)品，VPN/SDP需要具備常態(tài)化攻防對(duì)抗的能力。

　　二、攻防實(shí)戰(zhàn)中，“零信任”安全如何構(gòu)筑防線?

針對(duì)實(shí)戰(zhàn)攻防常見場(chǎng)景，深信服提出了安全接入的“3+4”安全防護(hù)思路并應(yīng)用在零信任SDP產(chǎn)品上。“3+4”安全防護(hù)思路即：三道防線和四大閉環(huán)能力。用戶在終端上登錄賬號(hào)，通過(guò)SDP設(shè)備訪問(wèn)業(yè)務(wù)系統(tǒng)，在這個(gè)過(guò)程中，賬號(hào)、終端、SDP設(shè)備是三大主要攻擊對(duì)象。

　　1.基于賬號(hào)、終端、設(shè)備構(gòu)建三道安全防線

① 確保賬號(hào)安全

很多企業(yè)賬號(hào)設(shè)置為工號(hào)、手機(jī)號(hào)、姓名拼音等，并且經(jīng)常多個(gè)系統(tǒng)采用相同的賬號(hào)，用戶經(jīng)常會(huì)將密碼設(shè)置為生日、手機(jī)號(hào)等簡(jiǎn)單的組合。攻擊者很容易通過(guò)猜解、社工、釣魚、撞庫(kù)等多種手段獲取賬號(hào)信息，并通過(guò)弱口令爆破等方式破解密碼。

假設(shè)“賬號(hào)泄露難以避免”，基于攻防視角，深信服零信任aTrust從“多因素認(rèn)證+密碼安全防護(hù)+防爆破+行為安全(基于終端、地點(diǎn)、時(shí)間、訪問(wèn)行為等)”多個(gè)方面來(lái)進(jìn)行防護(hù)，確保用戶身份的合法性。

② 提升終端安全

員工接入終端多種多樣，尤其大量員工采用BYOD終端訪問(wèn)業(yè)務(wù)系統(tǒng)，終端可能存在操作系統(tǒng)補(bǔ)丁未及時(shí)更新、未安裝殺毒軟件、未開啟系統(tǒng)防火墻、被釣魚掛馬等情形，導(dǎo)致終端成為業(yè)務(wù)訪問(wèn)中較為薄弱的一環(huán)，一旦終端失陷，攻擊者很容易橫向遷移，攻擊內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)。

假設(shè)“遠(yuǎn)程辦公的終端已經(jīng)失陷”，深信服零信任aTrust從攻防視角出發(fā)，從“基礎(chǔ)終端安全(準(zhǔn)入/桌管/殺毒等)+進(jìn)程安全+網(wǎng)絡(luò)隔離+終端數(shù)據(jù)防泄露”多個(gè)方面進(jìn)行保護(hù)，提升在業(yè)務(wù)訪問(wèn)過(guò)程中終端的安全性。

③ 保障設(shè)備安全

業(yè)務(wù)系統(tǒng)被收縮到內(nèi)網(wǎng)后，攻擊難度增加，因此零信任SDP設(shè)備本身就成為遠(yuǎn)程接入場(chǎng)景被攻擊的主要目標(biāo)。攻擊者通常針對(duì)設(shè)備對(duì)外暴露的業(yè)務(wù)端口、運(yùn)維端口、中間件/框架漏洞、API接口、邏輯越權(quán)漏洞、認(rèn)證繞過(guò)漏洞，甚至是對(duì)設(shè)備源碼分析等方式進(jìn)行攻擊。

假設(shè)“攻防演練中設(shè)備一定會(huì)被攻擊”，基于攻防視角，深信服零信任aTrust從以下多個(gè)方面來(lái)提升，全方位保障設(shè)備安全。

2.基于加固、運(yùn)營(yíng)、溯源、補(bǔ)丁更新構(gòu)建四大閉環(huán)

除了加強(qiáng)接入過(guò)程的防護(hù)以外，深信服零信任aTrust還提供了“加固、運(yùn)營(yíng)、溯源和補(bǔ)丁更新”四大閉環(huán)能力，能夠針對(duì)攻擊鏈，在事前進(jìn)行安全加固、在事中持續(xù)進(jìn)行檢測(cè)響應(yīng)、在事后進(jìn)行溯源，并針對(duì)遇到的問(wèn)題快速進(jìn)行補(bǔ)丁修復(fù)，這樣才能真正做好有效防御，構(gòu)建攻防對(duì)抗中的安全防護(hù)閉環(huán)。

年度網(wǎng)絡(luò)攻防實(shí)戰(zhàn)即將到來(lái)，守護(hù)好安全的最后一公里，是各政企事業(yè)單位及組織的防御之道。深信服助力企業(yè)網(wǎng)絡(luò)安全體系向零信任架構(gòu)遷移，以更安全、體驗(yàn)更好、適應(yīng)性更強(qiáng)的遠(yuǎn)程辦公網(wǎng)絡(luò)，增強(qiáng)企業(yè)在實(shí)戰(zhàn)中的攻防對(duì)抗能力。

目前，深信服零信任在金融、運(yùn)營(yíng)商、互聯(lián)網(wǎng)企業(yè)、教育、政府科研等各行各業(yè)落地實(shí)施，服務(wù)上千家客戶，其輕量級(jí)、易落地、高安全性的優(yōu)勢(shì)受到越來(lái)越多的用戶認(rèn)可。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）