“現(xiàn)在的內(nèi)控越來(lái)越嚴(yán)了，如果想拷走電腦上的文件，很快就會(huì)被發(fā)現(xiàn)。”一位知名互聯(lián)網(wǎng)企業(yè)的員工日前告訴新京報(bào)貝殼財(cái)經(jīng)記者。

此前據(jù)媒體報(bào)道，一家互聯(lián)網(wǎng)巨頭公司在某重點(diǎn)城市的日均單量數(shù)據(jù)被賣(mài)給競(jìng)爭(zhēng)對(duì)手公司，價(jià)格為2萬(wàn)元。

新京報(bào)貝殼財(cái)經(jīng)記者梳理信息泄露事件發(fā)現(xiàn)，除了競(jìng)爭(zhēng)對(duì)手之間互相“挖底”外，不少公眾信息泄露事件的源頭并非外來(lái)的黑客入侵，而是“城門(mén)失火”，由內(nèi)部人員無(wú)意或故意泄露。此外，由于疫情對(duì)異地辦公的要求，過(guò)往的“拿到賬戶密碼一切不設(shè)防”的內(nèi)網(wǎng)安全模式已經(jīng)愈發(fā)不適應(yīng)當(dāng)前企業(yè)及個(gè)人對(duì)數(shù)據(jù)安全、隱私保護(hù)的要求。

在這樣的背景下，由研究機(jī)構(gòu)Forrester的首席分析師約翰·金德維格在2010年提出的“零信任”安全概念重新火爆了起來(lái)，新京報(bào)貝殼財(cái)經(jīng)記者了解到，騰訊、華為等企業(yè)近期紛紛推出以“零信任”為賣(mài)點(diǎn)的tob安全業(yè)務(wù)，而在此之前，諸多大廠已經(jīng)上線了更加嚴(yán)格的內(nèi)部監(jiān)管流程，這些內(nèi)控流程處處透露著“零信任”的味道。

什么是“零信任”？它能夠解決行業(yè)內(nèi)鬼，保護(hù)企業(yè)數(shù)據(jù)及民眾隱私嗎？

數(shù)據(jù)泄露源頭指向“內(nèi)部人員”，用U盤(pán)拷貝資料或涉侵犯商業(yè)秘密罪。

前述描寫(xiě)互聯(lián)網(wǎng)大廠之間互挖“情報(bào)”的報(bào)道引發(fā)了業(yè)內(nèi)關(guān)注。文章透露，互聯(lián)網(wǎng)巨頭公司數(shù)據(jù)泄露的源頭是手握數(shù)據(jù)權(quán)限的“內(nèi)部人員”。

此外，直接將個(gè)人信息賣(mài)給黑灰產(chǎn)的“toc”生意也屢見(jiàn)不鮮。新京報(bào)貝殼財(cái)經(jīng)記者曾在黑灰產(chǎn)平臺(tái)上發(fā)現(xiàn)不少銀行客戶、車(chē)主信息被以1到3元一條的價(jià)格公開(kāi)出售，而被問(wèn)及信息來(lái)源，不少賣(mài)家表示是自己在工作中“收集”到的。

大數(shù)據(jù)時(shí)代，對(duì)于互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)，數(shù)據(jù)是影響生存核心機(jī)密。以進(jìn)行“補(bǔ)貼大戰(zhàn)”的兩家互聯(lián)網(wǎng)公司為例，如果拿到競(jìng)爭(zhēng)對(duì)手在各個(gè)城市當(dāng)天的補(bǔ)貼以及單量的Excel表格，就可以根據(jù)對(duì)手的補(bǔ)貼情況，靈活調(diào)整自己第二天的補(bǔ)貼打法。能接觸到這些數(shù)據(jù)的，往往只有企業(yè)的內(nèi)部員工或者合作伙伴。

在不少互聯(lián)網(wǎng)大廠每年公開(kāi)的風(fēng)控通報(bào)中，因?yàn)楦`取商業(yè)機(jī)密通報(bào)、開(kāi)除員工的情況，已經(jīng)屢見(jiàn)不鮮。為了應(yīng)對(duì)這一現(xiàn)狀，不少企業(yè)加碼了自己的風(fēng)控水平。

“如果你連續(xù)下載源代碼文件，并且在USB接口上插了U盤(pán)進(jìn)行文件拷貝，我們（安全系統(tǒng)）就有感知。”芯盾時(shí)代研發(fā)副總裁陳曦告訴新京報(bào)貝殼財(cái)經(jīng)記者，“而且如果員工連續(xù)大量下載文件，零信任安全平臺(tái)基于風(fēng)控模型和算法進(jìn)行風(fēng)險(xiǎn)程度判斷，一旦超過(guò)了企業(yè)設(shè)定的風(fēng)險(xiǎn)閾值，零信任安全平臺(tái)可以及時(shí)阻斷這種行為。”

新京報(bào)貝殼財(cái)經(jīng)記者發(fā)現(xiàn)，因“大量下載文件”被風(fēng)控系統(tǒng)發(fā)現(xiàn)，最終觸及侵犯商業(yè)秘密罪的例子并不少見(jiàn)。如裁判文書(shū)網(wǎng)在今年4月12日發(fā)布了“孫某某、英格索蘭工業(yè)美國(guó)公司侵害技術(shù)秘密糾紛二審民事判決書(shū)”。判決書(shū)透露，孫某某將公司大量保密信息存入私人存儲(chǔ)設(shè)備、帶離公司場(chǎng)所。

孫某某在與英格索蘭上海公司合規(guī)部門(mén)工作人員的面談筆錄顯示，其所持有的公司內(nèi)部賬戶在公司的Wind-Chi11系統(tǒng)中下載了69萬(wàn)余份文件，并且將公司資料下載到硬盤(pán)以及轉(zhuǎn)發(fā)到了自己的私人郵箱里。

最高人民法院的終審判決認(rèn)為，孫某某的行為構(gòu)成《中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法》第九條禁止的以其他不正當(dāng)手段獲取權(quán)利人的商業(yè)秘密的侵犯商業(yè)秘密行為，應(yīng)承擔(dān)相應(yīng)的民事責(zé)任。

“從用戶的行為而不是身份上去做風(fēng)控正變得越來(lái)越重要。”有從事企業(yè)風(fēng)控的人士告訴新京報(bào)貝殼財(cái)經(jīng)記者，“換句話說(shuō)，不能因?yàn)檎l(shuí)有用戶密碼就完全信任誰(shuí)。”

“零信任”大行其道

證明員工身份的不是密碼，是行為。11年前，研究機(jī)構(gòu)Forrester的首席分析師約翰·金德維格提出了“零信任”安全概念。

零信任既不是技術(shù)也不是產(chǎn)品，而是一種安全理念，“持續(xù)驗(yàn)證，永不信任”是其基本觀點(diǎn)。零信任假定網(wǎng)絡(luò)邊界內(nèi)外的任何訪問(wèn)主體（人/設(shè)備/應(yīng)用），在未經(jīng)過(guò)驗(yàn)證前都不予信任，需要基于持續(xù)的驗(yàn)證和授權(quán)建立動(dòng)態(tài)訪問(wèn)信任，其本質(zhì)是以身份為中心進(jìn)行訪問(wèn)控制。

據(jù)報(bào)道，不少互聯(lián)網(wǎng)公司的員工，都發(fā)現(xiàn)對(duì)自己的監(jiān)管已經(jīng)日益嚴(yán)密。新進(jìn)入阿里、字節(jié)跳動(dòng)、快手這些大廠的員工們往往感到驚訝：離開(kāi)座位時(shí)沒(méi)有關(guān)上電腦，就會(huì)被風(fēng)控部門(mén)叫去“談話”，甚至被罰款。滴滴的老員工發(fā)現(xiàn)，曾經(jīng)可以隨意查看的跨部門(mén)的單量信息，現(xiàn)在都已經(jīng)被嚴(yán)密地疊加了權(quán)限；快手、騰訊的老員工發(fā)現(xiàn)，數(shù)據(jù)文檔不能被隨意下載，更不能被傳輸；阿里的老員工發(fā)現(xiàn)，數(shù)據(jù)查看的審批更嚴(yán)格了。

“根據(jù)零信任的理念，風(fēng)險(xiǎn)是持續(xù)變化的。”陳曦告訴記者，“比如說(shuō)我是企業(yè)內(nèi)部的員工，擁有企業(yè)源代碼資源庫(kù)的訪問(wèn)權(quán)限，正常來(lái)講每天會(huì)做一些代碼的拉取和提交，但如果有一天我下載了大量平時(shí)不經(jīng)常訪問(wèn)的數(shù)據(jù)庫(kù)代碼，這就是一個(gè)很可疑的行為，雖然根據(jù)傳統(tǒng)理念，此時(shí)我的身份驗(yàn)證已經(jīng)通過(guò)，但該行為仍然存在風(fēng)險(xiǎn)，所以零信任就是強(qiáng)調(diào)應(yīng)該以一種持續(xù)的方式做信任和風(fēng)險(xiǎn)評(píng)估。

“目前面臨的安全態(tài)勢(shì)主要有幾點(diǎn)，一是安全事件頻發(fā)，比如數(shù)據(jù)泄露事件有逐漸擴(kuò)散化的趨勢(shì)；二是越來(lái)越多的企業(yè)正在把數(shù)據(jù)中心‘上云’，網(wǎng)絡(luò)邊界正逐漸變得模糊；三是疫情期間有大量用戶都處于遠(yuǎn)程辦公的狀態(tài)，這就對(duì)企業(yè)安全有了更高的要求。”騰訊安全總經(jīng)理程文杰告訴新京報(bào)貝殼財(cái)經(jīng)記者。

“對(duì)于內(nèi)鬼問(wèn)題，其實(shí)我們有蠻多客戶提出了這個(gè)方面的訴求。”程文杰告訴記者，“我們其實(shí)會(huì)先解決賬號(hào)被人仿冒的問(wèn)題，比如黑客盜號(hào)這種從外到內(nèi)的問(wèn)題，這是第一階段；第二步，我們才解決從內(nèi)到內(nèi)的問(wèn)題，零信任就是一以身份為邊界，二以數(shù)據(jù)為邊界。以身份為邊界，是解決身份被仿冒的問(wèn)題，以數(shù)據(jù)為邊界，解決的是數(shù)據(jù)被濫用的問(wèn)題。”

“原有的身份鑒別技術(shù)基本上都是用戶名和密碼，但用戶名和密碼很容易失竊，在零信任技術(shù)的落地實(shí)踐當(dāng)中，必然涉及如何能更好地去驗(yàn)證用戶身份，比如當(dāng)我使用App進(jìn)行遠(yuǎn)程連線時(shí)，我無(wú)法看到和我連線的人是誰(shuí)，只能知道對(duì)方的ID，在安全圈里，一個(gè)一直在討論的問(wèn)題就是——如何驗(yàn)證登錄ID的人是我的同事還是一個(gè)黑客偽裝的同事。在我們自己的實(shí)踐中，我們其實(shí)認(rèn)為最能夠代表用戶屬性的不是用戶名和密碼，而更可能是用戶的行為或者一些其他的識(shí)別信息等。”程文杰對(duì)記者表示。

新京報(bào)貝殼財(cái)經(jīng)記者注意到，類(lèi)似“零信任”機(jī)制早已在不少產(chǎn)品中應(yīng)用，如微信、支付寶等都可以通過(guò)掃碼登錄。

程文杰表示，掃碼行為遠(yuǎn)比用戶名和密碼登錄更加值得信任。“掃碼的過(guò)程不需要輸入任何用戶名跟密碼，因?yàn)樗婕皫讉€(gè)組件，以手機(jī)終端為例，手機(jī)本身有指紋、人臉識(shí)別等驗(yàn)證方式，這就已經(jīng)幫我們做了很多安全驗(yàn)證了。最后，掃碼這個(gè)動(dòng)作對(duì)用戶的干擾很小，這一個(gè)動(dòng)作，我們就已經(jīng)把所有用戶認(rèn)證相關(guān)的東西都做進(jìn)去了，這就涉及零信任技術(shù)。”

“零信任”為何火爆？

受疫情影響熱度直線上升。“疫情期間為了方便高校老師和學(xué)生在外地訪問(wèn)學(xué)校的圖書(shū)館、課程通知系統(tǒng)等資源，不得不將這些應(yīng)用的入口開(kāi)放到互聯(lián)網(wǎng)上，在這個(gè)過(guò)程中容易把業(yè)務(wù)端口暴露出來(lái)，被黑客盯上。SaaS（軟件即服務(wù)）版零信任解決方案可以直接通過(guò)企業(yè)微信接入，隱蔽業(yè)務(wù)端口，保障高校業(yè)務(wù)的安全。”程文杰告訴記者。

“從近幾年的觀察來(lái)看，零信任在前面近十年的增長(zhǎng)曲線都是一個(gè)非常平緩的爬坡，有增長(zhǎng)但很慢。不過(guò)到2020年受疫情影響，零信任的熱度直線上升，目前，基本所有的安全廠商都在提零信任概念。”程文杰說(shuō)。

新京報(bào)貝殼財(cái)經(jīng)記者發(fā)現(xiàn)，基于“零信任”理念，騰訊推出了iOA應(yīng)用安全訪問(wèn)服務(wù)（SaaS），華為發(fā)布HiSec零信任安全解決方案，深信服零信任客戶端兼容鴻蒙……

在陳曦看來(lái)，零信任在2020年的火爆與參考標(biāo)準(zhǔn)的推出有關(guān)。“芯盾時(shí)代在2018年就推出了零信任安全產(chǎn)品，并在金融領(lǐng)域客戶實(shí)現(xiàn)落地，此時(shí)零信任僅僅是一個(gè)概念。直到2020年，NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）發(fā)布了零信任架構(gòu)標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)目前已經(jīng)被國(guó)內(nèi)外許多安全廠家作為了參考標(biāo)準(zhǔn)，我們也在2020年參考該標(biāo)準(zhǔn)對(duì)產(chǎn)品做了整體升級(jí)。”

“目前，國(guó)內(nèi)做零信任的安全廠商有幾大流派：一些公司，如奇安信、竹云是從身份認(rèn)證角度切入零信任賽道；一些公司從傳統(tǒng)遠(yuǎn)程辦公，也就是VPN角度切入，如深信服推出了零信任VPN；一些公司從傳統(tǒng)網(wǎng)絡(luò)安全層面切入，如華為下沉到了網(wǎng)絡(luò)層面的防護(hù)；還有一些公司從微隔離角度切入。由于是面向泛行業(yè)和多場(chǎng)景都適用的解決方案，零信任的市場(chǎng)極大，應(yīng)用點(diǎn)有很多。”陳曦表示。

“主要有這幾類(lèi)場(chǎng)景需要零信任。”陳曦說(shuō)，“一個(gè)是企業(yè)資源安全訪問(wèn)，比如企業(yè)員工攜帶了企業(yè)受控設(shè)備去訪問(wèn)企業(yè)內(nèi)部資源，此時(shí)不能毫不設(shè)防，還需要零信任機(jī)制進(jìn)行持續(xù)保護(hù)；二是服務(wù)網(wǎng)格，比如企業(yè)除了在本地有服務(wù)中心，還可能會(huì)購(gòu)買(mǎi)云上服務(wù)，此時(shí)需要微隔離或者基于身份的訪問(wèn)控制；三是企業(yè)外部合作伙伴通過(guò)API訪問(wèn)企業(yè)數(shù)據(jù)，企業(yè)需要保障訪問(wèn)者擁有對(duì)API及數(shù)據(jù)訪問(wèn)權(quán)限。”

貝殼財(cái)經(jīng)記者發(fā)現(xiàn)，政府、金融機(jī)構(gòu)、運(yùn)營(yíng)商等對(duì)安全要求比較高的行業(yè)以及教育、醫(yī)療等涉及敏感人群隱私的行業(yè)對(duì)零信任安全架構(gòu)的需求相對(duì)更高。而如何更便捷地部署零信任成為很多企業(yè)機(jī)構(gòu)正在考慮的問(wèn)題。

“安全風(fēng)險(xiǎn)較大的場(chǎng)景都與數(shù)字世界中‘人’相關(guān)，安全體系架構(gòu)從‘網(wǎng)絡(luò)中心化’向‘身份中心化’成為必然，實(shí)施零信任安全戰(zhàn)略并非對(duì)基礎(chǔ)設(shè)施或流程的大規(guī)模替換，而是一個(gè)過(guò)程，企業(yè)機(jī)構(gòu)應(yīng)逐步實(shí)施零信任原則、變更流程、對(duì)最高價(jià)值數(shù)據(jù)資產(chǎn)采取保護(hù)。”社科院在5月14日發(fā)布的《數(shù)字經(jīng)濟(jì)藍(lán)皮書(shū)：中國(guó)數(shù)字經(jīng)濟(jì)前沿（2021）》中表示。

參考鏈接：https://baijiahao.baidu.com/s?id=1702864998545978217&wfr=spider&for=pc

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:新京報(bào)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明