En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>零信任安全> 派拉零信任:向VPN設(shè)備登錄憑證泄露事件say no~

派拉零信任:向VPN設(shè)備登錄憑證泄露事件say no~

文章

2021-09-13瀏覽次數(shù):341

近日,有攻擊者在黑客論壇放出了一份近50萬條Fortinet VPN設(shè)備登錄憑證清單,據(jù)分析里邊包含12856臺設(shè)備上的498908名用戶的VPN登錄憑證;安全研究人員發(fā)現(xiàn),這些Fortinet VPN設(shè)備的IP分布在全球各地,其中位于中國(大陸+臺灣)的設(shè)備占比11.89%,臺灣占比8.45%,大陸占比3.44%;這次泄漏并不是一個普通的安全事件,因為 VPN 憑證可以讓攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)滲透,安裝惡意軟件,并進(jìn)行勒索軟件攻擊。

 

     

 

 

近年來VPN相關(guān)的安全事件屢屢爆出,尤其在疫情后,遠(yuǎn)程辦公的興起更是頻頻把VPN安全推向風(fēng)口浪尖。不久前就曾有黑客利用員工才能使用的VPN帳戶和密碼進(jìn)入企業(yè)內(nèi)網(wǎng)盜取重要資料。

 

其實從各類由VPN引起的攻擊事件來看,不難得出VPN在抵御外部威脅上存在明顯的能力不足。尤其在更為復(fù)雜的網(wǎng)絡(luò)安全環(huán)境下,用戶、終端、辦公地點等多樣性的變化更會將VPN的缺點暴露無遺。

 

首先,VPN認(rèn)證方式相對簡單,用戶通過賬戶驗證就能獲取操作權(quán)限,實際上,在網(wǎng)絡(luò)攻擊類型繁雜的今天,僅通過驗證用戶的方式顯然不足以構(gòu)建企業(yè)的內(nèi)網(wǎng)安全,單純的用戶驗證方式遠(yuǎn)不能滿足企業(yè)的安全需求。

 

其次,黑客一旦獲得授權(quán),就可以獲得相應(yīng)的訪問權(quán)限,系統(tǒng)并不會因為操作者的行為異常而阻斷黑客的操作權(quán)限,即通過VPN建立的訪問,在訪問過程中的安全是無法得到保障的。

 

除此以外,黑客還能通過VPN,利用撞庫、爆破的方式去獲取企業(yè)內(nèi)部的機(jī)密信息。

 

零信任vsVPN

 

對比vpn,零信任的安全防護(hù)措施會更嚴(yán)謹(jǐn)。在驗證方式上,零信任會隱藏服務(wù)器地址、端口使之不被掃描發(fā)現(xiàn),在連接服務(wù)器之前會先驗證用戶和設(shè)備的合法性,實現(xiàn)先驗證后連接。

 

而傳統(tǒng)vpn則是先連接后認(rèn)證,這種認(rèn)證方式極易因為端口暴露導(dǎo)致被黑客攻擊。且大部分VPN只針對用戶做認(rèn)證,缺乏對終端設(shè)備的認(rèn)證及安全性評估。終端種類和來源的多樣性帶來的安全風(fēng)險大大增加,存在終端被入侵并作為攻擊跳板的可能性。

 

零信任的架構(gòu)能很好彌補(bǔ)VPN的缺陷,在Gartner發(fā)布的一份《Market Guide for Zero TrustNetwork Access》報告中指出:到2022年,面向生態(tài)系統(tǒng)合作伙伴開放的80%的新數(shù)字業(yè)務(wù)應(yīng)用程序?qū)⑼ㄟ^零信任網(wǎng)絡(luò)進(jìn)行訪問。到2023年,60%的企業(yè)將淘汰大部分VPN,轉(zhuǎn)而使用零信任網(wǎng)絡(luò)。

 

 

 

相較vpn的不足之處,以“永不信任、持續(xù)驗證”的零信任架構(gòu)完全可以替代VPN,滿足企業(yè)的安全需求,零信任的特點也能完全彌補(bǔ)VPN在安全防護(hù)上的缺失:

 

 
1.以身份為基石
 

零信任的核心理念就是持續(xù)的身份鑒別和訪問控制,因此身份管理從源頭上就是零信任架構(gòu)的核心部分。和傳統(tǒng)的IAM技術(shù)相比,零信任架構(gòu)對身份管理也提出了更高的要求。除了對用戶身份的統(tǒng)一管理、認(rèn)證和授權(quán)之外,還需要實現(xiàn)基于風(fēng)險的動態(tài)感知和智能分析平臺,基于大數(shù)據(jù)和AI技術(shù),對于用戶訪問的行為數(shù)據(jù)、用戶的特征和權(quán)限數(shù)據(jù),以及環(huán)境上下文數(shù)據(jù)進(jìn)行分析,通過風(fēng)險模型自動生成認(rèn)證和授權(quán)策略。

 

 
2.實現(xiàn)最小授權(quán)
 

在零信任架構(gòu)中,應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以視作業(yè)務(wù)資源,支持應(yīng)用級、功能級、數(shù)據(jù)多層級細(xì)粒度授權(quán),實現(xiàn)全面最小化授權(quán)。零信任架構(gòu)通過構(gòu)建保護(hù)面實現(xiàn)對暴露面的收縮,要求所有業(yè)務(wù)默認(rèn)隱藏,根據(jù)授權(quán)結(jié)果進(jìn)行最小程度的開放,減少員工接觸無權(quán)限的機(jī)密信息。

 

 
3.持續(xù)信任評估
 

大多數(shù)系統(tǒng)都會采用入口大門先出示憑證,或增加二次強(qiáng)認(rèn)證來保證訪問系統(tǒng)的主體的合法性,一旦認(rèn)證通過將通行無阻,出現(xiàn)的惡意訪問、越權(quán)、非法操作將無法防護(hù)。

 

零信任中的持續(xù)認(rèn)證是細(xì)粒度到主體的每一次事務(wù)性的資源獲取或操作過程必須重新評估主體的信任,因為在復(fù)雜的互聯(lián)網(wǎng)中主體中狀態(tài)是持續(xù)動態(tài)的在變化,那么就要進(jìn)行持續(xù)的認(rèn)證和風(fēng)險評估,才能做到最細(xì)粒度的風(fēng)險控制。

 

 
4.動態(tài)訪問控制
 

零信任環(huán)境還會持續(xù)判斷主機(jī)行為,從用戶登錄行為進(jìn)行全面審計,精準(zhǔn)記錄用戶賬號認(rèn)證、訪問、變更等行為,以報表的形式展現(xiàn)給系統(tǒng)管理員,實時的登錄風(fēng)險預(yù)警,及時發(fā)現(xiàn)異常情況。

 

 

作為國內(nèi)一體化零信任安全解決方案的領(lǐng)導(dǎo)者,派拉軟件率先將軟件定義邊界、持續(xù)自適應(yīng)、微隔離等信息安全前沿技術(shù)導(dǎo)入身份管理產(chǎn)品的研發(fā)與實踐中,為各個行業(yè)客戶提供專業(yè)的一體化零信任安全解決方案,覆蓋內(nèi)部員工身份治理(2E)、 外部合作伙伴身份治理(2P)、C端客戶身份治理(2C)、API身份治理(2API)、IoT身份治理(2IoT)、云身份治理、 特權(quán)身份管理。雖然零信任的發(fā)展是一條漫長的道路,但派拉還是會勇往直前,持續(xù)深耕零信任安全領(lǐng)域,為助力企業(yè)的數(shù)字化轉(zhuǎn)型、為建設(shè)國家的網(wǎng)絡(luò)安全提供更好的解決方案。