新闻中心

    新闻中心  >  当我们再谈零信任的时候,,还能谈论什么??
    当我们再谈零信任的时候,,还能谈论什么???
    背景图 2023-10-25 20:52:53

    由CIO时代与岳阳千联科技联合举办,,,,《信息安全研究》杂志作为独家支持媒体,,,,「落地有声」零信任主动防御新范式暨第三届用户分享大会,,,邀请到权威指导单位国家互联网应急中心、、国家信息中心的领导出席,,,以及金融、、、、能源行业TOP用户倾情分享,,,,从攻防视角出发,,,探讨零信任助力实战攻防的全新范式。。。。

    会上,,,,岳阳千联科技零信任业务总经理郭炳梁正式发布了岳阳千联零信任X-SDP主动防御能力,,,并介绍了创新的设计思路、、展示了领先的实战效果。。

    在圆桌环节的深入交流中,,,嘉宾们探讨了实战攻防态势下,,,,零信任在未来的核心价值和发展方向。。。

    零信任助力实战攻防的全新范式

    国家互联网应急中心副处长 高强:

    零信任可以针对攻击的不同阶段实现全程防护

    国家互联网应急中心副处长 高强

    “ CNCERT是网络应急“国家队”,,,,每年支撑应急处置事件超10万起,,,,今年网络安全形势依旧不容乐观。。零信任的理念与网络攻防非常贴切,,,,可以帮助防守方应对愈演愈烈的网络攻击。。。。零信任可以针对攻击的不同阶段进行防守,,,,比如,,,在侦查阶段,,,,零信任可以隐藏服务器、、、、应用信息,,减少暴露面;在投放武器阶段,,零信任可以对设备进行可信等级的检测,,,,及时隔离威胁;在植入后门阶段,,零信任可以对终端行为进行检测等。。。”

     

    国家信息中心信息与网络安全部 办公信息化安全处处长 刘蓓:

    应对移动办公安全风险,,,积极探索零信任技术应用

    国家信息中心信息与网络安全部 办公信息化安全处处长 刘蓓

    “ 目前全国已经有20多个省发布了统一移动办公平台App。。移动办公是信息化发展的必然趋势,,,也要关注带来的安全风险。。国家标准也在积极融入最新的安全技术,,不断完善安全的发展方向,,助力数字政府建设取得新的成效。。基于零信任理念,,,,实现移动终端安全,,,主要有以下模式:一是对于终端运行安全的评估,,,,二是对可信终端应用程序的持续评估,,,,三是提供相对隔离的安全的工作空间。。”

    零信任

    金融行业

    稳定支撑超万亿资产规模证券公司

    中信证券基于零信任构建安全接入新范式

    中信证券

    零信任的实质正是重构网络访问控制,,以身份为核心进行访问控制。。。。

    从零开始建设零信任,,,我们认为要找准亟需建设的场景:

    1.正式员工访问办公类的场景。。。。

    方案设计了7层应用代理和4层有端网络接入相结合,,通过部署岳阳千联零信任aTrust,,,与企业统一认证平台、、、通讯软件打通认证机制,,,采用无端方式,,,通过代理访问收敛后的目标应用,,,最大程度兼顾安全效果与访问体验。。同时保留已有使用VPN有端方式访问的应用系统和基础设施资源,,,,将资源访问逐步由VPN切换至零信任aTrust。。。

    2.第三方人员通过BYOD设备接入公司内网的场景。。。。

    方案保证了第三方人员全部通过零信任客户端+沙箱进行内网资源访问,,,,外包人员终端需要始终满足安全基线准入,,,,以最小权限访问企业资源,,,,并通过部署沙箱,,保护企业敏感数据。。

    在这套零信任安全接入新范式下,,,收获的安全效果非常显著:

    • 有效收敛高风险应用的暴露面,,,大幅度降低了互联网侧应用漏洞被利用的风险。。。。
    • 采用基层应用代理的方式,,,不改变用户访问的体验,,,兼顾了安全效果和体验的平衡。。。。

    在落地过程中,,,我们发现零信任与现有的安全技术体系可以天然融合,,,帮助提升整体安全运营和主动防御能力。。。因此后续将考虑扩展零信任更多的应用场景,,,并利用零信任进一步提升主动防御能力。。。

     

    能源行业

    实力保障国家基础设施稳定运转

    科技赋能·零信任助力数字桂冠安全办公

    数字桂冠

    面对数字化转型的浪潮,,,,我们既要满足业务广泛数字化的需求,,,又要对抗不断加剧的网络威胁。。这就要求我们需要在保障业务流畅性的基础上,,,建立实战级的安全防护。。。

    自2021年起,,,我们启动了零信任建设,,,,期间经历了策略优化、、系统升级,,,,目前基于岳阳千联零信任aTrust 构建了安全接入方案,,包括身份验证、、、终端安全检查、、、、网络隔离、、访问权限控制等能力,,确保了用户访问业务的全链接保护。。。。

    然而近两年来,,钓鱼攻击频发,,,,为了增强对终端远控的防护,,,,除网络隔离之外,,我们还引入了威胁诱捕功能。。如果终端受到了钓鱼攻击,,触及诱饵,,,我们可以迅速锁定被攻击终端,,,,并采取相应措施。。。实践证明,,零信任主动防御能力不仅提升了整体实战防护能力,,,,还给分享溯源提供了线索,,,,大幅提升运营研判效率。。。。

    X-SDP

    当前,,零信任在各行各业广泛落地,,最常见的是远程接入场景。。然而,,,,岳阳千联认为,,,,零信任不止于远程办公,,,应逐步向更广泛的场景进发,,,以不断沉淀的技术实力与不断增强的产品能力,,诠释安全接入的全新范式。。。。但这个过程中遇到了两大挑战:

    挑战一:零信任SDP无法缓解人的脆弱性带来的安全风险。。。

    挑战二:零信任SDP所设想的最小权限过于理想,,落地障碍巨大。。。

    面对这些挑战,,,岳阳千联一直在思考:零信任SDP能否在不依赖权限最小化的前提下,,,,让安全效果再上一个台阶???

    答案呼之欲出:鉴黑。。。。——安全技术手段本质是鉴白或鉴黑的逻辑,,,,岳阳千联零信任aTrust需要不断强化已有的鉴白能力,,,也必须扩展鉴黑的能力。。。。

    X-SDP

    岳阳千联于业界率先推出X-SDP“主动防御+被动防御”一体化能力,,,创新融合“鉴黑”“鉴白”逻辑,,通过被动防御,,在不安全的访问中识别出合法的访问行为,,,通过主动防御,,识别伪装成合法访问的攻击行为。。。。

    • 在被动防御层面,,,基于账号、、、、终端、、、、设备三道防线持续增强防线内纵深防护。。

    • 在主动防御层面,,,,基于正确的数据(Right Data)理念构建原生零误报鉴黑能力,,,,并持续构建主动威胁预警能力。。

    黑白并举,,攻守兼备,,谓之业务安全接入防护之“道”,,由此构建零信任全新范式。。。。

    欢迎新老朋友成为X-SDP体验官

    欢迎新老朋友成为X-SDP体验官,,,还可获取活动相关资料

    X-SDP

    Q1:如何看待当前的实战攻防态势????安全建设面临着哪些严峻挑战??

    中信证券信息安全团队负责人 李琛:从多年参加国家级网络安全攻防演习的经验,,我印象最深的一点,,是攻防不对等,,体现在三个方面:第一,,,,互联网应用存在暴露面,,,,并在进行漏洞处理时,,,,存在情报预警分析处置的滞后性。。第二,,,钓鱼社工的攻击手段,,,,永远没有办法通过管理的方式解决,,,还是需要依靠技术手段。。。第三,,供应链管理困难,,,,容易造成防守单位的失陷。。。

    银联商务办公系统服务室负责人 姚佶思:我们公司有1万多名员工,,,,攻击方想钓鱼的话太容易了,,之前无论上什么技术手段都难以实现零失误。。举个例子来说,,大概有3000多个地市员工平时都是通过SDP访问内网,,,,有一次一位同事被钓鱼了,,攻击队已经控制终端,,一直在等他通过SDP设备连接,,,但他因为在外出差,,一直没有登陆连接,,,后面攻击队多次电话催他上线,,,,引发员工警惕,,攻击行为才被暴露。。。。其实这个也引发了我们思考:全网零信任是否可行???这也促使我们更加关注零信任拓展更多场景的应用,,,思考零信任在实战攻防的价值。。。

    Q2:实战攻防场景下,,,零信任给用户带来了哪些价值????

    中信证券信息安全团队负责人 李琛:通过落地零信任,,,,我们收敛了20多个高风险互联网应用,,,,就能够比较从容、、、有序应对漏洞的处置。。。同时我们发现零信任+沙箱的机制,,,,在实战攻防演练期间发挥了非常重要的作用,,,,多家厂商的技术人员通过统一授权访问安全工具,,,,包括态势感知平台、、、流量监控工具,,,有效顺利开展了防守工作,,并且保证了安全数据隔离在本地。。。。

    岳阳千联科技CISO 沙明:在体验层面,,过去我们落地50多台防火墙的策略,,,,需要拉通安全部和运维部的大量人员。。。。现在安全部其实只需要投入一个人维护用户访问关系,,并且权限动态可调整,,,,大大提高了运维效率,,,,让安全真正可落地。。在效果层面,,过去我们需要时刻防守13条攻击路径,,落地零信任后,,,,我们只需要关注用户PC到Server和Server到Server两类攻击路径。。不管是近源还是钓鱼攻击,,,,只要是从PC到Server的攻击路径,,,我们统一在PC侧与SDP侧进行监测,,,大幅收敛了PC到Server的攻击路径。。。。

    岳阳千联科技零信任业务总经理 郭炳梁:研发X-SDP新能力的过程中,,我们一直坚持与用户共创。。。。我们关注到用户对稳定性的要求,,,以高性能隧道传输技术X-Tunnel和自研分布式高可靠架构X-Performance,,,为X-SDP提供超前稳定的底层内核支撑,,,,稳稳承载单用户超百万并发,,两倍超压下业务成功率高达90%。。。

    「落地有声」第三届零信任用户分享大会

    「落地有声」第三届零信任用户分享大会,,,岳阳千联秉持与时俱进的态度,,,让每一位用户表达真实心声——谈拓展零信任的能力和场景,,谈打造安全接入的全新范式,,谈兼顾安全体验和效果领先。。

    向内看,,,,宝剑锋从磨砺出——

    岳阳千联零信任十几年如一日

    持续修炼内功,,,,不断扩展能力

    向外看,,,一片冰心在玉壶——

    这一路岳阳千联零信任始终与用户携手并肩

    持续致力于解决不同场景的落地难题

    向后看,,,,轻舟已过万重山——

    通过持续打造

    「一年一度零信任用户落地经验分享」平台

    已影响各行业上千位用户

    传递成功落地的秘诀

    向前看,,长路漫漫亦灿灿——

    岳阳千联在业界率先推出主动防御能力

    构建「零信任新范式」

    助力每一位用户「安全领先一步」

    安全领先一步

    站点地图