零信任安全架構下的數字資產保護

 

數字安全是企業高質量發展的關鍵。根據Gartner 2018年安全報告，數據安全、應用（業務）安全、網絡安全是CIO/CSO最關注的安全子項Top3，數字資產保護已成爲CIO/CSO對安全的最大需求。

 

數據資產蘊含着巨大價值，而在商業對手、黑產/暗網、數據公司等通過非法爬取、黑客竊取等手段獲取數據時，內部的主動泄露、被動泄露等方式也使數據資產安全受到威脅。

 

而目前針對數字資產的保護，安全手段仍有一定侷限：

 

• 傳統安全技術無視“爬蟲”，但爬蟲其實是造成數據資產泄露的主要途徑；
• 大多企業應用點防禦，缺少對數字資產的梳理，和基於流量/數據的縱深防禦；
• 依賴規則，維護成本高，且覆蓋不全，只能解決已知威脅；
• 安全產品使用不當，反而帶來安全威脅。

 

針對以上問題，著名研究機構Forrester的首席分析師約翰·金德維格在2010年提出ZERO TRUST（零信任安全），期望能全面解決在企業安全中“人-物-數據”之間的問題。

 

“零信任”的本質

 

在我看來，認清身份，並對身份進行持續行爲分析，再根據結果，實現對身份的動態控制。三者之間形成的閉循環，就是零信任架構。

零信任安全架構

 

身份

 

身份，在現實生活中，我們有對應的獨立肉體身份；而在數字化系統中，我們則對應一個個Token，即代表身份信息的字符串。Token具有唯一性、隨機性、溯源性、持續性。

身份的三層映射關係                                                                      

 

上圖闡釋了身份的三層映射關係：每個人，即User Entity，都會映射到不同的Token；Token在IT系統中，又會映射不同的身份；不同身份具有不同的權限。

 

三層映射關係結合起來，就是零信任中的“身份”。即“身份”不僅包含了你個人的實體，也包含了你的身份證，以及不同作用域下的身份角色（比如你在家裏是父親，在公司是工程師）。

 

常見的Token有兩種：

 

• 源IP

在大部分情況下，我們認爲一個IP代表一個Token。但這可能存在一定問題：

 

1）代理池IP，net，可能一個IP背後不僅一個Token。也許在IPv6普及之後，這個問題會被徹底解決；

 

2）IP存在僞造的可能，這種情況下，需要一些額外的技巧防止IP僞造。

 

• ID

很多企業有自己的ID，可以是SSO賬號，也可以是業務系統中的UID或設備指紋。

 

持續行爲分析

 

有了身份，在相應權限下，用戶會產生不同行爲。而零信任安全非常重要一點的就是對用戶行爲進行持續分析。

 

首先，我們需要定義什麼是“行爲”？

 

白山ATD系統以用戶訪問行爲爲視角，基於六元組模型，定義“行爲”概念，即：時間、地點、人/ID、作用域、動作和結果。

 

其次，我們需要理解什麼是“持續”？

 

即用戶登錄系統到登出系統：從用戶訪問某一邊緣到另一邊緣的整個過程；我們應該從縱向（用戶生命週期）、橫向（用戶活動範圍）兩個維度進行分析。

 

我們總結常見的“行爲分析”，目前大概可以分爲兩類，白山ATD系統針對不同情況採取了不同分析模型：

 

• 針對特定場景的行爲分析

針對特定場景，我們可以採用可編程對抗，把特定場景的規則植入到系統中；也可以利用有監督學習模型，利用企業已經標註好的黑白樣本，針對場景訓練模型。

 

• 針對通用場景的行爲分析

針對通用場景，一般可以利用無監督學習，進行單體分析和個羣分析。

 

單體分析：即和過去的自己對比。比如我們學習某一工程師過去的登錄行爲，生成行爲規律，如果某一天的行爲不符合規律，系統會質疑其身份，判斷是否存在問題。

 

個羣分析：即和大家比。其關鍵點在於如何屏蔽海量數據的噪聲，進行羣體行爲的建模；再從時域、頻域、文本、路徑等維度分析，找出與大家不同的行爲。

頻域個羣對比-某遊戲平臺

 

在某遊戲公司的實際案例中，攻擊者使用僞造User Agent不斷更換User ID進行撞庫，並破解簽名算法。從流量角度分析日誌，其訪問行爲是合法請求，且訪問頻率不高。但當我們通過傅立葉變換轉變成頻率行爲，我們可以看到其訪問行爲具有週期性，通過頻域個羣對比，最終確認是撞庫攻擊。

文本個羣對比-某銀行HW

 

在某銀行HW攻防案例中，用戶請求其實是PHP的探測，通過模擬百度搜索請求，繞過安全設備掃描。但是因爲字符串中，標點符號之間的比例、單引號雙引號之前的依賴關係、參數的構成，與正常的用戶請求之間存在明顯區別，通過文本個羣對比，最終被ATD系統捕捉。
 

動態控制-零信任安全的核心

 

動態控制

 

控制是根據身份對應的權限，約束身份的行爲。動態控制則是通過不斷地行爲分析，修正Token的身份，調整對應權限。

 

 權限粒度

 

動態控制還需要對數字資產劃分權限粒度，通過建立動作分級和資產粒度的二維象限，對身份授權。

 

動作上，可感、可達、讀、增、改、刪，每一個動作所要求的權限是逐級上升；而資產粒度上，服務、庫、表、行、列，每一個訪問資產的精細度也逐級遞增。而動作分級與資產粒度的象限交點，即爲對特定用戶身份的授權。

 

零信任&信用體系

 

總之，企業搭建一個外部用戶與內部用戶的信用體系，應是組織結構、業務邏輯、風控系統、威脅情報、行爲分析等所有能參考的數據集合。在這樣的體系中，能給每個身份信用定級，並能不斷地更新信用、調整身份。體系的搭建需要融入企業整個生命週期。這樣的實時動態的信用體系，就是零信任安全體系。

 

零信任不是表示不相信任何人，而是要從行爲中重塑對每一個人的信任！