En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>零信任安全> 派拉零信任:向VPN設備登錄憑證泄露事件say no~

派拉零信任:向VPN設備登錄憑證泄露事件say no~

文章

2021-09-13瀏覽次數(shù):198

近日,有攻擊者在黑客論壇放出了一份近50萬條Fortinet VPN設備登錄憑證清單,據(jù)分析里邊包含12856臺設備上的498908名用戶的VPN登錄憑證;安全研究人員發(fā)現(xiàn),這些Fortinet VPN設備的IP分布在全球各地,其中位于中國(大陸+臺灣)的設備占比11.89%,臺灣占比8.45%,大陸占比3.44%;這次泄漏并不是一個普通的安全事件,因為 VPN 憑證可以讓攻擊者進入網(wǎng)絡進行數(shù)據(jù)滲透,安裝惡意軟件,并進行勒索軟件攻擊。

 

     

 

 

近年來VPN相關(guān)的安全事件屢屢爆出,尤其在疫情后,遠程辦公的興起更是頻頻把VPN安全推向風口浪尖。不久前就曾有黑客利用員工才能使用的VPN帳戶和密碼進入企業(yè)內(nèi)網(wǎng)盜取重要資料。

 

其實從各類由VPN引起的攻擊事件來看,不難得出VPN在抵御外部威脅上存在明顯的能力不足。尤其在更為復雜的網(wǎng)絡安全環(huán)境下,用戶、終端、辦公地點等多樣性的變化更會將VPN的缺點暴露無遺。

 

首先,VPN認證方式相對簡單,用戶通過賬戶驗證就能獲取操作權(quán)限,實際上,在網(wǎng)絡攻擊類型繁雜的今天,僅通過驗證用戶的方式顯然不足以構(gòu)建企業(yè)的內(nèi)網(wǎng)安全,單純的用戶驗證方式遠不能滿足企業(yè)的安全需求。

 

其次,黑客一旦獲得授權(quán),就可以獲得相應的訪問權(quán)限,系統(tǒng)并不會因為操作者的行為異常而阻斷黑客的操作權(quán)限,即通過VPN建立的訪問,在訪問過程中的安全是無法得到保障的。

 

除此以外,黑客還能通過VPN,利用撞庫、爆破的方式去獲取企業(yè)內(nèi)部的機密信息。

 

零信任vsVPN

 

對比vpn,零信任的安全防護措施會更嚴謹。在驗證方式上,零信任會隱藏服務器地址、端口使之不被掃描發(fā)現(xiàn),在連接服務器之前會先驗證用戶和設備的合法性,實現(xiàn)先驗證后連接。

 

而傳統(tǒng)vpn則是先連接后認證,這種認證方式極易因為端口暴露導致被黑客攻擊。且大部分VPN只針對用戶做認證,缺乏對終端設備的認證及安全性評估。終端種類和來源的多樣性帶來的安全風險大大增加,存在終端被入侵并作為攻擊跳板的可能性。

 

零信任的架構(gòu)能很好彌補VPN的缺陷,在Gartner發(fā)布的一份《Market Guide for Zero TrustNetwork Access》報告中指出:到2022年,面向生態(tài)系統(tǒng)合作伙伴開放的80%的新數(shù)字業(yè)務應用程序?qū)⑼ㄟ^零信任網(wǎng)絡進行訪問。到2023年,60%的企業(yè)將淘汰大部分VPN,轉(zhuǎn)而使用零信任網(wǎng)絡。

 

 

 

相較vpn的不足之處,以“永不信任、持續(xù)驗證”的零信任架構(gòu)完全可以替代VPN,滿足企業(yè)的安全需求,零信任的特點也能完全彌補VPN在安全防護上的缺失:

 

 
1.以身份為基石
 

零信任的核心理念就是持續(xù)的身份鑒別和訪問控制,因此身份管理從源頭上就是零信任架構(gòu)的核心部分。和傳統(tǒng)的IAM技術(shù)相比,零信任架構(gòu)對身份管理也提出了更高的要求。除了對用戶身份的統(tǒng)一管理、認證和授權(quán)之外,還需要實現(xiàn)基于風險的動態(tài)感知和智能分析平臺,基于大數(shù)據(jù)和AI技術(shù),對于用戶訪問的行為數(shù)據(jù)、用戶的特征和權(quán)限數(shù)據(jù),以及環(huán)境上下文數(shù)據(jù)進行分析,通過風險模型自動生成認證和授權(quán)策略。

 

 
2.實現(xiàn)最小授權(quán)
 

在零信任架構(gòu)中,應用、服務、接口、數(shù)據(jù)都可以視作業(yè)務資源,支持應用級、功能級、數(shù)據(jù)多層級細粒度授權(quán),實現(xiàn)全面最小化授權(quán)。零信任架構(gòu)通過構(gòu)建保護面實現(xiàn)對暴露面的收縮,要求所有業(yè)務默認隱藏,根據(jù)授權(quán)結(jié)果進行最小程度的開放,減少員工接觸無權(quán)限的機密信息。

 

 
3.持續(xù)信任評估
 

大多數(shù)系統(tǒng)都會采用入口大門先出示憑證,或增加二次強認證來保證訪問系統(tǒng)的主體的合法性,一旦認證通過將通行無阻,出現(xiàn)的惡意訪問、越權(quán)、非法操作將無法防護。

 

零信任中的持續(xù)認證是細粒度到主體的每一次事務性的資源獲取或操作過程必須重新評估主體的信任,因為在復雜的互聯(lián)網(wǎng)中主體中狀態(tài)是持續(xù)動態(tài)的在變化,那么就要進行持續(xù)的認證和風險評估,才能做到最細粒度的風險控制。

 

 
4.動態(tài)訪問控制
 

零信任環(huán)境還會持續(xù)判斷主機行為,從用戶登錄行為進行全面審計,精準記錄用戶賬號認證、訪問、變更等行為,以報表的形式展現(xiàn)給系統(tǒng)管理員,實時的登錄風險預警,及時發(fā)現(xiàn)異常情況。

 

 

作為國內(nèi)一體化零信任安全解決方案的領導者,派拉軟件率先將軟件定義邊界、持續(xù)自適應、微隔離等信息安全前沿技術(shù)導入身份管理產(chǎn)品的研發(fā)與實踐中,為各個行業(yè)客戶提供專業(yè)的一體化零信任安全解決方案,覆蓋內(nèi)部員工身份治理(2E)、 外部合作伙伴身份治理(2P)、C端客戶身份治理(2C)、API身份治理(2API)、IoT身份治理(2IoT)、云身份治理、 特權(quán)身份管理。雖然零信任的發(fā)展是一條漫長的道路,但派拉還是會勇往直前,持續(xù)深耕零信任安全領域,為助力企業(yè)的數(shù)字化轉(zhuǎn)型、為建設國家的網(wǎng)絡安全提供更好的解決方案。