“技战法”通常指的是技术战术方法,在信息安全领域,“技战法”可以理解为实现安全目标的具体技术和策略。零信任架构是一种现代网络安全概念,它要求默认情况下不应信任网络内外的任何人/设备/系统,需要验证一切试图访问资源的尝试。构建一个基于零信任原则的纵深防御体系涉及多个方面,以下是一些关键要素和技术战术方法
一、零信任架构与攻防技术研究
2.1NIST ZTA架构
零信任所关注的核心问题是防止未经授权的主客体访问,以及尽可能精细的访问控制过程。因此在主体(用户、设备、应用、服务)与客体(系统/应用/服务/数据)之间需要通过相应的系统进行访问控制,也即零信任系统,包括策略决策点PDP和策略执行点PEP。由PDP和P EP组成的零信任系统将主体与客体分为可信区域和不可信区域,这两个区域的边界则是通过非网络以外的其他条件作为区分。
针对零信任中的实现应当对所有实体、流量默认为不信任,不能单单依靠网络位置作为依据。减少非必要的业务暴露,收敛暴露面。对与用户、终端和应用程序的认证,需进行多次或增强的认证。针对每次访问行为默认独立互不关联,对权限进行动态调整。
2.2CSA SDP架构
SDP架构由SDP控制器和SDP主机组成,SDP主机包括了连接发起主机和连接接受主机。SDP系统分为控制平面和数据平面,SDP控制器经过多维度信任评估所生成安全控制策略,通过控制平面与
SDP 主 机 进 行 交 互 ,
SDP主机之间则通过数据平面传递业务数据,两个平面的数据是彼此独立的。
SDP架构的核心原则是尽可能隐藏业务的拓扑,避免不必要的暴露。因此要求对SDP所保护的业务资源进行网络连接和访问前,必须通过SDP严格的认证和授权过程,确保真正合法的主题,仅能访问其授权范围内的资源,实现对资源的保护。
在 SDP 架构中,要求这种严格的认证和授权机制首先应用在SDP自身。未经过认证和授权的实体,无法与SDP系统组件进行连接和访问,以避免SDP系统自身漏洞被利用,进行入侵和攻击。SDP架构中这种对自身进行保护的机制,是SPA单包授权机制。SDP架构其实是一种双重保护的体系,SDP保护业务资源,SPA保护SDP,但SPA实际上并不直接保护业务资源。这种双重保护机制,也是SDP区分传统远程接入访问技术(如VPN)的重要特征之一
。
三、零信任体系在攻防实战的价值
3.1传统远程接入访问技术的劣势
不管是在攻防实战还是在演习活动中,VPN一直是攻击方所利用的一个突破点,因为VPN的漏洞、弱口令问题、权限管控问题导致的攻击方突破的情况数不胜数。目前在攻防实战中VPN体现的劣势主要有以下几点:
- 互联网暴露点:用户可以通过VPN实现远程访问,采取客户端的方式连接单位内网。因此攻击方在对系统进行攻击时,往往将VPN作为入口点,只需获取到用户的账号,连接客户端即可进入内网,极大地减少了攻击难度和攻击时间;
- 弱密码与权限管控问题:大多数单位采用了VPN与统一身份认证进行对接。但统一身份认证系统对于账户密码的管理存在着一定的问题,如账号为工号,默认密码往往为和工号相关或和电话相关的部分字段。如果此类账号的权限过高,攻击方不需要太多精力可以获取所有系统的数据。由于VPN客户端的权限过高,如果没有设置访问控制策略,可以访问内网所有的IP;
供应链问题:大部分单位或多或少存在着和供应商相关的联系,相关供应商通过VPN可以直接对系统进行管理,而供应商运维的权限往往过高,一般都是管理员权限。部分运维人员缺乏网络安全意识,将VPN等密码存储在公司邮箱、网盘或公司的代码服务器上,若厂商系统或运维人员被攻击,则会造成应用系统甚至整个数据中心内网失陷; 4)VPN漏洞问题:在多次攻防演练中,各厂商VPN产品也都曾爆过0 day漏洞。若个别单位未及时对设备进行更新,则会导致通过VPN设备进行的攻击发生。
3.2零信任建设抵御红队攻击
在演习过程中,我方每天对零信任产品开展巡检,重点监测SPA敲门伪造、SPA暴破攻击等异常日志,结合IP威胁情报进行综合判断。
我们这里建议红队可以去这个 api平台使用轮换代理api这样可以实现代理ip不断更换,防止别人找到你的真实ip
启用账号密码认证+短信验证码+授信终端绑定+SPA一人一码的四因素认证保证设备和账号安全。同时启用UEM沙箱和虚拟专线功能。实现既“外防黑客入侵”,又“内防企业数据泄露”。
