<i id="0io7s"></i>
<object id="0io7s"></object>
<i id="0io7s"></i>
<thead id="0io7s"></thead>
  • <optgroup id="0io7s"><del id="0io7s"></del></optgroup><thead id="0io7s"><del id="0io7s"></del></thead>
  • <thead id="0io7s"></thead>
  • 關于薔薇

    薔薇靈動就是自適應微隔離

    全部分類
    資訊分類

    零信任是一次絕地反擊

    • 分類:觀點
    • 作者:
    • 來源:
    • 發布時間:2020-09-25 14:38
    • 訪問量:

    【概要描述】一直以來,人們印象中的真正意義上的網絡安全技術都圍繞著兩件事展開,一件是修補自己的漏洞,一件是發現別人的攻擊。所有我們前面提到的安全技術基本都是圍繞著這兩件事展開的。然而事情的進展似乎并不樂觀,我們總有挖不完的漏洞,即使你修復了99%的漏洞,攻擊者只需要一個0day漏洞,仍然可以突破你的防御。 零信任技術絕不是又一種攻防對抗技術,相反它不再熱衷于發現壞人是誰,也不再把時間花在永無休止的挖漏洞上,它是直接否定了所有人,系統和業務流量。它的想法大概是這樣的,既然我發現不了哪些流量是攻擊流量,那我就認為你們都有可能是攻擊好了,既然分辨不出誰是壞人,那我就認為你們都有可能是壞人好了。這個時候,問題就不在我這一邊而在你們那一邊了。你們必須向我提供明確的充分的證據來證明你們的身份,證明你們的行為的合理性,否則我會阻斷一切訪問。

    零信任是一次絕地反擊

    【概要描述】一直以來,人們印象中的真正意義上的網絡安全技術都圍繞著兩件事展開,一件是修補自己的漏洞,一件是發現別人的攻擊。所有我們前面提到的安全技術基本都是圍繞著這兩件事展開的。然而事情的進展似乎并不樂觀,我們總有挖不完的漏洞,即使你修復了99%的漏洞,攻擊者只需要一個0day漏洞,仍然可以突破你的防御。

    零信任技術絕不是又一種攻防對抗技術,相反它不再熱衷于發現壞人是誰,也不再把時間花在永無休止的挖漏洞上,它是直接否定了所有人,系統和業務流量。它的想法大概是這樣的,既然我發現不了哪些流量是攻擊流量,那我就認為你們都有可能是攻擊好了,既然分辨不出誰是壞人,那我就認為你們都有可能是壞人好了。這個時候,問題就不在我這一邊而在你們那一邊了。你們必須向我提供明確的充分的證據來證明你們的身份,證明你們的行為的合理性,否則我會阻斷一切訪問。

    • 分類:觀點
    • 作者:
    • 來源:
    • 發布時間:2020-09-25 14:38
    • 訪問量:
    詳情

    不知道大家如何看待網絡安全這些年來的發展軌跡,又是如何看待零信任這個技術與其他網絡安全技術的關系的。很多人認為,技術總是不斷發展的,技術總是承前啟后的,今天的技術是對昨天的技術的繼承與延續,進而登上了新的高峰。應該說多數時候這個觀點是正確的,但是,零信任不是這樣。

     

     

    網絡安全技術的一些現狀與困局

     

    目前公認的零信任技術包括SDP,微隔離和IAM這三個。這三個技術分別發展了過去的VPN技術,防火墻技術和4A技術。但是,我們必須認識到一件事情,這些技術并不是過去很多年里網絡安全技術發展的主流,事實上VPN,防火墻,4A都是老到不能再老的技術,而零信任技術從控制與識別能力自身來說也并沒有比這些傳統技術有什么變化,它更多是以軟件定義安全的形式,把過去的數據平面和控制平面給分開了,從而達成更靈活更大規模的管理能力。在零信任之前,真正在安全技術創新領域里唱主角的是特征識別、攻防對抗、APT分析、態勢感知、大數據、AI、沙箱蜜罐等等這些有著更純正“安全”味道的東西。那么問題來了,零信任與這些技術之間究竟是個什么關系?

    一直以來,人們印象中的真正意義上的網絡安全技術都圍繞著兩件事展開,一件是修補自己的漏洞,一件是發現別人的攻擊。所有我們前面提到的安全技術基本都是圍繞著這兩件事展開的。然而事情的進展似乎并不樂觀,我們總有挖不完的漏洞,即使你修復了99%的漏洞,攻擊者只需要一個0day漏洞,仍然可以突破你的防御。而我們從靜態代碼特征識別到行為識別,再到大數據識別、人工智能識別、欺騙誘捕等等手段,都是為了抓住壞人,但是攻擊者的反偵察能力也在同步進化,在這場貓鼠游戲中,防御者總是處于落后的一方,總是在做著亡羊補牢的工作,而且從理論上就看不到在這場攻防對抗的競爭中有勝出的可能。這種悲觀情緒一度籠罩著整個網絡安全產業界,這也就呼喚我們對整個網安防御思路做出根本性的變革。

     

     

    絕不是又一種攻防對抗技術的零信任

     

    就是在這樣的背景下,零信任技術歷史性地成為了安全行業的新希望。零信任技術絕不是又一種攻防對抗技術,相反它不再熱衷于發現壞人是誰,也不再把時間花在永無休止的挖漏洞上,它是直接否定了所有人,系統和業務流量。它的想法大概是這樣的,既然我發現不了哪些流量是攻擊流量,那我就認為你們都有可能是攻擊好了,既然分辨不出誰是壞人,那我就認為你們都有可能是壞人好了。這個時候,問題就不在我這一邊而在你們那一邊了。你們必須向我提供明確的充分的證據來證明你們的身份,證明你們的行為的合理性,否則我會阻斷一切訪問。

     

    是的,這就是零信任,簡單,粗暴,有效。攻擊者總是在想盡辦法的躲避防御者,他們本質上就是目標矛盾的雙方,他們掌握的技術就是為了與對方對抗而生的,他們不可能形成一個穩定的和諧關系。而防御者與業務訪問者卻是天生的同盟軍,他們完全可以緊密配合,充分協作,在理論上,他們雖然也要經歷一些苦難,但最后一定有機會可以永遠幸福地生活在一起。零信任的體系里,取代攻防對抗技術的是身份識別技術與訪問控制技術,而在多因子識別技術的幫助下,在密碼技術的加持下,理論上,身份是可以唯一確認的,也就是說,只要建立起完整準確細致的身份管理與訪問授權體系,只要我們充分地理解我們自身業務的構成,我們在理論上就將擁有一個絕對安全的網絡。雖然這同樣是非常復雜艱巨的系統工程,但至少從理論上講,我們已經將主動權重新拿回到自己的手上,防御者不再被攻擊者前者鼻子走,他可以通過對業務系統最細粒度最精細的白名單訪問控制體系,做到我的地盤我做主,從而第一次將網絡安全的主動權握在了自己手上。

     

     

     

    總結:絕地反擊的零信任

     

    所以,零信任技術與傳統網絡安全技術是什么關系呢?我們說,零信任技術是對瀕臨破產的攻防對抗路線的一次絕地反擊,它沒有繼承也沒有發展,它是一次顛覆,是一次安全防御思路的徹底變革,也許我永遠無法認出誰是壞人,但我一定有能力確認誰是好人,就像古希臘德爾斐阿波羅神廟門楣上給人類留下的啟示一樣:”人啊,認識你自己!”。

     

    關鍵詞:

    北京市昌平區回龍觀東大街首開廣場3層309

    版權所有:Copyright 2018 北京薔薇靈動科技有限公司    京ICP備18016518號-1  

    Dunarose