近年来,数据泄露事件有逐渐扩散的趋势,网络边界越来越模糊,这些因素对企业安全提出了更高的要求,“零信任”安全理念也正在被越来越多的企业所接受和使用。
受疫情影响,许多公司、高校以及其他组织,不得不将一些应用的入口,开放到互联网上。在这个过程中,容易把业务的端口暴露出来,成为黑客的攻击目标。
此外,很多企业都正在饱受“内鬼”问题的困扰。
有赞微盟系统遭核心运维人员贺某删库,导致大面积服务集群无法响应,生产环境及数据遭到严重破坏。
某一家互联网巨头公司,在重点城市的日均单量数据,被内部人员以2万元的价格,卖给了竞争对手。
员工离职时,拷走公司业务所有的源代码……
类似的事情还有很多,有时候数据泄露,并不是遭受黑客攻击,而是来自“内鬼”的攻击,防不胜防。
在这样的背景下,由研究机构Forrester的首席分析师约翰·金德维格在2010年提出的“零信任”安全又火了起来。
2018年,英格索兰工业美国公司发现,其服务工程师孙某将公司69万份保密信息下载到硬盘以及转发到自己的私人邮箱里。
“零信任”安全,为什么这么火?
相关工作人员对孙某进行约谈后,随即解除了劳动合同,一纸诉状将其告上法庭。
最高人民法院终审判决认为,孙某的行为构成《中华人民共和国反不正当竞争法》,应承担相应的民事责任。
像“内鬼”下载公司内部机密资料的事件,并不少见。
在大数据时代,数据已然成为影响企业生存发展的核心机密。
以早之前进行补贴大战的两家互联网企业为例,如果自己的当天的补贴单量及补贴价格,被泄露给竞争对手。那么对手就可以根据其补贴情况,灵活调整补贴打法,占尽优势。
为了解决近年来越来越频繁的“内鬼”问题,“零信任”理念正式登上历史舞台。
什么是“零信任”
“零信任”既不是一种技术手段,也不是某一种产品,而是一种安全理念。它会假定网络边界内外的任何主体,在未经验证前都不予信任。
“持续验证,用不信任”,是零信任的基本观点。
正如约翰·金德维格所言:“证明员工身份的不是密码,是行为。”
除了使用身份鉴别技术外,“零信任”还会监控账号的行为。
举一个简单的例子,如果某一企业员工,拥有访问企业源代码资源库的权限,但这一账号并不是判断合法行为的唯一标准,即不是在权限内的所有行为,都会被认为是合理合法。
正常来说,每天工作时间这名员工会做一些代码的拉取和提交行为,但如果有一天他下载了大量平时不经常访问的数据库代码,显然该行为存在风险,应及时预警或者阻断。
2020年,美国国家标准与技术研究院(NIST)发布了零信任架构标准,进一步推动了“零信任”安全的发展。
“零信任”安全,为什么这么火?
如今,在阿里、字节、快手等大厂,如果员工离开座位没有关闭电脑,很快就会被风控部门约谈,甚至被罚款。
以前滴滴的员工可以随意查看跨部门的单量信息,现在已经被严格的权限方案所限制。
快手、腾讯内部的数据文档不再能随意下载,也不能被传输。
近年来,数据泄露事件有逐渐扩散的趋势,越来越多的企业将自己的数据搬到“云上”,网络边界越来越模糊,这些因素对企业安全提出了更高的要求,“零信任”安全理念也正在被越来越多的企业所接受和使用。