數據泄露破局:“零信任”能否成“內鬼”剋星?
原標題:數據泄露破局:“零信任”能否成“內鬼”剋星?
“現在的內控越來越嚴了,如果想拷走電腦上的文件,很快就會被發現。”一位知名互聯網企業的員工日前告訴新京報貝殼財經記者。
此前據媒體報道,一家互聯網巨頭公司在某重點城市的日均單量數據被賣給競爭對手公司,價格爲2萬元。
新京報貝殼財經記者梳理信息泄露事件發現,除了競爭對手之間互相“挖底”外,不少公衆信息泄露事件的源頭並非外來的黑客入侵,而是“城門失火”,由內部人員無意或故意泄露。此外,由於疫情對異地辦公的要求,過往的“拿到賬戶密碼一切不設防”的內網安全模式已經愈發不適應當前企業及個人對數據安全、隱私保護的要求。
在這樣的背景下,由研究機構Forrester的首席分析師約翰·金德維格在2010年提出的“零信任”安全概念重新火爆了起來,新京報貝殼財經記者瞭解到,騰訊、華爲等企業近期紛紛推出以“零信任”爲賣點的tob安全業務,而在此之前,諸多大廠已經上線了更加嚴格的內部監管流程,這些內控流程處處透露着“零信任”的味道。
什麼是“零信任”?它能夠解決行業內鬼,保護企業數據及民衆隱私嗎?
數據泄露源頭指向“內部人員”
用U盤拷貝資料或涉侵犯商業祕密罪
前述描寫互聯網大廠之間互挖“情報”的報道引發了業內關注。文章透露,互聯網巨頭公司數據泄露的源頭是手握數據權限的“內部人員”。
此外,直接將個人信息賣給黑灰產的“toc”生意也屢見不鮮。新京報貝殼財經記者曾在黑灰產平臺上發現不少銀行客戶、車主信息被以1到3元一條的價格公開出售,而被問及信息來源,不少賣家表示是自己在工作中“收集”到的。
大數據時代,對於互聯網企業來說,數據是影響生存核心機密。以進行“補貼大戰”的兩家互聯網公司爲例,如果拿到競爭對手在各個城市當天的補貼以及單量的Excel表格,就可以根據對手的補貼情況,靈活調整自己第二天的補貼打法。能接觸到這些數據的,往往只有企業的內部員工或者合作伙伴。
在不少互聯網大廠每年公開的風控通報中,因爲竊取商業機密通報、開除員工的情況,已經屢見不鮮。爲了應對這一現狀,不少企業加碼了自己的風控水平。
“如果你連續下載源代碼文件,並且在USB接口上插了U盤進行文件拷貝,我們(安全系統)就有感知。”芯盾時代研發副總裁陳曦告訴新京報貝殼財經記者,“而且如果員工連續大量下載文件,零信任安全平臺基於風控模型和算法進行風險程度判斷,一旦超過了企業設定的風險閾值,零信任安全平臺可以及時阻斷這種行爲。”
新京報貝殼財經記者發現,因“大量下載文件”被風控系統發現,最終觸及侵犯商業祕密罪的例子並不少見。如裁判文書網在今年4月12日發佈了“孫某某、英格索蘭工業美國公司侵害技術祕密糾紛二審民事判決書”。判決書透露,孫某某將公司大量保密信息存入私人存儲設備、帶離公司場所。
孫某某在與英格索蘭上海公司合規部門工作人員的面談筆錄顯示,其所持有的公司內部賬戶在公司的Wind-Chi11系統中下載了69萬餘份文件,並且將公司資料下載到硬盤以及轉發到了自己的私人郵箱裏。
最高人民法院的終審判決認爲,孫某某的行爲構成《中華人民共和國反不正當競爭法》第九條禁止的以其他不正當手段獲取權利人的商業祕密的侵犯商業祕密行爲,應承擔相應的民事責任。
“從用戶的行爲而不是身份上去做風控正變得越來越重要。”有從事企業風控的人士告訴新京報貝殼財經記者,“換句話說,不能因爲誰有用戶密碼就完全信任誰。”
“零信任”大行其道
證明員工身份的不是密碼,是行爲
11年前,研究機構Forrester的首席分析師約翰·金德維格提出了“零信任”安全概念。
零信任既不是技術也不是產品,而是一種安全理念,“持續驗證,永不信任”是其基本觀點。零信任假定網絡邊界內外的任何訪問主體(人/設備/應用),在未經過驗證前都不予信任,需要基於持續的驗證和授權建立動態訪問信任,其本質是以身份爲中心進行訪問控制。
據報道,不少互聯網公司的員工,都發現對自己的監管已經日益嚴密。新進入阿里、字節跳動、快手這些大廠的員工們往往感到驚訝:離開座位時沒有關上電腦,就會被風控部門叫去“談話”,甚至被罰款。滴滴的老員工發現,曾經可以隨意查看的跨部門的單量信息,現在都已經被嚴密地疊加了權限;快手、騰訊的老員工發現,數據文檔不能被隨意下載,更不能被傳輸;阿里的老員工發現,數據查看的審批更嚴格了。
“根據零信任的理念,風險是持續變化的。”陳曦告訴記者,“比如說我是企業內部的員工,擁有企業源代碼資源庫的訪問權限,正常來講每天會做一些代碼的拉取和提交,但如果有一天我下載了大量平時不經常訪問的數據庫代碼,這就是一個很可疑的行爲,雖然根據傳統理念,此時我的身份驗證已經通過,但該行爲仍然存在風險,所以零信任就是強調應該以一種持續的方式做信任和風險評估。
“目前面臨的安全態勢主要有幾點,一是安全事件頻發,比如數據泄露事件有逐漸擴散化的趨勢;二是越來越多的企業正在把數據中心‘上雲’,網絡邊界正逐漸變得模糊;三是疫情期間有大量用戶都處於遠程辦公的狀態,這就對企業安全有了更高的要求。”騰訊安全總經理程文傑告訴新京報貝殼財經記者。
“對於內鬼問題,其實我們有蠻多客戶提出了這個方面的訴求。”程文傑告訴記者,“我們其實會先解決賬號被人仿冒的問題,比如黑客盜號這種從外到內的問題,這是第一階段;第二步,我們才解決從內到內的問題,零信任就是一以身份爲邊界,二以數據爲邊界。以身份爲邊界,是解決身份被仿冒的問題,以數據爲邊界,解決的是數據被濫用的問題。”
“原有的身份鑑別技術基本上都是用戶名和密碼,但用戶名和密碼很容易失竊,在零信任技術的落地實踐當中,必然涉及如何能更好地去驗證用戶身份,比如當我使用App進行遠程連線時,我無法看到和我連線的人是誰,只能知道對方的ID,在安全圈裏,一個一直在討論的問題就是——如何驗證登錄ID的人是我的同事還是一個黑客僞裝的同事。在我們自己的實踐中,我們其實認爲最能夠代表用戶屬性的不是用戶名和密碼,而更可能是用戶的行爲或者一些其他的識別信息等。”程文傑對記者表示。
新京報貝殼財經記者注意到,類似“零信任”機制早已在不少產品中應用,如微信、支付寶等都可以通過掃碼登錄。
程文傑表示,掃碼行爲遠比用戶名和密碼登錄更加值得信任。“掃碼的過程不需要輸入任何用戶名跟密碼,因爲它涉及幾個組件,以手機終端爲例,手機本身有指紋、人臉識別等驗證方式,這就已經幫我們做了很多安全驗證了。最後,掃碼這個動作對用戶的干擾很小,這一個動作,我們就已經把所有用戶認證相關的東西都做進去了,這就涉及零信任技術。”
“零信任”爲何火爆?
受疫情影響熱度直線上升
“疫情期間爲了方便高校老師和學生在外地訪問學校的圖書館、課程通知系統等資源,不得不將這些應用的入口開放到互聯網上,在這個過程中容易把業務端口暴露出來,被黑客盯上。SaaS(軟件即服務)版零信任解決方案可以直接通過企業微信接入,隱蔽業務端口,保障高校業務的安全。”程文傑告訴記者。
“從近幾年的觀察來看,零信任在前面近十年的增長曲線都是一個非常平緩的爬坡,有增長但很慢。不過到2020年受疫情影響,零信任的熱度直線上升,目前,基本所有的安全廠商都在提零信任概念。”程文傑說。
新京報貝殼財經記者發現,基於“零信任”理念,騰訊推出了iOA應用安全訪問服務(SaaS),華爲發佈HiSec零信任安全解決方案,深信服零信任客戶端兼容鴻蒙……
在陳曦看來,零信任在2020年的火爆與參考標準的推出有關。“芯盾時代在2018年就推出了零信任安全產品,並在金融領域客戶實現落地,此時零信任僅僅是一個概念。直到2020年,NIST(美國國家標準與技術研究院)發佈了零信任架構標準,這個標準目前已經被國內外許多安全廠家作爲了參考標準,我們也在2020年參考該標準對產品做了整體升級。”
“目前,國內做零信任的安全廠商有幾大流派:一些公司,如奇安信、竹雲是從身份認證角度切入零信任賽道;一些公司從傳統遠程辦公,也就是VPN角度切入,如深信服推出了零信任VPN;一些公司從傳統網絡安全層面切入,如華爲下沉到了網絡層面的防護;還有一些公司從微隔離角度切入。由於是面向泛行業和多場景都適用的解決方案,零信任的市場極大,應用點有很多。”陳曦表示。
“主要有這幾類場景需要零信任。”陳曦說,“一個是企業資源安全訪問,比如企業員工攜帶了企業受控設備去訪問企業內部資源,此時不能毫不設防,還需要零信任機制進行持續保護;二是服務網格,比如企業除了在本地有服務中心,還可能會購買雲上服務,此時需要微隔離或者基於身份的訪問控制;三是企業外部合作伙伴通過API訪問企業數據,企業需要保障訪問者擁有對API及數據訪問權限。”
貝殼財經記者發現,政府、金融機構、運營商等對安全要求比較高的行業以及教育、醫療等涉及敏感人羣隱私的行業對零信任安全架構的需求相對更高。而如何更便捷地部署零信任成爲很多企業機構正在考慮的問題。
“安全風險較大的場景都與數字世界中‘人’相關,安全體系架構從‘網絡中心化’向‘身份中心化’成爲必然,實施零信任安全戰略並非對基礎設施或流程的大規模替換,而是一個過程,企業機構應逐步實施零信任原則、變更流程、對最高價值數據資產採取保護。”社科院在5月14日發佈的《數字經濟藍皮書:中國數字經濟前沿(2021)》中表示。
新京報貝殼財經記者 羅亦丹
