來源：今日頭條

2021-06-30 09:05

受疫情影響，許多(duō)公司、高(gāo)校以及其他組織，不得不将一(yī)些應用的入口，開(kāi)放(fàng)到(dào)互聯網上(shàng)。在這個(gè)過程中，容易把業(yè)務的端口暴露出來，成為(wèi)黑(hēi)客的攻擊目标。

此外，很多(duō)企業(yè)都正在飽受“内鬼”問題的困擾。

有贊微盟系統遭核心運維人員(yuán)賀某删庫，導緻大面積服務集群無法響應，生(shēng)産環境及數據遭到(dào)嚴重破壞。

某一(yī)家互聯網巨頭公司，在重點城(chéng)市(shì)的日均單量數據，被内部人員(yuán)以2萬元的價格，賣給了競争對手。

員(yuán)工(gōng)離職時，拷走公司業(yè)務所有的源代碼……

類似的事(shì)情還(hái)有很多(duō)，有時候數據洩露，并不是遭受黑(hēi)客攻擊，而是來自(zì)“内鬼”的攻擊，防不勝防。

在這樣的背景下(xià)，由研究機(jī)構Forrester的首席分析師(shī)約翰·金德維格在2010年(nián)提出的“零信任”安全又(yòu)火了起來。

2018年(nián)，英格索蘭工(gōng)業(yè)美國(guó)公司發現，其服務工(gōng)程師(shī)孫某将公司69萬份保密信息下(xià)載到(dào)硬盤以及轉發到(dào)自(zì)己的私人郵箱裡(lǐ)。

相(xiàng)關工(gōng)作人員(yuán)對孫某進行約談後，随即解除了勞動合同，一(yī)紙(zhǐ)訴狀将其告上(shàng)法庭。

最高(gāo)人民(mín)法院終審判決認為(wèi)，孫某的行為(wèi)構成《中華人民(mín)共和國(guó)反不正當競争法》，應承擔相(xiàng)應的民(mín)事(shì)責任。

像“内鬼”下(xià)載公司内部機(jī)密資料的事(shì)件(jiàn)，并不少見(jiàn)。

在大數據時代，數據已然成為(wèi)影響企業(yè)生(shēng)存發展的核心機(jī)密。

以早之前進行補貼大戰的兩家互聯網企業(yè)為(wèi)例，如果自(zì)己的當天的補貼單量及補貼價格，被洩露給競争對手。那麽對手就(jiù)可以根據其補貼情況，靈活調整補貼打法，占盡優勢。

為(wèi)了解決近年(nián)來越來越頻繁的“内鬼”問題，“零信任”理念正式登上(shàng)曆史舞台。

什麽是“零信任”

“零信任”既不是一(yī)種技(jì)術(shù)手段，也不是某一(yī)種産品，而是一(yī)種安全理念。它會(huì)假定網絡邊界内外的任何主體，在未經驗證前都不予信任。

“持續驗證，用不信任”，是零信任的基本觀點。

正如約翰·金德維格所言：“證明員(yuán)工(gōng)身份的不是密碼，是行為(wèi)。”

除了使用身份鑒别技(jì)術(shù)外，“零信任”還(hái)會(huì)監控賬号的行為(wèi)。

舉一(yī)個(gè)簡單的例子，如果某一(yī)企業(yè)員(yuán)工(gōng)，擁有訪問企業(yè)源代碼資源庫的權限，但這一(yī)賬号并不是判斷合法行為(wèi)的唯一(yī)标準，即不是在權限内的所有行為(wèi)，都會(huì)被認為(wèi)是合理合法。

正常來說，每天工(gōng)作時間這名員(yuán)工(gōng)會(huì)做一(yī)些代碼的拉取和提交行為(wèi)，但如果有一(yī)天他下(xià)載了大量平時不經常訪問的數據庫代碼，顯然該行為(wèi)存在風險，應及時預警或者阻斷。

2020年(nián)，美國(guó)國(guó)家标準與技(jì)術(shù)研究院(NIST)發布了零信任架構标準，進一(yī)步推動了“零信任”安全的發展。

如今，在阿裡(lǐ)、字節、快手等大廠，如果員(yuán)工(gōng)離開(kāi)座位沒有關閉電(diàn)腦(nǎo)，很快就(jiù)會(huì)被風控部門(mén)約談，甚至被罰款。

以前滴滴的員(yuán)工(gōng)可以随意查看(kàn)跨部門(mén)的單量信息，現在已經被嚴格的權限方案所限制。

快手、騰訊内部的數據文檔不再能(néng)随意下(xià)載，也不能(néng)被傳輸。

近年(nián)來，數據洩露事(shì)件(jiàn)有逐漸擴散的趨勢，越來越多(duō)的企業(yè)将自(zì)己的數據搬到(dào)“雲上(shàng)”，網絡邊界越來越模糊，這些因素對企業(yè)安全提出了更高(gāo)的要求，“零信任”安全理念也正在被越來越多(duō)的企業(yè)所接受和使用。