在之前的文章中,深信服提出,零信任不止于远程办公,应逐步向更广泛的场景进发,诠释安全接入的全新范式。

　　在帮助用户向更广泛的应用场景进发过程中,我们识别到零信任还面临两大挑战:

　　挑战一:零信任SDP无法缓解人的脆弱性带来的安全风险。

　　挑战二:零信任SDP所设想的最小权限过于理想,落地障碍巨大。

　　对此,深信服不禁思考:我们需要的是一款怎样的零信任SDP产品?

　　一张太极八卦图,可以很好描述我们的启发性思考。

　　浩瀚宇宙间,一切事物和现象都包含着阴和阳,相反相成,缺一不可。

　　实战攻防中,黑白并举,攻守兼备,方能谓之业务安全接入防护之“道”。

　　用户真正需要的零信任SDP产品,除了具备体系化与纵深化的被动防御能力,还应该扩展主动防御能力。而这两种能力,需要以超前稳定的底层架构内核能力为支撑。

　　由此,深信服在业界率先推出零信任全新能力X-SDP——集“被动防御+主动防御”于一身,扩展升级传统SDP架构,创新融合“鉴白”“鉴黑”逻辑,实现零信任SDP产品的又一大能力跨越,助力用户安全领先一步。

　　01

　　三道防线 层层守护

　　——体系化与纵深化的被动防御能力

　　从攻防对抗视角看,当SDP构建起业务防护边界,攻击者一般只能从SDP账号、SDP终端和暴露在外网的SDP设备入手。

　　攻击者需要突破这三道防线,才能攻击受保护业务系统。

　　基于此,深信服零信任围绕“账号、终端、设备”体系化建设,深挖战壕,构建层层纵深防护的三道安全防线。

　　第一道:设备安全防线

　　SDP设备的自身安全是业务访问安全的基石。

　　在设备被攻破前,深信服零信任提供SPA单包授权、RASP自防护、防中间人攻击的三道子防线。即使在极端情况下,设备被攻破,深信服零信任也可以提供、HIPS防护、安全内核的两道子防线,层层守护设备自身安全性。

　　其中,深信服持续引领SPA单包授权技术的发展和创新,率先推出第四代SPA“一次一码”,完美规避以往安全码泄露、冒用等潜在风险。

　　第二道:账号安全防线

　　基于攻击视角,深信服零信任账号安全防线可以分为两个阶段:

　　在账号登录前,需经首次认证、终端认证、准入检查、多因素认证、增强认证,五道认证机制,层层审核。

　　在账号登录后,通过权限鉴权、动态权限访问控制,告别以往“非黑即白”的粗放式管理,形成精细化管控。

　　第三道:终端安全防线

　　假设终端已经失陷的情况下,深信服零信任终端安全防线可通过基线核查、进程安全、网络隔离、终端数据防泄漏、权限鉴权、动态权限访问控制,有效防止攻击者通过已失陷终端作为跳板攻击业务系统。

　　深信服零信任提供驱动级终端网络隔离能力,支持10+终端基线检查,在“办公不上网,上网不办公”的场景,用户连接办公网则自动断开互联网等不安全网络,有效防止终端远控。

　　02

　　零误报鉴黑 秒速自阻断

　　——可扩展的主动防御能力

　　零信任SDP是对传统边界安全机制的升级,在解决传统边界模糊、不可控的问题时,随着社工钓鱼、远控内部终端等攻击手法愈发常见,仍然面临着利用人员的习惯性疏忽进行攻击、最小化权限过于理想以致难以落地等挑战。

　　为了逆转实战中攻防不对等的局面,零信任SDP需要进一步演化升级,向协同式的“被动防御+主动防御”进行转变,切实兑现业务安全接入的承诺。

　　深信服零信任X-SDP创新扩展主动防御能力,通过威胁诱捕和安全雷达两大核心能力,持续强化和升级主动防御和主动预警的能力,实现原生零误报鉴黑、秒速自阻断。

　　威胁诱捕——请君入瓮 手到擒来

　　当终端被攻陷,攻击者需要通过失陷终端查找网络路由DNS、翻找浏览器记录和磁盘敏感文件、访问业务应用等方式进行扫描侦察。

　　零信任X-SDP通过主动部署终端多维诱饵、应用诱饵,以及独创的原生无交互蜜罐,推送终端文件、浏览器记录、网络路由等多种类型的信息类诱饵,引导潜入终端的攻击者暴露攻击行为,快速精准发现终端钓鱼、帐号泄露等事件,实时阻断攻击通路,快速回溯攻击路径。

　　并且,这种信息类诱饵类似于在终端放置一张“纸条”,推送后不占用终端CPU和内存资源,实现部署零消耗,向攻击者反向钓鱼,实现精准鉴黑。

　　安全雷达——顺藤摸瓜 一网打尽

　　安全雷达可细分为行为洞察、实体调查和防线可视三个子能力,实现零信任访问体系内的全链路行为追踪洞察、用户实体AI智能风险预警、防线纵深流量可视,完成事前预警、事中运营处置、事后溯源闭环。

　　1.全链路行为追踪洞察

　　基于完整的账号/终端/进程信息,通过会话跟踪技术串联日志上文,快速还原事件的完整登录及访问行为路径,对事件进行定性分析,并通过关联分析,对明确的攻击以点带面、以面及网,顺藤摸瓜,所有潜在威胁一网打尽。

　　2.用户实体AI智能风险预警

　　依托全身份化的访问记录,利用AI智能分析引擎,对关键实体(账号、IP、终端)进行深入调查分析和风险评级,高危实体及时预警,高效支撑事中运营处置。

　　3.防线纵深流量可视

　　以桑吉图可视化的形式,展示端到端全流程用户访问应用过程,通过设备/账号/终端三道防线及15+子防线的的流量分布和流向,帮助安全管理员全方位、实时掌握安全态势。

　　03

　　稳稳承载单用户超百万并发

　　——超前稳定的底层架构内核能力

　　能力持续演进的背后,离不开超前稳定的底层架构内核能力。

　　作为支撑业务安全访问的设施,深信服零信任潜心打磨数十载,以高性能隧道传输技术X-Tunnel和自研分布式高可靠架构X-Performance,为X-SDP提供超前稳定的底层内核支撑,稳稳承载单用户超百万并发,两倍超压下业务成功率高达90%。

　　深信服零信任X-SDP,被动防御+主动防御一体化新能力,正如太极阴阳两仪,既矛盾对立,又交融统一,两者缺一不可,是实战场景中攻防兼备的「制胜法宝」。

　　在今年的实战攻防演练中,我们有不少金融、能源等各行业用户进行了升级试用,X-SDP的效果得以验证并持续优化,也欢迎更多新老朋友成为X-SDP体验官,携手共创。