叢磊 白山技術(shù)中心安全產(chǎn)品負(fù)責(zé)人

　　2016年加入白山，主要負(fù)責(zé)云安全產(chǎn)品的研發(fā)管理和安全體系構(gòu)建等。

　　2006年至2015年就職于新浪，原SAE（Sina App Engine）創(chuàng)始人，曾任總負(fù)責(zé)人兼首席架構(gòu)師，2010年起，帶領(lǐng)新浪云計(jì)算團(tuán)隊(duì)從事云相關(guān)領(lǐng)域的技術(shù)研發(fā)工作。

　　現(xiàn)任工信部可信云服務(wù)認(rèn)證評(píng)委。

　　數(shù)字安全是企業(yè)高質(zhì)量發(fā)展的關(guān)鍵。根據(jù)Gartner 2018年安全報(bào)告，數(shù)據(jù)安全、應(yīng)用（業(yè)務(wù)）安全、網(wǎng)絡(luò)安全是CIO/CSO最關(guān)注的安全子項(xiàng)Top3，數(shù)字資產(chǎn)保護(hù)已成為CIO/CSO對(duì)安全的最大需求。

　　數(shù)據(jù)資產(chǎn)蘊(yùn)含著巨大價(jià)值，而在商業(yè)對(duì)手、黑產(chǎn)/暗網(wǎng)、數(shù)據(jù)公司等通過(guò)非法爬取、黑客竊取等手段獲取數(shù)據(jù)時(shí)，內(nèi)部的主動(dòng)泄露、被動(dòng)泄露等方式也使數(shù)據(jù)資產(chǎn)安全受到威脅。

　　而目前針對(duì)數(shù)字資產(chǎn)的保護(hù)，安全手段仍有一定局限：

　　傳統(tǒng)安全技術(shù)無(wú)視“爬蟲(chóng)”，但爬蟲(chóng)其實(shí)是造成數(shù)據(jù)資產(chǎn)泄露的主要途徑；

　　大多企業(yè)應(yīng)用點(diǎn)防御，缺少對(duì)數(shù)字資產(chǎn)的梳理，和基于流量/數(shù)據(jù)的縱深防御；

　　依賴(lài)規(guī)則，維護(hù)成本高，且覆蓋不全，只能解決已知威脅；

　　安全產(chǎn)品使用不當(dāng)，反而帶來(lái)安全威脅。

　　針對(duì)以上問(wèn)題，著名研究機(jī)構(gòu)Forrester的首席分析師約翰·金德維格在2010年提出ZERO TRUST（零信任安全），期望能全面解決在企業(yè)安全中“人-物-數(shù)據(jù)”之間的問(wèn)題。

　　“零信任”的本質(zhì)

　　在我看來(lái)，認(rèn)清身份，并對(duì)身份進(jìn)行持續(xù)行為分析，再根據(jù)結(jié)果，實(shí)現(xiàn)對(duì)身份的動(dòng)態(tài)控制。三者之間形成的閉循環(huán)，就是零信任架構(gòu)。

　　零信任安全架構(gòu)

　　身份

　　身份，在現(xiàn)實(shí)生活中，我們有對(duì)應(yīng)的獨(dú)立肉體身份；而在數(shù)字化系統(tǒng)中，我們則對(duì)應(yīng)一個(gè)個(gè)Token，即代表身份信息的字符串。Token具有唯一性、隨機(jī)性、溯源性、持續(xù)性。

　　身份的三層映射關(guān)系

　　上圖闡釋了身份的三層映射關(guān)系：每個(gè)人，即User Entity，都會(huì)映射到不同的Token；Token在IT系統(tǒng)中，又會(huì)映射不同的身份；不同身份具有不同的權(quán)限。

　　三層映射關(guān)系結(jié)合起來(lái)，就是零信任中的“身份”。即“身份”不僅包含了你個(gè)人的實(shí)體，也包含了你的身份證，以及不同作用域下的身份角色（比如你在家里是父親，在公司是工程師）。

　　常見(jiàn)的Token有兩種：

　　源IP

　　在大部分情況下，我們認(rèn)為一個(gè)IP代表一個(gè)Token。但這可能存在一定問(wèn)題：

　　1）代理池IP，net，可能一個(gè)IP背后不僅一個(gè)Token。也許在IPv6普及之后，這個(gè)問(wèn)題會(huì)被徹底解決；

　　2）IP存在偽造的可能，這種情況下，需要一些額外的技巧防止IP偽造。

　　ID

　　很多企業(yè)有自己的ID，可以是SSO賬號(hào)，也可以是業(yè)務(wù)系統(tǒng)中的UID或設(shè)備指紋。

　　持續(xù)行為分析

　　有了身份，在相應(yīng)權(quán)限下，用戶(hù)會(huì)產(chǎn)生不同行為。而零信任安全非常重要一點(diǎn)的就是對(duì)用戶(hù)行為進(jìn)行持續(xù)分析。

　　首先，我們需要定義什么是“行為”？

　　白山ATD系統(tǒng)以用戶(hù)訪(fǎng)問(wèn)行為為視角，基于六元組模型，定義“行為”概念，即：時(shí)間、地點(diǎn)、人/ID、作用域、動(dòng)作和結(jié)果。

　　其次，我們需要理解什么是“持續(xù)”？

　　即用戶(hù)登錄系統(tǒng)到登出系統(tǒng)：從用戶(hù)訪(fǎng)問(wèn)某一邊緣到另一邊緣的整個(gè)過(guò)程；我們應(yīng)該從縱向（用戶(hù)生命周期）、橫向（用戶(hù)活動(dòng)范圍）兩個(gè)維度進(jìn)行分析。

　　我們總結(jié)常見(jiàn)的“行為分析”，目前大概可以分為兩類(lèi)，白山ATD系統(tǒng)針對(duì)不同情況采取了不同分析模型：

　　針對(duì)特定場(chǎng)景的行為分析;

　　針對(duì)特定場(chǎng)景，我們可以采用可編程對(duì)抗，把特定場(chǎng)景的規(guī)則植入到系統(tǒng)中；也可以利用有監(jiān)督學(xué)習(xí)模型，利用企業(yè)已經(jīng)標(biāo)注好的黑白樣本，針對(duì)場(chǎng)景訓(xùn)練模型。

　　針對(duì)通用場(chǎng)景的行為分析;

　　針對(duì)通用場(chǎng)景，一般可以利用無(wú)監(jiān)督學(xué)習(xí)，進(jìn)行單體分析和個(gè)群分析。

　　單體分析：即和過(guò)去的自己對(duì)比。比如我們學(xué)習(xí)某一工程師過(guò)去的登錄行為，生成行為規(guī)律，如果某一天的行為不符合規(guī)律，系統(tǒng)會(huì)質(zhì)疑其身份，判斷是否存在問(wèn)題。

　　個(gè)群分析：即和大家比。其關(guān)鍵點(diǎn)在于如何屏蔽海量數(shù)據(jù)的噪聲，進(jìn)行群體行為的建模；再?gòu)臅r(shí)域、頻域、文本、路徑等維度分析，找出與大家不同的行為。

　　頻域個(gè)群對(duì)比-某游戲平臺(tái)

　　在某游戲公司的實(shí)際案例中，攻擊者使用偽造User Agent不斷更換User ID進(jìn)行撞庫(kù)，并破解簽名算法。從流量角度分析日志，其訪(fǎng)問(wèn)行為是合法請(qǐng)求，且訪(fǎng)問(wèn)頻率不高。但當(dāng)我們通過(guò)傅立葉變換轉(zhuǎn)變成頻率行為，我們可以看到其訪(fǎng)問(wèn)行為具有周期性，通過(guò)頻域個(gè)群對(duì)比，最終確認(rèn)是撞庫(kù)攻擊。

　　文本個(gè)群對(duì)比-某銀行HW

　　在某銀行HW攻防案例中，用戶(hù)請(qǐng)求其實(shí)是PHP的探測(cè)，通過(guò)模擬百度搜索請(qǐng)求，繞過(guò)安全設(shè)備掃描。但是因?yàn)樽址?，?biāo)點(diǎn)符號(hào)之間的比例、單引號(hào)雙引號(hào)之前的依賴(lài)關(guān)系、參數(shù)的構(gòu)成，與正常的用戶(hù)請(qǐng)求之間存在明顯區(qū)別，通過(guò)文本個(gè)群對(duì)比，最終被ATD系統(tǒng)捕捉。

　　動(dòng)態(tài)控制-零信任安全的核心

　　動(dòng)態(tài)控制

　　控制是根據(jù)身份對(duì)應(yīng)的權(quán)限，約束身份的行為。動(dòng)態(tài)控制則是通過(guò)不斷地行為分析，修正Token的身份，調(diào)整對(duì)應(yīng)權(quán)限。

　　權(quán)限粒度

　　動(dòng)態(tài)控制還需要對(duì)數(shù)字資產(chǎn)劃分權(quán)限粒度，通過(guò)建立動(dòng)作分級(jí)和資產(chǎn)粒度的二維象限，對(duì)身份授權(quán)。

　　動(dòng)作上，可感、可達(dá)、讀、增、改、刪，每一個(gè)動(dòng)作所要求的權(quán)限是逐級(jí)上升；而資產(chǎn)粒度上，服務(wù)、庫(kù)、表、行、列，每一個(gè)訪(fǎng)問(wèn)資產(chǎn)的精細(xì)度也逐級(jí)遞增。而動(dòng)作分級(jí)與資產(chǎn)粒度的象限交點(diǎn)，即為對(duì)特定用戶(hù)身份的授權(quán)。

　　零信任&信用體系

　　總之，企業(yè)搭建一個(gè)外部用戶(hù)與內(nèi)部用戶(hù)的信用體系，應(yīng)是組織結(jié)構(gòu)、業(yè)務(wù)邏輯、風(fēng)控系統(tǒng)、威脅情報(bào)、行為分析等所有能參考的數(shù)據(jù)集合。在這樣的體系中，能給每個(gè)身份信用定級(jí)，并能不斷地更新信用、調(diào)整身份。體系的搭建需要融入企業(yè)整個(gè)生命周期。這樣的實(shí)時(shí)動(dòng)態(tài)的信用體系，就是零信任安全體系。

　　零信任不是表示不相信任何人，而是要從行為中重塑對(duì)每一個(gè)人的信任！