攻不破打不了,虎符网络零信任真安全
2022-09-19682次
2022年9月11-12日,首届CSA西塞杯零信任攻防挑战赛成功举办。本届赛事由联合国数字安全联盟指导,国际云安全联盟大中华区主办,湖州市吴兴区人民政府支持,虎符网络为赛事提供零信任防御方案。
虎盾,最佳防御方案
由于各厂商零信任实现的方式并不一致,本次大赛可以采用提供客户端的隧道应用模式,也可以采用不提供客户端的Web应用模式。虎符网络采用目前客户已经在广泛使用的客户端模式,把客户端提供给攻击者。
挑战赛期间,84支白帽战队、315名选手对系统数据目标发起了猛烈攻击。经过两天的不间断挑战,攻击队伍对靶标系统进行的渗透攻击无法攻破虎符网络零信任系统防护,更无法获取目标应用数据。最终,虎符网络零信任系统获得了此次比赛的【最佳防御方案】称号。
赛事回顾
本次大赛共两天,分为两个阶段。第一阶段,给到攻击者们客户端、公网IP和端口,攻击者需访问到OA应用中FLAG。10点比赛正式开始,12点07分攻击者发起了第一次攻击,至15点之后无任何攻击行为,总共发起157次攻击。攻击者们内心OS:这真心是搞不动了。
第二阶段中,需要提供8个普通账号密码给攻击者,其中共有20多位攻击者通过IP访问了OA应用,但是仍未攻破我们的访问控制策略越权访问到Web应用。
比较有意思的是,我们看到有攻击者故意让其中两个账号连续多次出现密码错误的情况,导致账号被冻结;虎符网络零信任方案的冻结策略是:账号冻结30分钟后再解冻。
第二个有意思的是我们设置了持续策略,会将疑似发动攻击的IP自动踢出下线,因此攻击者们来不及通过虎盾访问靶标系统。攻击者反馈到组委会,“投诉”我们有风控策略,导致他们在攻击时多次掉线,要求我们关闭。好吧,虎符网络的技术支持人员再次做了安全策略降级。
虎盾,为攻防对抗而生
此次参赛的虎盾零信任访问安全系统,是零信任架构下更安全的应用访问解决方案。虎盾主要由零信任客户端、零信任控制中心、零信任安全网关等组件组成,通过“端+网关”的形式在应用层上构建虚拟的私有可信身份网络,集中统一实现应用风险暴露面收敛、应用资源管控、实名身份流量、可信设备管控等功能。
在网络攻防实战中,虎盾针对攻击选手访问接入的受保护应用系统的全过程,设计了多层防线:
零信任强调的是流量身份化,以身份为基础构建安全防护边界。虎盾将传统“先访问后验证”的应用访问方式转变为“先验证后访问”,登录页面统一对接转换为客户端上的扫码认证,避免在登录页面输入用户名、密码的风险环节,并可在原有的认证基础上增加强化二次身份认证机制,阻断弱口令暴破等攻击手段。对于已认证用户,全部基于最小化原则按需授权,每个用户只能被授予所需的最低访问权限,将特权账号的高危操作风险降至最低。
02可信设备准入
通过虎盾客户端,能够实时有效的对接入终端设备执行管控,可信的终端才允许接入到零信任网关,其他终端自动拒绝;同时异常访问行为能被感知并预警,以方便应急响应事件。
03 暴露面收敛和网络隐身
暴露面收敛是零信任技术的核心功能之一SDP(软件定义边界)所实现的效果,在攻防对抗中可以有效对抗网络扫描以及0day。虎盾方案支持采用增强的SPA单包敲门机制隐藏全部接入到零信任网关的内部应用,实现网络隐身,最大程度减少接入的业务系统及网关自身在互联网上暴露面,防止攻击队对业务系统进行资产收集和攻击。
04 持续安全评估和动态策略
在攻防对抗中,持续安全评估最重要的意义在于对抗终端失陷。在安全措施失效、靶标失陷的情况下,持续安全评估的作用会立即显现,通过动态策略检测终端环境并实时阻断。例如,攻击队在入侵过程中往往会尝试执行植入木马、回连服务器等恶意操作,这些异常情况下都需要持续性的安全评估和动态策略强制终端下线,避免整个靶标系统的进一步失陷。事实上,在此次挑战赛过程中,由于攻击队无法突破身份认证、可信设备准入等基础防线,因此虎盾的动态策略更多的是发挥了“达摩克里斯之剑”的作用。
纵观挑战赛全程,尽管目标系统被刻意预留了大量安全漏洞,但由于虎盾为被保护的目标系统披上了一层隐身衣,实现“网络隐身”,攻击者也无法看见从而也就无法攻击。正如挑战赛评委、CSA大中华区主席李雨航院士所述,“本次挑战赛的结果证明,零信任是防御零日漏洞、对抗网络攻击的有效对应之策,性价比也极高。零信任在中国的落地刚刚开始,得到工信部的大力支持,但我们还必须加快零信任的推进,升级网络安全的原生防御能力,这样才能保障千千万万个组织机构免受网络攻击之害”。
