新闻资讯_飞天诚信

零信任：对身份安全威胁和数据泄露说NO！

现如今，在云计算驱动数字化转型的同时，新的安全风险正在从企业内部滋生，由黑客攻击和“内鬼”引发的大面积信息泄露事件频频发生，传统边界防护体系看似牢不可破，实则千疮百孔。

时至今日，零信任已不再冷门，但是人们对于零信任的了解还停留在概念层面，下文将结合实际场景讲述零信任在企业安全防护中的重要作用。

通过案例一窥究竟

一：内鬼泄密篇

A公司是某知名软件公司，即将发布一款新产品，小鬼是A公司核心成员。

一日，竞争对手B找到小鬼并出价100万，要求偷到A公司新产品的全部源码。看着丰厚报酬，小鬼欣然答应。

由于该公司对员工权限划分较为粗略，作为核心成员的小鬼拥有全部权限，轻而易举便拿到了源码，并且清除了全部访问痕迹。

小鬼成功交货。几天后，B公司抢先发布新产品，而A公司损失惨重。

该案件暴露了A公司管理中的以下问题：

1）过分信任“人”。防御内鬼的关键就是克服"人"的不可靠性。该案例中，小鬼用“合法身份”窃取数据，系统对于可信身份直接放行，导致信息被盗。

2）权限未细分。对于公司员工，应按级分配最小权限，未授权资源无法访问及下载。而小鬼拥有该项目的全部权限显然是不合理的。

3）审计日志不明确。审计日志可以帮助企业进行问题回溯和事故追责。但由于A公司并没有完善的审计功能，面对数据泄露无计可施。

二、黑客攻击篇

A公司气不过新产品被盗，雇佣黑客偷取B公司新产品下一版本的全部源码。

根据多年黑客经验，小黑成功拿到一份B公司员工名单及邮箱，并向邮箱发送了钓鱼邮件，很快一名员工上钩了。

木马通过VPN链路扫描了B公司网络，文件植入木马，很快，木马便在B公司四处传播，顺利破解了很多核心员工的账号密码。然后小黑便以合法身份登录B公司内网，取到了核心数据。

小黑成功交货，而B公司却不知道数据已经被盗。

该案件暴露了B公司管理中的以下问题：

1）资源暴露面大。应用资源和服务暴露在外，黑客很容易找到应用源站，发起攻击。

2）静态密码安全性差。静态密码容易破解，安全性不高。

3）未持续信任评估。两个案例均暴露了过分信任“人”的弊端，无论是内鬼还是黑客，通过“合法账号”登录后便可在公司内网畅通无阻，这相当于小偷拿了小区门禁，便可在小区内做任何事情，十分恐怖。

飞天云信零信任解决方案

零信任以身份为中心，用不信任的方式对人与设备进行持续身份验证，即“从不信任，永远验证”。

飞天诚信基于零信任安全架构和核心理念，提出了一套数字身份安全与访问控制解决方案，可满足各行业身份安全管理需求，提升企业整体的业务安全系数和效率。

产品特点：

1、全场景、标准化身份管理体系

轻松打通多种身份来源，构建统一身份标识，实现员工全生命周期管理。

2、一次登录，通达所有应用

预集成国内外众多主流应用，满足企业BS应用、CS应用，以及自研应用等的单点登录。

3、多因素认证可信接入

可以结合人脸、指纹、OTP令牌、FIDO等方式进行二次验证，满足各行业的安全强认证需求。

4、应用权限统一分配

建立企业分级授权机制，通过用户/机构/角色等属性完成自动化授权，保证权限的快速分配和及时回收。

5、资源隐藏，减少攻击

不会向互联网暴露真实服务及应用的IP和端口，黑客找不到应用源站，无从发起攻击。

6、从不信任，永远验证

从设备/身份/环境/访问行为等多个维度进行持续风险评估，实时生成/调整访问策略，及时阻断风险。

零信任：对身份安全威胁和数据泄露说NO！

若案例公司提前部署实施了飞天云信零信任安全架构，还会发生数据泄露事件吗？

零信任面向内部业务访问管控：

1）细粒度授权制度使“内鬼”无法拥有全部源码；

2）异常行为监控及时发现异常，回收权限；

3）安全审计记录“内鬼”全部行为，进行事后追责。

零信任面向外部攻击防护：

1）终端安全检测发现终端设备不可信，触发多因素身份验证；

2）业务资源隐藏使黑客无法检测到有用信息；

3）异常行为监控及时发现异常，阻断攻击。

总之，飞天云信零信任安全架构的全面防御可弥补人和设备的不可靠性，通过综合各类检测、认证和限制，让原本来去自如的内鬼和攻击者寸步难行。

目前，除了谷歌、微软、思科等国外巨头，腾讯、深信服、360企业安全、奇安信等国内企业也纷纷开始研究零信任架构。如今，零信任已是兵家必争之地。

飞天诚信在身份认证和支付安全领域已深耕多年，拥有过硬的芯片设计技术、硬件整合技术、软件和系统研发实力，相信飞天诚信在零信任领域的研发与实践，将会为零信任在中国的进一步发展提供新的思路。