你的安防系统挡得住勒索病毒吗?零信任能否助解?
勒索病毒,一直让诸多企业机构极为头疼,因为其专攻软肋、直抓命根。别以为勒索病毒只发生在网络安全保护体系比较弱小的国家和地区,这不,蓝星第一强国,最近就遭遇了一起比较严重的勒索病毒事件。
美国当地时间5月9日,美交通运输部门宣布,美国最大的成品油管道运营商Colonial Pipeline在当地时间5月7日遭受勒索软件攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络。
Colonial Pipeline称正在努力恢复运营,且已雇佣第三方网络安全公司进行调查。
据业内专家介绍,勒索病毒攻击行业中,传统行业、教育行业、互联网行业最是重灾区,其次是医疗、政府机构。虽然年年投入巨大,但中毒受勒索事件依旧屡见不鲜,连富士康、宏碁、起亚等赫赫有名的国际大厂都未能避免。
那么,勒索病毒如此猖獗,就真没有应对之法吗?非也,零信任安全或可成为当下乃至未来行之有效的防御之道。
零信任的概念虽然提出已有十余年,但在国内安全行业中,零信任真正爆发的时间应该是2019年。何故此言?因为在笔者的记忆中,各大安全厂商对零信任的宣传,在2018年还是零零星星,到了2019年一下子如雨后春笋,至2020年更是此起彼伏,好不热闹。
如今,零信任安全技术已经呈白热化趋势,据笔者从业直觉来看,但凡业内有一定研发能力的安全厂商,几乎都已经涉足或准备染指零信任。零信任之所以火热,是因为近十年来,云计算、人工智能、大数据等技术有着翻天覆地的发展,这些技术改变了企业的业务方式、开发模式,同时也让企业安全边界发生了巨大变化。
在传统安全思维看来,大多企业对安全的架构多为采取高筑墙、护城河的严阵以待模式,着力于防患外部不法入侵者攻破或绕过企业的安全边界。
但近年来,新冠疫情肆虐,互联网迅猛发展,远程办公、移动办公日益增多,办公终端以及办公工具也呈现多样化,另外企业上云也让安全边界更加模糊。因此,固守原有的传统安全模式,已经不能满足当下企业机构对新安全的需求。
与此同时,零信任安全恰好能在理论上解决上述问题。无论是内部使用者,还是外部访问者,皆实行永不信任和始终验证的原则,将大量的入侵攻击御之门外。
不过,零信任安全的概念和理论虽然相当美好,但最终落地还需要产品来加持。市面上琳琅满目的零信任产品,究竟能不能起到作用,比如能不能抵御得了勒索病毒的攻击?很多人还是会打一个大大的问号。
一方面,许多安全厂商对零信任安全也存在许多应用盲区,未来进一步拓展技术纵深与应用纬度,并不一定具有清晰的认知与明确的规划,其中不乏走一步看一步、人有我也要有、技术产品不落于人后的跟风心态。
另一方面,许多企业机构客户对于零信任产品也有着较大的存疑,因为零信任产品千差万别,哪类产品、那种概念、哪些架构贴合自家的安全体系,往往同样存在相当大的盲从性。别人用着好,不一定适合自己。人云亦云,难以抉择。
故此,唯有对零信任安全拥有全面而有体系的了解,形成自己的深度认知与研判,才能够更锐利地审视市场上那些眼花缭乱的零信任产品,继而分析判断出是否与自家系统契合。
如果能有行业通用性可参考的典型案例,或者网安行业具体的可落实标准,对于企业机构而言,必是相当重要的参考对象,更加方便系统性了解对方零信任安全产品,同时也能对自身安全水位有更好的判断。如今,这一切已有人走在了行业的前面,将零信任标准化升级。
2021年5月14日,在“以零信任重构信任”为主题的零信任发展趋势论坛上,腾讯研究院、腾讯安全以及Gartner将联合发布零信任白皮书,这本基于多位专家行业研究和应用探索的白皮书将为零信任产业发展带来新动能,助力产业标准化、规范化发展,毫无疑问将进一步填补零信任在标准和实施方面的空白,推动国内零信任安全标准落地、生态建设。
此外,白皮书还将对零信任落地应用过程中面临的问题和挑战进行梳理、归类、提升,包括零信任发展现状,要解决什么问题,如何实现零信任,有哪些典型的应用领域和案例等等,并结合国家宏观政策、产业生态进行总结提炼,让受众更加清晰地了解零信任。
据悉,本次大会由中国信通院、中国产业互联网发展联盟指导,腾讯安全主办,云安全联盟大中华区(CSAGCR)、腾讯研究院协办,informamarkets承办,在上海世茂皇家艾美酒店举行,腾讯副总裁丁珂,北京赛博英杰科技有限公司创始人&董事长谭晓生,CSA大中华区研究院副院长贾良玉等众多网络安全大咖出席并发言,涉及零信任产业发展趋势、技术架构及落地应用、企业管理与合规治理等多个方面。
本次论坛主办方还邀请了诸多业界大咖参与,他们将会发表重磅演讲,分享自己在零信任安全方面最新的研究成果与理论经验。对于零信任发展趋势和市场情况如何、如何为零信任的落地提供前瞻性的指引等话题,他们均有独特而深厚的经验见解。
距离5月14日已经非常临近,我们不妨提前窥探一下部分嘉宾的演讲主题与主要内容。
中国信息通信研究院云大所副所长
演讲主题
“数字化转型时代零信任发展蓝皮报告
演讲概要
近年来,云计算、大数据等新一代信息技术与实体经济加速融合,产业数字化转型迎来发展浪潮,为企业提质降本增效的同时,也为企业IT架构带来新的安全挑战,传统安全防护机制遭遇瓶颈,探索适应企业数字化转型安全需求的新一代安全体系具有重要意义。
零信任安全理念打破了网络位置和信任间的默认关系,能够最大限度保证资源被可信访问,提升企业数字化转型中新IT架构的安全性。本演讲将对数字化转型时代零信任作用与意义、发展与应用等内容进行分享,主要包括:
1、企业数字化转型安全建设现状与痛点;
2、零信任在企业数字化转型安全建设中的作用与意义;
3、零信任通用应用场景和重点行业应用场景;
4、零信任发展趋势。
腾讯安全总经理
演讲主题
腾讯零信任安全解决方案及最佳实践
演讲概要
1、零信任安全的发展与概念,如远程办公需求下带来的企业安全问题,数字化转型面临的趋势,安全合规要求更加严格等;
2、腾讯零信任安全的探索实践,如安全的基石、身份与设备的重塑,构建多维的访问控制策略及良好体验等;
3、腾讯零信任安全解决方案,如腾讯iOA,展现腾讯零信任核心能力架构图,以及如何满足不同企业安全建设需求等。
普华永道网络安全负责合伙人,首席技术官
演讲主题
零信任与数据合规治理
演讲概要
随着疫情逐渐平息,跨国业务将逐渐复苏,为抓住市场先机,企业可能将重定义业务与IT的战略。同时企业的数字化转型场景正以超乎想象的速度发展,随之而来的还有全球持续深化的数据安全与隐私合规立法。在使用数据产生效益的过程中,企业所面临的管理与数据合规问题,都成为了重点需求。
零信任是解决这类需求的典型方案,企业可以在原有管理框架的基础上结合零信任要求,进一步完善管理与数据合规治理能力。
ThoughtWorks首席安全科学家
演讲主题
身份可感知的设备端点与云数据平台零信任技术
演讲概要
身份可感知是零信任领域的关键问题,在不同场景有着不同的技术方案,本分享将针对“设备端点的身份感知透明模块”与“分布式数据平台中基于身份的数据治理”,两个角度出发,讨论身份感知的技术。
此外,关于企业从已有安全框架向零信任转变的过程中还需从哪些维度进行全面布局和规划?有哪些成功的案例可以借鉴……一系列热门话题,腾讯安全、普华永道、ThoughtWorks等企业专家将分别分享零信任的应用案例与合规治理等内容,为零信任落地实践提供成功的参考案例。
在本论坛最后的圆桌会议上,腾讯安全、天融信、CSA、葛兰素史克、中国移动设计院等企业的专家将探讨零信任安全理念的最新应用实践和网络安全发展新路径,共话零信任未来。
新的理念,新的趋势,新的经验,新的分享。对于零信任,既然未来不可避免,那就来零信任发展趋势论坛深入了解吧。饕餮盛宴,必有所得!
扫描上方海报二维码或点击“阅读原文”即可报名。
“如果我们坚信未来的互联网会形成一个全新的人类大脑,那它现在的进化中,就有一些规律可循。我们现在只需要做一件事情,就是存活在这个趋势里,把不是这个趋势的东西去掉就可以了,这就是我们最聪明的生存策略。”
——罗振宇《罗辑思维:迷茫时代的明白人》
推荐阅读
齐心抗疫 与你同在