图片来源
视觉中国
文
菠萝财经
岁末年关,网络安全领域再次展示了它“不安全”的一面。
近日,美国网络安全公司FireEye发布分析报告称,SolarWinds旗下的Orion基础设施管理平台的发布环境遭到攻击者入侵,产品被攻击者植入后门,受到了严重的供应链攻击。所谓的“供应链攻击”,是攻击者将恶意代码隐藏在第三方提供的合法软件的一种攻击方式,通过这种供应链隐藏,其可以获取目标系统的访问权限,从而窃取系统和平台上的敏感数据。
把此次“Solarwinds供应链攻击事件”列为年十大网络安全事件一点都不为过。要知道连美军五大部队、美国国务院、NASA、NSA、美国总统办公室等等都是Solarwinds的客户,其波及范围可想而知。
实际上,SolarWinds自己本身就是一家主营网络安全管理软件产品的公司。纵使是这样,仍旧发生了“网络安全公司”自己被攻击的事件,这种“黑色幽默”也让人充分意识到了,当今网络世界丝毫都不安全的现实。
当前,随着云服务、边缘终端、便携设备、移动办公等新技术的普及,企业内外网的边界逐渐模糊。传统基于边界的安全防护逻辑开始逐步失效。网络安全行业亟需一种“永远信任,始终要验证”的零信任安全架构。
可以预测,从“有边界防护”到“无边界管控”,零信任安全的这种全新逻辑,将给整个网络安全行业带来极大的颠覆,其或将重构整个网络安全的格局。那些能够敏捷转身、顺势而为者,很有可能会在全球越发重视网络安全的当下,快速地崛起。
全球安全事件频发,传统网络安全架构错在“太老了”
从委内瑞拉国家电网干线受攻击,造成全国大面积停电,到丹麦万公民的纳税人身份证号码被意外曝光;从美国天然气管道商遭攻击,被迫关闭压缩设施,到葡萄牙能源巨头EDP遭网络攻击,被勒索近1,万欧元……即将结束的年,依旧是网络安全事件频频发生的一年。
相比于上述大部分案例,此次Solarwinds供应链攻击事件,无论从波及面还是影响程度来说,都要严重得多。消息显示,此次事件的受害者遍及北美、欧洲、亚洲和中东地区的政府、科技公司和电信公司,覆盖军工、能源等多个涉及国家安全的行业。
SolarWinds此前曾坦诚,“有‘少于18,家’企业受到了影响。”话音刚落,在这18,家企业里面,越来越多的企业就被“确定”,这其中不乏思科、英特尔、英伟达、VMware等知名企业。
美国联邦政府已宣布旗下所有机构,都要立即放弃SolarWinds的IT管理系统。
马化腾曾经说过一句非常扎心的话,“你什么都没错,错就错在太老了”。其实,把这句话嫁接到网络安全行业,也同样非常适合。传统网络安全行业经过这么多年的发展和迭代,向前迈出的每一步,都存在着严重的“路径依赖”。具体来说,传统网络安全架构的“老”,主要体现在以下四个弊端上:
第一,是逻辑弊端。相比于“零信任”,某种角度上,传统网络安全架构的逻辑可看成是“全信任”——我信任你们,但是我要全方位、一层一层地检查。殊不知,但凡信任之后再检查,就始终有疏忽的地方。
第二,是边界弊端。传统网络安全架构有内外网的边界概念。潜意识里认为内网的就是安全的,外网的就是要防护的。然而就像前面所说,内外网的边界如今已经变得极为模糊,在这种背景下,何谈后续的防护?而且,即使是内网,也经常存在各种非法、间谍的情况。
第三,是场景兼容的弊端。近年来随着5G、云计算、大数据的飞速发展,加之今年新冠疫情的催化,出现了企业核心应用“云化”、业务节点“边缘化”、办公场地“多样化”、服务形式的“网络化”、内部流程的“数字化”等等各种“新态势”,传统网络安全架构,在兼容性和扩展性上满足不了新的需求。
第四,是管控颗粒度的弊端。传统网络安全架构,颗粒度比较粗糙,“内外网”成了最重要的分界线。然而,现如今的攻击,以此SolarWinds供应链攻击为例,攻击者通过获取正规厂商的证书并利用其对自身进行签名,导致了所有信任该证书的企业、机构都存在遭受入侵的风险。可见,“内外网”这种极为粗糙的颗粒度管控方式,是远远跟不上时代发展的。
所以,从以上四大弊端来看,在全球范围内,用零信任安全架构对传统网络安全架构进行迭代升级,既是迫在眉睫也是大势所趋。就像奇安信的齐向东所言,“网络被彻底打开,传统边界属性改变,传统的IT安全架构已经跟不上时代发展,需要探索全新的安全解决方案。”
网络安全的破局者,为什么是零信任安全?
自从ForresterResearch的分析师JohnKindervag在年正式提出“零信任”这一概念后,零信任就持续获得了业务的
