近年來(lái)勒索病毒慢慢發(fā)展成一個(gè)規(guī)模非常巨大的黑色產(chǎn)業(yè)鏈，公司受到勒索病毒洗腦的可能性呈現(xiàn)一個(gè)上升的趨勢(shì)，網(wǎng)絡(luò)安全對(duì)公司網(wǎng)絡(luò)建設(shè)和維護(hù)越來(lái)越重要。日前商灣網(wǎng)絡(luò)架構(gòu)總監(jiān)莫江成在又拍云 Open Talk 公開課上作了題為《如何替公司省下數(shù)千萬(wàn)勒索費(fèi)用》的分享，以下是直播分享內(nèi)容整理，查看視頻請(qǐng)點(diǎn)擊閱讀原文。

商灣網(wǎng)絡(luò)（UPWAN）架構(gòu)總監(jiān)，現(xiàn)主要負(fù)責(zé)商灣網(wǎng)絡(luò)產(chǎn)品架構(gòu)設(shè)計(jì)和原型實(shí)現(xiàn)，曾任職又拍云負(fù)責(zé)底層網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)和維護(hù)，以及大規(guī)模攻擊防御的方案和實(shí)現(xiàn)。

START

大家好，今天主要分享一下自己這些年的一些心得，以下是分享內(nèi)容提綱：

• 從勒索病毒說(shuō)起
• 安全架構(gòu)設(shè)計(jì)思路
• 零信任是怎么回事

從勒索病毒說(shuō)起

勒索病毒是一個(gè)比較大的話題，我今天不會(huì)特別展開做一些深入的技術(shù)研究、分析，畢竟勒索病毒的分析會(huì)有很多專業(yè)的安全公司，他們就是干這個(gè)事情的，我今天主要是想站在一個(gè) IT 運(yùn)維的角度，來(lái)和大家聊一些在公司的網(wǎng)絡(luò)安全和IT建設(shè)方面的經(jīng)驗(yàn)，安全架構(gòu)設(shè)計(jì)的思路等等，然后再跟大家聊一下零信任這件事情。
傳統(tǒng)的安全思路其實(shí)大家應(yīng)該都知道，裝殺毒軟件、做審計(jì)系統(tǒng)，然后態(tài)勢(shì)感知等等，這些都是老生常談。道理大家都懂，但很多時(shí)候，在實(shí)際業(yè)務(wù)或是在實(shí)際的運(yùn)維實(shí)施環(huán)節(jié)中就是做不到。所以今天針對(duì)比較務(wù)實(shí)的場(chǎng)景來(lái)展開說(shuō)一下，對(duì)于企業(yè)網(wǎng)絡(luò)安全，聊聊一些構(gòu)建縱深防御體系的經(jīng)驗(yàn)和思路。

我們先來(lái)聊一下勒索病毒這件事情。勒索病毒從 2015 年、2016 年開始，慢慢地多起來(lái)，到現(xiàn)在已經(jīng)變成一個(gè)規(guī)模非常巨大的黑色產(chǎn)業(yè)鏈。下圖是 Safety Detectives 做的一個(gè)預(yù)估，大家可以看到針對(duì)這個(gè)病毒每年造成的損失或者說(shuō)勒索的金額是呈現(xiàn)逐年上漲的趨勢(shì)，而且完全沒(méi)有看到下降的態(tài)勢(shì)。

GandCrab 應(yīng)該可以說(shuō)是歷史上繼 WannaCry 以后最囂張的勒索病毒，沒(méi)有之一。GandCrab 出現(xiàn)在 2018 年，到 2019 年他們居然金盆洗手了，然后在論壇上發(fā)了一個(gè)帖子，帖子大意是“我們賺了 20 億美元，錢賺夠了，我們決定退出江湖。”由此可見(jiàn)，勒索病毒這個(gè)產(chǎn)業(yè)規(guī)模有多么巨大，受影響的人有多么地廣泛。
GandCrab 的事件，再結(jié)合前面的趨勢(shì)圖，可以說(shuō)不管是各位自己還是所在公司會(huì)受到勒索病毒洗腦的可能性是呈現(xiàn)一個(gè)上升的趨勢(shì)，而不是因?yàn)橹苓呂闯霈F(xiàn)或者說(shuō)沒(méi)涉及到我，這事與我相關(guān)不大。如果你是負(fù)責(zé)公司的網(wǎng)絡(luò)維護(hù)或者建設(shè)，網(wǎng)絡(luò)安全這個(gè)問(wèn)題更是你必須要考慮的。
剛 20 億美元的故事并沒(méi)有結(jié)束，后續(xù)出現(xiàn)了一個(gè)叫 REvil 的團(tuán)隊(duì)，他們放出來(lái)的勒索病毒與 GandCrab 有很多相似之處，前段時(shí)間勒索了特朗普的一個(gè)律師事務(wù)所 4200 萬(wàn)美元，這好像也是我聽說(shuō)的最高的勒索金額了。

這個(gè)事情其實(shí)也算是標(biāo)志性的事情。在 WannaCry 剛開始流行時(shí)，勒索病毒通常以廣撒網(wǎng)的方式，它沒(méi)有特定的勒索目標(biāo)，勒索金額基本固定在 300 美元左右。后面逐步地開始變成非常有針對(duì)性地從 to C 轉(zhuǎn)向 to B 了。沒(méi)錯(cuò)，勒索病毒也有 to C 和 to B 的區(qū)別。勒索病毒開始更加有針對(duì)性，選擇特定的公司、特定的機(jī)構(gòu)去滲透、勒索，這樣他們就可以針對(duì)性地開價(jià)，贖金也變得越來(lái)越高。
同時(shí)，勒索病毒的功能性也增強(qiáng)了。正常來(lái)說(shuō)，勒索病毒就是到你的電腦上，加密全部數(shù)據(jù)，然后以解密為目的來(lái)勒索金錢。但是REvil不一樣，他們滲透進(jìn)去之后先把數(shù)據(jù)給撈出來(lái)，加密數(shù)據(jù)，然后再去勒索。如果大家安全習(xí)慣不夠好的話，未來(lái)遇到勒索病毒的概率也會(huì)比較高。

上圖是勒索病毒的目標(biāo)分布，主要是政企相關(guān)的傳統(tǒng)企業(yè)、制造業(yè)、政府這些，還有醫(yī)療。互聯(lián)網(wǎng)這一塊好像沒(méi)有特別地明顯，不過(guò)最近似乎也有一些自媒體的人中招，但我暫時(shí)不確定是有針對(duì)性的還是廣撒網(wǎng)釣大魚的。

勒索病毒的手段和目的

勒索病毒剛流行時(shí)，它一直依賴于郵件、漏洞的滲透，先通過(guò)鋪開它的攻擊工具，然后瘋狂地去掃公網(wǎng)上的設(shè)備。勒索病毒進(jìn)入一家公司的跳板就是它的公網(wǎng)機(jī)器。一般來(lái)說(shuō)，這個(gè)機(jī)器同時(shí)連了公網(wǎng)和內(nèi)網(wǎng)，勒索病毒打掉公網(wǎng)的機(jī)器之后就能跳進(jìn)內(nèi)網(wǎng)來(lái)進(jìn)行各種橫向移動(dòng)，從而進(jìn)一步傳播以實(shí)現(xiàn)目的。

漏洞和弱密碼也是勒索病毒廣撒網(wǎng)的手段，另外，還有很多人都喜歡用破解軟件，破解軟件的風(fēng)險(xiǎn)也是非常大的，所以建議大家不要隨便去裝破解軟件，因?yàn)槟阏娴牟恢览锩嫒耸裁礀|西。

從一開始，漏洞病毒和后來(lái)流行的 ATP 攻擊是勒索病毒的好基友。如果沒(méi)有這些攻擊手段，勒索病毒的傳播會(huì)很困難。而如果沒(méi)有勒索病毒，這些攻擊手段它又很難變現(xiàn)。

勒索病毒與黑客行為或者說(shuō)是手段的發(fā)展是齊頭并進(jìn)的，因?yàn)楹诳鸵蕾囉诶账鞑《救ュ憻捵约旱娜肭质侄?#xff0c;鍛煉完了還能變現(xiàn)。所以勒索病毒的規(guī)模會(huì)越來(lái)越大，勒索病毒也一定會(huì)進(jìn)一步發(fā)展。這里還提到了手動(dòng)投毒，手動(dòng)投毒也是近期進(jìn)化出來(lái)的一個(gè)趨勢(shì)，就像前面所說(shuō)的，相比 to C，to B 的增長(zhǎng)趨勢(shì)是更加明顯的。手動(dòng)投毒的好處就是去篩選目標(biāo)機(jī)構(gòu)，篩選出來(lái)之后再有針對(duì)性地去入侵滲透它。如果是安全機(jī)制比較完善的大型企業(yè)，就會(huì)用到 ATP 的一些方法和手段。ATP 也是近年來(lái)比較火的一個(gè)概念，它是一個(gè)非常復(fù)雜和系統(tǒng)的東西，今天就不展開去講了。

這是前兩天剛看到的一個(gè)特別搞笑的案例，我也不知道這是段子還是真的。這已經(jīng)不是直接勒索，而是把數(shù)據(jù)加密后勒索金錢了。這脫胎于 Oracle 最強(qiáng)法務(wù)部的傳奇事跡，我感覺(jué)任天堂最強(qiáng)法務(wù)部也要給它點(diǎn)個(gè)贊。

企業(yè)安全架構(gòu)思路

前面聊到勒索病毒并不是今天想說(shuō)的重點(diǎn)，只是讓大家簡(jiǎn)單了解下勒索病毒已經(jīng)是一個(gè)非常全面的攻擊方式了。接下來(lái)講一下企業(yè)安全架構(gòu)的思路，

做安全架構(gòu)最重要的一點(diǎn)，千萬(wàn)不要覺(jué)得自己的系統(tǒng)是絕對(duì)安全的，不要有盲目的自信。永遠(yuǎn)都要假設(shè)自己的系統(tǒng)是不安全的，只有這樣才能不斷地去演進(jìn)迭代。你所做的演進(jìn)迭代，所有手段只是為了提升攻擊方的攻擊成本，而不是說(shuō)去絕對(duì)的阻攔。

千萬(wàn)不要跟領(lǐng)導(dǎo)說(shuō)我設(shè)計(jì)的安全架構(gòu) 100% 安全，那是不可能的。你再怎么謹(jǐn)慎，也不可能是 100% 的安全，也不能指望著一套系統(tǒng)去應(yīng)對(duì)所有的威脅措施和手段，這是非常不現(xiàn)實(shí)的。

縱深防御

現(xiàn)在我們來(lái)說(shuō)一下縱深防御這個(gè)概念，其實(shí)建設(shè)公司 IT 系統(tǒng)或者說(shuō)網(wǎng)絡(luò)安全體系，最重要的核心就是要有縱深防御的概念。

什么是縱深防御？縱深防御其實(shí)并不是計(jì)算機(jī)領(lǐng)域的概念，而是前蘇聯(lián)的一位將軍提出的軍事理念。它是指在作戰(zhàn)行動(dòng)中以空間換時(shí)間的一種方式。這位將軍收縮兵力，把自己的領(lǐng)土讓出來(lái)，以這樣的代價(jià)去集中兵力打敗對(duì)方。

縱深防御在計(jì)算機(jī)領(lǐng)域被用的比較多，它是一個(gè)綜合防御體系的理念，并不依賴某一個(gè)特定的設(shè)備或者某一套系統(tǒng)來(lái)進(jìn)行防御。一個(gè)合格的IT會(huì)衡量系統(tǒng)的功能性、易用性、成本等因素之間的關(guān)系，然后去找到一個(gè)恰當(dāng)?shù)钠胶恻c(diǎn)，在一定成本的基礎(chǔ)上達(dá)到比較好的防御效果。

上圖可以較好地展現(xiàn)縱深防御的理念。作為一家公司的防御體系，技術(shù)防御只是占其中一部分，比如說(shuō)硬件、軟件、網(wǎng)絡(luò)方面的一些技術(shù)措施，比如說(shuō)行為審計(jì)設(shè)備、態(tài)勢(shì)感知，防火墻這些都是技術(shù)防御體系。

除此之外還有很多東西，比如說(shuō)流程、策略、預(yù)案都是組成防御體系的一部分。這里也要提一下行政，行政手段很多時(shí)候單從技術(shù)角度是無(wú)法防范的，比如說(shuō)內(nèi)鬼、外部人員的竊密等，行政上沒(méi)有相對(duì)應(yīng)的措施和手段去規(guī)范，這些就很容易出現(xiàn)安全漏洞。

技術(shù)防御需要結(jié)合各個(gè)部分去工作的，比如網(wǎng)絡(luò)隔離。如果僅僅只有網(wǎng)絡(luò)隔離，那是沒(méi)有用的。同樣，如果你僅僅只有一些軟件方面的防御措施，比如說(shuō)殺毒軟件，也是沒(méi)有用的。也不能說(shuō)沒(méi)有用，而是作用會(huì)小非常多。因?yàn)槟悴⒉恢佬枰鎸?duì)的威脅是來(lái)自于什么？是內(nèi)鬼、病毒、木馬還是其他一些物理竊密的手段。當(dāng)然這沒(méi)有到一定規(guī)模的公司暫時(shí)不會(huì)去考慮物理竊密這一塊。

前面有說(shuō)到 IT 需要權(quán)衡各方面的關(guān)系做出一個(gè)比較均衡的體系來(lái)實(shí)現(xiàn)最好的效果，再小的公司，最低的要求就是防火墻和 Vlan，如果有這個(gè)意識(shí)，你至少會(huì)配置一臺(tái)防火墻，配置規(guī)則，給不同的部門配置 Vlan，這是非常常見(jiàn)的一種方式。

當(dāng)然這只是最低限度的防御，因?yàn)?Vlan 的隔離效果并沒(méi)有那么好，它畢竟是一個(gè)粗粒度的隔離，隔離的是人群，而不是單個(gè)的人或者設(shè)備。縱深防御最困難的一點(diǎn)是阻止威脅的橫向移動(dòng)。無(wú)論是勒索病毒還是內(nèi)部、外部竊密，最大的特點(diǎn)就是在內(nèi)部網(wǎng)絡(luò)的橫向移動(dòng)，而不是從防火墻進(jìn)來(lái)的。你的防火墻根本沒(méi)有發(fā)現(xiàn)這個(gè)東西，它是直接從內(nèi)部，從你可信的那些設(shè)備上出來(lái)的，這才是最可怕。

縱深防御包含了很多部分，除了物理這一塊，軟件、網(wǎng)絡(luò)、策略、流程之類的這些都算，這主要偏技術(shù)方向的分層，對(duì)一個(gè)防御體系的分層，分成邊界、網(wǎng)絡(luò)、終端、應(yīng)用和數(shù)據(jù)。

主動(dòng)策略和監(jiān)視響應(yīng)可能不太好理解。主動(dòng)策略是指你需要主動(dòng)事前去做好一些事情，比如說(shuō)網(wǎng)絡(luò)的隔離、權(quán)限的分割，以及應(yīng)急預(yù)案、行政手段等，這種是要提前去做的主動(dòng)策略。而行為審計(jì)和態(tài)勢(shì)感知算是監(jiān)視響應(yīng)這一塊的，它是一個(gè)被動(dòng)防御。所有的安全設(shè)備，包括行為審計(jì)和態(tài)勢(shì)感知，都不會(huì)告訴你這個(gè)設(shè)備屬于被動(dòng)防御。它在事發(fā)以后能夠盡可能快地去響應(yīng)、去防御。只有主動(dòng)和被動(dòng)結(jié)合的情況下，這家公司的IT安全體系才能說(shuō)是比較完善的。

我之前見(jiàn)過(guò)一些客戶很注重安全，投了小幾十萬(wàn)，甚至上百萬(wàn)在 IT 系統(tǒng)的建設(shè)上，其中包含了安全。他們買了一堆的設(shè)備，但卻沒(méi)有把這些設(shè)備很好地結(jié)合起來(lái)，各自為戰(zhàn)，態(tài)勢(shì)感知很貴、很好，但是報(bào)告就只能自己看得到，行為審計(jì)、防火墻也是。他們投入非常大，但是沒(méi)有做一個(gè)很好的體系整合，導(dǎo)致各個(gè)安全系統(tǒng)都各自為戰(zhàn)，仍然沒(méi)有起到一個(gè)非常好的縱深防御的效果。可能看起來(lái)每一個(gè)環(huán)節(jié)都能防某些特定的攻擊，但就像勒索病毒這種非常具有欺騙性的手段進(jìn)來(lái)了之后，就不能很好地去應(yīng)對(duì)它。

所以我覺(jué)得一個(gè)公司的 IT 建設(shè)，并不是投的錢越多越好，而是要適當(dāng)，要能夠達(dá)到比較好的綜合效果，而不是在某一些系統(tǒng)上面無(wú)限制去投錢，這樣并沒(méi)有太大的意義。

威脅應(yīng)對(duì)

SCP 是一個(gè)基金會(huì)，感興趣的同學(xué)可以了解下，它的三個(gè)關(guān)鍵標(biāo)志性就是控制、收容、保護(hù)。

我覺(jué)得 SCP 基金會(huì)面對(duì)的威脅和企業(yè) IT 人員面對(duì)的威脅其實(shí)有一些類似，所以我就把這個(gè)概念給借用過(guò)來(lái)了。企業(yè)面對(duì)的是不知道下一個(gè)威脅來(lái)的是什么，需要針對(duì)所有情況去做好準(zhǔn)備，而不是說(shuō)只針對(duì)某一個(gè)威脅手段去做準(zhǔn)備。例如針對(duì)一個(gè)木馬，然后你做好了完全的準(zhǔn)備措施，結(jié)果來(lái)了一個(gè)勒索病毒，系統(tǒng)就不行了。所以**整個(gè)體系是需要一個(gè)完善的控制，控制包括對(duì)內(nèi)、對(duì)外的控制，給員工的權(quán)限要做到最小權(quán)限原則。**你需要知道給不同員工哪些權(quán)限就夠了。當(dāng)然要做到這個(gè)，需要做到很好的隔離和認(rèn)證的工作，比如說(shuō)網(wǎng)絡(luò)的認(rèn)證、應(yīng)用接入的認(rèn)證；另外，網(wǎng)絡(luò)隔離也是很重要的一塊。**控制不僅僅是對(duì)外的，也是對(duì)內(nèi)的。**現(xiàn)在，很多威脅都并不是從防火墻跑進(jìn)來(lái)的，而是產(chǎn)生在內(nèi)網(wǎng)，通過(guò)內(nèi)網(wǎng)橫跳，找到有訪問(wèn)權(quán)限的電腦，最終挑到例如應(yīng)用服務(wù)器的主機(jī)上，就很難去控制了。

第二塊是收容，首先你要定義面對(duì)的威脅，把它框成一個(gè)實(shí)體。你要知道面對(duì)的是什么，比如說(shuō)勒索病毒，首先是要想辦法防止它進(jìn)來(lái)，要在防火墻做好管控，它進(jìn)不來(lái)也就無(wú)從去跳。發(fā)現(xiàn)識(shí)別威脅的等級(jí)，這個(gè)挺好理解。你可以依賴態(tài)勢(shì)感知、行為審計(jì)發(fā)現(xiàn)這些威脅，根據(jù)它的威脅程度做一個(gè)定級(jí)。如果威脅非常大，是不是要啟動(dòng)一些應(yīng)急預(yù)案，比如說(shuō)阻止它的擴(kuò)散，把辦公網(wǎng)、業(yè)務(wù)網(wǎng)臨時(shí)地給阻斷掉，或者臨時(shí)把大部分員工關(guān)鍵的權(quán)限取消掉，這些都需要提前做預(yù)演，這樣才能限制它的擴(kuò)散。不管是何種原因的威脅，勒索病毒也好，其他的竊密也好、內(nèi)鬼也好。勒索病毒可能比較快，但是其他的都需要一些過(guò)程，需要時(shí)間進(jìn)一步地跳，發(fā)現(xiàn)你的數(shù)據(jù)。如果你的應(yīng)急預(yù)案足夠快，就有辦法阻止這些擴(kuò)散，甚至有足夠的時(shí)間去追蹤溯源。

第三塊是保護(hù)，重要的系統(tǒng)額外地加固保護(hù)，終端做基本的加固和防護(hù)，這些大多數(shù)公司都會(huì)做。面對(duì)發(fā)現(xiàn)威脅時(shí)，要去發(fā)現(xiàn)、定義，對(duì)終端做好保護(hù)，探測(cè)出來(lái)后解決它，再出一個(gè)總結(jié)，這對(duì)接下來(lái)完善系統(tǒng)、防御手段有很大的幫助。

備份偏執(zhí)

接下來(lái)聊聊備份，不管對(duì)于系統(tǒng)還是體系來(lái)說(shuō)，備份都是非常重要的。如果不做好備份，不管是攻擊或者是誤操作，都有可能導(dǎo)致整個(gè)系統(tǒng)完全就崩掉。這里說(shuō)一下 321 備份原則，大家應(yīng)該也都有聽過(guò)。

這對(duì)個(gè)人來(lái)說(shuō)也是適用的，比如在你的個(gè)人 NAS 系統(tǒng)什么的。你不能指望自己的 NAS 100% 地可靠，哪怕你做了一個(gè) RAID1。萬(wàn)一你的 NAS 中了一個(gè)勒索病毒，你RAID1 的兩份數(shù)據(jù)一起鏡像了，鏡像也全都死掉了，那也就沒(méi)有起到作用。

所以這個(gè) 1 就是一份異地的數(shù)據(jù)，這是非常重要的，不管你是個(gè)人也好，是公司也好，只要條件允許都需要做好對(duì)于數(shù)據(jù)的異地備份。備份的流程要盡可能在前面，最好是在數(shù)據(jù)產(chǎn)生之后馬上就把它備份掉，如果條件不允許的話也要提高備份頻率，當(dāng)然也可以根據(jù)業(yè)務(wù)的性質(zhì)來(lái)，如果修改頻次不高，也可以間隔時(shí)間長(zhǎng)一點(diǎn)。

定期檢查備份是非常重要的。如果不定期檢查的話就會(huì)有一些非常悲劇的事情，比如突然有一天數(shù)據(jù)掛掉了，然后你發(fā)現(xiàn)備份的腳本出了問(wèn)題，我相信有比較長(zhǎng)時(shí)間運(yùn)維經(jīng)驗(yàn)的同學(xué)應(yīng)該會(huì)碰到過(guò)類似的情況。

作為 IT 或者說(shuō)運(yùn)維人員，你要永遠(yuǎn)假設(shè)手里的數(shù)據(jù)隨時(shí)會(huì)丟或被破壞掉。在這種心態(tài)下，去展開工作，才能避免出現(xiàn)一些非常悲劇的事情。

關(guān)鍵系統(tǒng)選型

很多公司到了一定的體量后，可能會(huì)覺(jué)得內(nèi)容放哪里都不安全，就決定自建，放在自己系統(tǒng)是最安全的。有時(shí)候事實(shí)并不是這樣的，自建并不一定是件美好的事情，你需要確保這個(gè)系統(tǒng)有足夠強(qiáng)大的運(yùn)維和管理能力，如果需求復(fù)雜的話還需要一些定制化的能力。

這種情況下要謹(jǐn)慎考慮自建，比如自建郵件系統(tǒng)，結(jié)果服務(wù)器被勒索病毒入侵了，全公司的郵件全沒(méi)了，那不是要瘋了。如果放在騰訊或者 Google，就不用擔(dān)心勒索病毒的問(wèn)題。就算勒索病毒把云端硬盤同步到本地的數(shù)據(jù)全加密了，打開網(wǎng)頁(yè)版回檔，數(shù)據(jù)就全回來(lái)了。所以自建不是一件非常美好的事情，自建后會(huì)面對(duì)很多問(wèn)題，可能代價(jià)會(huì)更大。

流程安全

在面對(duì)安全問(wèn)題時(shí)，要做好預(yù)防措施、預(yù)防限制、追溯，這三點(diǎn)是非常重要的。預(yù)防這一塊，像華為的一些行為手段其實(shí)也可以算作流程安全。流程安全主要可以劃分為日常治理、限制傳播和追根溯源，這三個(gè)是相輔相成的。

日常治理

**滲透測(cè)試：**有一些公司可能定期地去找可靠的第三方公司去做滲透測(cè)試。

**日常威脅處置及常態(tài)化威脅追蹤研判：**針對(duì)自己的設(shè)備，技防的措施、技防的設(shè)備產(chǎn)生的報(bào)告要及時(shí)響應(yīng)，要專門有人去分析研判，才能夠去發(fā)現(xiàn)威脅。不然就像前面說(shuō)的，做好了隔離，做好了主動(dòng)的防御手段，但是，沒(méi)有人去做被動(dòng)響應(yīng)，日積月累下，本來(lái)很小的漏洞，可能就會(huì)慢慢擴(kuò)大，變成致命的安全隱患。

**員工安全意識(shí)、職責(zé)分離：**這兩塊可以放到一起說(shuō)，一方面是需要日常加強(qiáng)對(duì)于員工的安全意識(shí)和相關(guān)案例的培訓(xùn)，另一方面做到減少員工特權(quán)、職責(zé)分離。員工可能掌握了一些子系統(tǒng)的權(quán)限管理，在培訓(xùn)時(shí)需要告訴他們會(huì)面臨哪些威脅，可能有哪些異常現(xiàn)象，針對(duì)不同的問(wèn)題如何及時(shí)反饋給IT部門。減少特權(quán)和職責(zé)分離比較好理解。比如某個(gè)同事需要開通一個(gè)比較關(guān)鍵的權(quán)限，那么審批就至少要通過(guò)兩個(gè)人。很少有公司的人事、行政會(huì)去復(fù)盤這塊的審批流程是否合規(guī)，這就比較容易導(dǎo)致一些安全隱患或者說(shuō)人為漏洞。這是技防解決不了的。

限制傳播

做安全架構(gòu)時(shí)是沒(méi)有辦法保障所有系統(tǒng)都萬(wàn)無(wú)一失的。你一定要假設(shè)系統(tǒng)被突破了，比如說(shuō)勒索病毒進(jìn)來(lái)了，有人感染了，這個(gè)時(shí)候你收到了告警，這時(shí)候需要做什么呢？你需要有一定的危機(jī)預(yù)案。你要去緊急地給已經(jīng)中毒的人和中毒周圍的人，給他們做隔離。如果沒(méi)有網(wǎng)絡(luò)隔離的手段，就直接去拔他的網(wǎng)線。首先就是要限制住威脅主體的動(dòng)作。然后再考慮進(jìn)一步的處置措施。

主機(jī)加固這一塊比較簡(jiǎn)單，就不多說(shuō)了。比如說(shuō)接入控制的一些終端軟件，比如說(shuō)裝了某個(gè)軟件才能上網(wǎng)，有很多公司都在用。這種體驗(yàn)很不好，對(duì)員工也不友好。

另外，還有一些 IP Guard 或者文件加密之類的，要防止員工泄密。不過(guò) IP Guard 其實(shí)也是防君子不防小人，真要想辦法的話，泄密的手段太多了。

追根溯源

這個(gè)環(huán)節(jié)態(tài)勢(shì)感知和行為審計(jì)發(fā)揮作用的時(shí)候終于到了，他們最重要的價(jià)值就在這里，如果沒(méi)有行為審計(jì)和態(tài)勢(shì)感知之類的設(shè)備，就無(wú)法去追蹤溯源，就算有人竊密了也很難在事后找出來(lái)是誰(shuí)。

此外，還要進(jìn)行日志分析、保留現(xiàn)場(chǎng)、總結(jié)復(fù)盤、掃尾檢查。比如說(shuō)掃清了一波病毒之后，要再去把其他這次事件中沒(méi)有報(bào)出來(lái)的主機(jī)排查一遍，看有什么主機(jī)里面的威脅是潛伏期的，看有沒(méi)有內(nèi)鬼在隱蔽的角落又種了木馬……總之掃尾是非常繁瑣的一件事情。

聊聊零信任

簡(jiǎn)單地講，零信任就是對(duì)所有流量、終端都去做身份驗(yàn)證，無(wú)論是訪問(wèn)應(yīng)用、終端訪問(wèn)網(wǎng)絡(luò)還是終端訪問(wèn)終端，全都做一遍驗(yàn)證，這個(gè)就是零信任。

零信任這個(gè)概念并不是特別新，它被炒起來(lái)之前，很多大公司、大廠就已經(jīng)在往這方面去做了。注重安全的公司在這個(gè)概念吹起來(lái)之前早就已經(jīng)在用了。

零信任真正實(shí)施起來(lái)，代價(jià)還是蠻大的。嚴(yán)格來(lái)說(shuō)，要做到零信任，需要對(duì)所有東西都去做校驗(yàn)，所有的身份都去做校驗(yàn)。零信任就是不信任何人，啥都不信。看個(gè)網(wǎng)頁(yè)也要驗(yàn)證一下身份，就是接入認(rèn)證。然后訪問(wèn)內(nèi)部系統(tǒng)、ERP 系統(tǒng)，要走一下認(rèn)證網(wǎng)關(guān)。當(dāng)然現(xiàn)在這種認(rèn)證網(wǎng)關(guān)還有一個(gè)名字叫軟件定義邊界 SDP，這也是一個(gè)非常硬核操作的概念。

說(shuō)到零信任的話就不得不說(shuō)一下傳統(tǒng)企業(yè)網(wǎng)的架構(gòu)。傳統(tǒng)企業(yè)網(wǎng)就是如上圖的結(jié)構(gòu)，防火墻、態(tài)勢(shì)感知、行為管理、交換機(jī)，下面就是終端，服務(wù)器、數(shù)據(jù)庫(kù)、臺(tái)式機(jī)全部都在交換機(jī)下面。

一般公司在這些設(shè)備之間都會(huì)做 Vlan 的隔離。但做 Vlan 隔離沒(méi)有一個(gè)非常細(xì)粒度的保護(hù)，也沒(méi)有辦法靈活地去做權(quán)限控制。Vlan是基于交換機(jī)做的，動(dòng)起來(lái)沒(méi)有那么方便。如果今天要訪問(wèn)這個(gè)部門的資源，明天要訪問(wèn)另一個(gè)部門的資源，你就很難去給他規(guī)劃，這會(huì)把整個(gè)網(wǎng)絡(luò)體系做得比較復(fù)雜，實(shí)現(xiàn)起來(lái)也很困難，也很難去實(shí)現(xiàn)前面說(shuō)的限制傳播，因?yàn)檫@個(gè)時(shí)候沒(méi)辦法單獨(dú)地針對(duì)某些特定的東西去做限制。

也有一些傳統(tǒng)企業(yè)的安全系統(tǒng)以邊界防護(hù)和事后的響應(yīng)措施為主。態(tài)勢(shì)感知報(bào)警了，趕緊找人去處理，行為管理報(bào)警了，趕緊找人去處理，防火墻報(bào)警了好像不需要處理。防火墻報(bào)警了說(shuō)明攔掉了，沒(méi)報(bào)警說(shuō)明沒(méi)攔掉。

這種情況就很難達(dá)到前面所說(shuō)的縱深防御的效果。因?yàn)樗v深到內(nèi)網(wǎng)這一塊就全都自由了，可以隨意橫向移動(dòng)，你可以發(fā)現(xiàn)行為審計(jì)、態(tài)勢(shì)感知、流量全都鏡像過(guò)去，也只能事后發(fā)現(xiàn)，看報(bào)告、看告警，這就沒(méi)什么意義，你沒(méi)辦法讓把威脅扼殺在萌芽之前，只能眼睜睜看著它發(fā)生再去查漏補(bǔ)缺。

還有一個(gè)問(wèn)題，現(xiàn)在很多公司沒(méi)有做 wifi 這塊的身份認(rèn)證，外部的人可以比較容易地通過(guò)偽基站、偽 wifi 熱點(diǎn)的方式去打掉你現(xiàn)有的網(wǎng)絡(luò)，密碼就這樣泄露了，這個(gè)實(shí)施起來(lái)非常方便。

有線網(wǎng)絡(luò)基本上都是隨意的，別人可以半夜跑到公司來(lái)，就直接用你的網(wǎng)線端口，開始瘋狂地掃描。雖然肉身進(jìn)別人公司風(fēng)險(xiǎn)稍微有點(diǎn)大，但是這確實(shí)非常不安全，而且絕大多數(shù)公司都存在這樣的問(wèn)題。

最后簡(jiǎn)單聊一下我們的產(chǎn)品。零信任其實(shí)也是一個(gè)非常寬泛的概念，我們現(xiàn)在是做了一款網(wǎng)絡(luò)管家的產(chǎn)品，在網(wǎng)絡(luò)層面很好地實(shí)踐了零信任的架構(gòu)，能夠?qū)崿F(xiàn)讓現(xiàn)在這樣的一個(gè)東西向自由的架構(gòu)，變成這樣一個(gè)完全純隔離、完全隔離的一個(gè)結(jié)構(gòu)，并且還能做到非常自由和簡(jiǎn)單的權(quán)限設(shè)計(jì)、權(quán)限的管控，包括設(shè)備到設(shè)備、設(shè)備到應(yīng)用，終端到終端，并且所有的流量都和人是掛鉤的。你在后臺(tái)可以看到每個(gè)人今天的網(wǎng)絡(luò)帶寬用了多少，IT 可以直接看到誰(shuí)誰(shuí)誰(shuí)在下載東西，占用帶寬很大，而不需要很費(fèi)勁地去排查。

在這個(gè)基礎(chǔ)上，我們還做了身份認(rèn)證的功能。我們對(duì)每個(gè)設(shè)備做身份認(rèn)證的基礎(chǔ)上，去做行為審計(jì)和網(wǎng)絡(luò)隔離。每個(gè)員工去分配獨(dú)立的賬號(hào)，也支持 AD 域和釘釘?shù)膶?duì)接，辦公網(wǎng)絡(luò)不管有線還是無(wú)線都需要通過(guò)員工的賬號(hào)認(rèn)證授權(quán)過(guò)后才能使用。

網(wǎng)絡(luò)隔離這一塊就是分層隔離的理念實(shí)踐。細(xì)分到員工級(jí)顆粒度級(jí)別的網(wǎng)絡(luò)隔離，這樣可以有效地去控制威脅的傳播，不管這個(gè)威脅是內(nèi)鬼、病毒還是其他的東西。他會(huì)受到非常嚴(yán)格的限制，沒(méi)辦法自由地在內(nèi)網(wǎng)之間跳。當(dāng)然這也離不開行政手段的配合，在使用了我們這一套系統(tǒng)之后，你就能夠很好地實(shí)踐這樣上圖這個(gè)機(jī)制，識(shí)別每個(gè)終端，然后探測(cè)并且看到每個(gè)終端的事件行為，最后再去解決安全問(wèn)題。

以上是莫江成在又拍云 Open Talk 公開課上的主要分享內(nèi)容，演講視頻和 PPT 詳見(jiàn)下方鏈接：

Open Talk 公開課

總結(jié)

以上是生活随笔為你收集整理的如何替公司省下数千万勒索费用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。