2022年9月11-12日,CSA国际云安全联盟大中华区成功举办了首届CSA西塞杯攻防挑战赛,旨在验证零信任架构自身安全性,推动零信任策略在中国地区落地。
大赛集合了国内最火的5家零信任安全产品作为防守方,300多名白帽子组成了80多支攻击队,攻防双方在48小时里不分昼夜进行实力的比拼。
最终,持安零信任毫无悬念地守住了阵地,荣获:【最佳防御方案】称号
值得注意的是,在本次大赛中,因为考虑到比赛呈现的多样性和各家参赛厂商零信任产品的差异性,持安零信任只开启了Google BeyondCorp模式下的应用层零信任防护能力(也就是把零信任策略深入七层,与业务背靠背做防护),而并未开启网络层零信任防护能力(即CSA发布的、目前市面上使用广泛的SDP产品)。
在此种情况下,持安零信任依然表现完美,给业务系统提供超强防护的同时,用户体验平稳流畅~
01
近30W次的猛烈攻击
本次大赛共分为两天,两个阶段。
第一阶段,白帽子拿到持安零信任产品的访问域名和客户端,没有账号,此时白帽子看到的页面如图。突破第一道防线即为攻击成功。
第二阶段,主办方在第一阶段的基础上,给白帽子一个有普通权限的普通账号,白帽子横向移动,可提权即为攻击成功。
两天时间,持安零信任平台合计收到近30万次攻击。其间持安的老师傅偶尔后台看看数据,不用改策略做调整。只需使用持安零信任一套平台,即可有效防止任意未知人员的未知攻击。
02
持安零信任的防护理念
零信任在2010年左右由Forrester的分析师提出,云安全联盟推出SDP模型,2014年Google 开启了内部 BeyondCorp 项目,员工不再区分内外网,实现在全国各地任何环境下的安全办公。
完美世界参考Google BeyondCorp项目,从2015年开始在内部推广、落地零信任,零信任的部署使完美世界成功在2020年平稳度过疫情,率先实现了在保障安全的同时,提高组织效率。
2021年,带着在大型互联网完美世界的零信任落地经验,何艺创业并成立持安科技,总结团队20年甲方安全经验,7年持续的零信任落地经验,10余年攻防对抗与数据安全经验,希望提供真正为甲方创造安全价值的零信任安全产品。
03
持安应用层零信任怎么防?
持安零信任应用网关
1. 先认证、再访问,隐藏靶标系统
根据“先验证、再访问”原则,持安零信任网关会代理转发所有的访问、连接请求。当白帽子试图扫描受到网关保护的靶标系统时,只能扫到网关的信息。
2. 零信任可信认证,打回不可信的访问请求
持安零信任采取MTLS双向认证机制,基于人、设备、应用权限的三者关系,建立可信认证的信任链。如果验证不通过,在传输层上就会禁止通过,所以即便应用层出现漏洞也无法被攻击。
3. 根据身份,做持续的动态访问控制
按需授权,每个用户必须只被授予所需的最低访问权限,访问者每发起一个访问请求,持安零信任都会评估其身份、行为、状态是否安全合规。
4. 应用层零信任,开启数据安全的上帝视角
持安零信任可将零信任能力深入至企业应用、资源、数据,基于人员的身份和权限,关联人员访问行为,访问者在任意位置的行为,都可以被零信任检测到,防止数据过度访问、敏感数据泄露等事件发生。
除了产品架构层面,持安也从多角度保障自身产品及方案的安全性。
首先,防绕过。规则上设置只允许通过网关才能访问目标系统;
其次,防打穿。持安产品基于DevSecOps理念,从代码开始最大程度保障持安零信任产品的安全性;
最后,不断自我更新。持安科技安全攻防团队有着数十年的一线攻防经验,从攻防的角度,定期检测、发现产品自身的安全问题。
04
一条硬广
作为在企业安全部门从业近20年的老兵,持安创始团队深知,安全只存在于持续的攻防对抗当中,此刻的安全不代表永远的安全。
零信任产品作为企业办公安全防护的大门,其自身的牢固性需要不断被证明。
因此,除了内部采取严格的Devsecops流程规范研发,持安还大力组建攻防实验室,成立持安SRC,积极引入外部白帽力量,作为对产品安全性的补充验证,力求自身产品的安全性得到最大保障。
今年5月,持安SRC联合49家顶级SRC机构,举办持安首次零信任攻防对抗赛。
比赛期间,持安零信任4层SDP能力+7层应用防护全部开启,结果赛程过半无人能破,所以多次降低防护强度直到最后一秒,持安零信任依然未被攻破。
当时整个比赛持续21天,合计收到数百名白帽子、40余万次攻击请求(详见→持安首次零信任实战攻防对抗赛,完美收官!),这次参加CSA的零信任挑战赛又得到了师傅们30多万次的疼爱!
未来我们还会不断参与、举办针对自身产品安全性的攻防活动,再次感谢各位白帽师傅们对持安零信任产品的支持!
本次赛事相关奖项将在第三届国际零信任峰会暨首届西塞论坛上表彰,持安期待与大家在2022年11月浙江湖州西塞科学谷再次相见!