近年來勒索病毒慢慢發(fā)展成一個規(guī)模非常巨大的黑色產(chǎn)業(yè)鏈，公司受到勒索病毒洗腦的可能性呈現(xiàn)一個上升的趨勢，網(wǎng)絡(luò)安全對公司網(wǎng)絡(luò)建設(shè)和維護越來越重要。日前商灣網(wǎng)絡(luò)架構(gòu)總監(jiān)莫江成在又拍云 Open Talk 公開課上作了題為《如何替公司省下數(shù)千萬勒索費用》的分享，以下是直播分享內(nèi)容整理，查看視頻請點擊閱讀原文。

商灣網(wǎng)絡(luò)（UPWAN）架構(gòu)總監(jiān)，現(xiàn)主要負責(zé)商灣網(wǎng)絡(luò)產(chǎn)品架構(gòu)設(shè)計和原型實現(xiàn)，曾任職又拍云負責(zé)底層網(wǎng)絡(luò)架構(gòu)的設(shè)計和維護，以及大規(guī)模攻擊防御的方案和實現(xiàn)。

START

大家好，今天主要分享一下自己這些年的一些心得，以下是分享內(nèi)容提綱：

• 從勒索病毒說起
• 安全架構(gòu)設(shè)計思路
• 零信任是怎么回事

從勒索病毒說起

勒索病毒是一個比較大的話題，我今天不會特別展開做一些深入的技術(shù)研究、分析，畢竟勒索病毒的分析會有很多專業(yè)的安全公司，他們就是干這個事情的，我今天主要是想站在一個 IT 運維的角度，來和大家聊一些在公司的網(wǎng)絡(luò)安全和IT建設(shè)方面的經(jīng)驗，安全架構(gòu)設(shè)計的思路等等，然后再跟大家聊一下零信任這件事情。
傳統(tǒng)的安全思路其實大家應(yīng)該都知道，裝殺毒軟件、做審計系統(tǒng)，然后態(tài)勢感知等等，這些都是老生常談。道理大家都懂，但很多時候，在實際業(yè)務(wù)或是在實際的運維實施環(huán)節(jié)中就是做不到。所以今天針對比較務(wù)實的場景來展開說一下，對于企業(yè)網(wǎng)絡(luò)安全，聊聊一些構(gòu)建縱深防御體系的經(jīng)驗和思路。

我們先來聊一下勒索病毒這件事情。勒索病毒從 2015 年、2016 年開始，慢慢地多起來，到現(xiàn)在已經(jīng)變成一個規(guī)模非常巨大的黑色產(chǎn)業(yè)鏈。下圖是 Safety Detectives 做的一個預(yù)估，大家可以看到針對這個病毒每年造成的損失或者說勒索的金額是呈現(xiàn)逐年上漲的趨勢，而且完全沒有看到下降的態(tài)勢。

GandCrab 應(yīng)該可以說是歷史上繼 WannaCry 以后最囂張的勒索病毒，沒有之一。GandCrab 出現(xiàn)在 2018 年，到 2019 年他們居然金盆洗手了，然后在論壇上發(fā)了一個帖子，帖子大意是“我們賺了 20 億美元，錢賺夠了，我們決定退出江湖。”由此可見，勒索病毒這個產(chǎn)業(yè)規(guī)模有多么巨大，受影響的人有多么地廣泛。
GandCrab 的事件，再結(jié)合前面的趨勢圖，可以說不管是各位自己還是所在公司會受到勒索病毒洗腦的可能性是呈現(xiàn)一個上升的趨勢，而不是因為周邊未出現(xiàn)或者說沒涉及到我，這事與我相關(guān)不大。如果你是負責(zé)公司的網(wǎng)絡(luò)維護或者建設(shè)，網(wǎng)絡(luò)安全這個問題更是你必須要考慮的。
剛 20 億美元的故事并沒有結(jié)束，后續(xù)出現(xiàn)了一個叫 REvil 的團隊，他們放出來的勒索病毒與 GandCrab 有很多相似之處，前段時間勒索了特朗普的一個律師事務(wù)所 4200 萬美元，這好像也是我聽說的最高的勒索金額了。

這個事情其實也算是標(biāo)志性的事情。在 WannaCry 剛開始流行時，勒索病毒通常以廣撒網(wǎng)的方式，它沒有特定的勒索目標(biāo)，勒索金額基本固定在 300 美元左右。后面逐步地開始變成非常有針對性地從 to C 轉(zhuǎn)向 to B 了。沒錯，勒索病毒也有 to C 和 to B 的區(qū)別。勒索病毒開始更加有針對性，選擇特定的公司、特定的機構(gòu)去滲透、勒索，這樣他們就可以針對性地開價，贖金也變得越來越高。
同時，勒索病毒的功能性也增強了。正常來說，勒索病毒就是到你的電腦上，加密全部數(shù)據(jù)，然后以解密為目的來勒索金錢。但是REvil不一樣，他們滲透進去之后先把數(shù)據(jù)給撈出來，加密數(shù)據(jù)，然后再去勒索。如果大家安全習(xí)慣不夠好的話，未來遇到勒索病毒的概率也會比較高。

上圖是勒索病毒的目標(biāo)分布，主要是政企相關(guān)的傳統(tǒng)企業(yè)、制造業(yè)、政府這些，還有醫(yī)療。互聯(lián)網(wǎng)這一塊好像沒有特別地明顯，不過最近似乎也有一些自媒體的人中招，但我暫時不確定是有針對性的還是廣撒網(wǎng)釣大魚的。

勒索病毒的手段和目的

勒索病毒剛流行時，它一直依賴于郵件、漏洞的滲透，先通過鋪開它的攻擊工具，然后瘋狂地去掃公網(wǎng)上的設(shè)備。勒索病毒進入一家公司的跳板就是它的公網(wǎng)機器。一般來說，這個機器同時連了公網(wǎng)和內(nèi)網(wǎng)，勒索病毒打掉公網(wǎng)的機器之后就能跳進內(nèi)網(wǎng)來進行各種橫向移動，從而進一步傳播以實現(xiàn)目的。

漏洞和弱密碼也是勒索病毒廣撒網(wǎng)的手段，另外，還有很多人都喜歡用破解軟件，破解軟件的風(fēng)險也是非常大的，所以建議大家不要隨便去裝破解軟件，因為你真的不知道里面塞了什么東西。

從一開始，漏洞病毒和后來流行的 ATP 攻擊是勒索病毒的好基友。如果沒有這些攻擊手段，勒索病毒的傳播會很困難。而如果沒有勒索病毒，這些攻擊手段它又很難變現(xiàn)。

勒索病毒與黑客行為或者說是手段的發(fā)展是齊頭并進的，因為黑客依賴于勒索病毒去鍛煉自己的入侵手段，鍛煉完了還能變現(xiàn)。所以勒索病毒的規(guī)模會越來越大，勒索病毒也一定會進一步發(fā)展。這里還提到了手動投毒，手動投毒也是近期進化出來的一個趨勢，就像前面所說的，相比 to C，to B 的增長趨勢是更加明顯的。手動投毒的好處就是去篩選目標(biāo)機構(gòu)，篩選出來之后再有針對性地去入侵滲透它。如果是安全機制比較完善的大型企業(yè)，就會用到 ATP 的一些方法和手段。ATP 也是近年來比較火的一個概念，它是一個非常復(fù)雜和系統(tǒng)的東西，今天就不展開去講了。

這是前兩天剛看到的一個特別搞笑的案例，我也不知道這是段子還是真的。這已經(jīng)不是直接勒索，而是把數(shù)據(jù)加密后勒索金錢了。這脫胎于 Oracle 最強法務(wù)部的傳奇事跡，我感覺任天堂最強法務(wù)部也要給它點個贊。

企業(yè)安全架構(gòu)思路

前面聊到勒索病毒并不是今天想說的重點，只是讓大家簡單了解下勒索病毒已經(jīng)是一個非常全面的攻擊方式了。接下來講一下企業(yè)安全架構(gòu)的思路，

做安全架構(gòu)最重要的一點，千萬不要覺得自己的系統(tǒng)是絕對安全的，不要有盲目的自信。永遠都要假設(shè)自己的系統(tǒng)是不安全的，只有這樣才能不斷地去演進迭代。你所做的演進迭代，所有手段只是為了提升攻擊方的攻擊成本，而不是說去絕對的阻攔。

千萬不要跟領(lǐng)導(dǎo)說我設(shè)計的安全架構(gòu) 100% 安全，那是不可能的。你再怎么謹(jǐn)慎，也不可能是 100% 的安全，也不能指望著一套系統(tǒng)去應(yīng)對所有的威脅措施和手段，這是非常不現(xiàn)實的。

縱深防御

現(xiàn)在我們來說一下縱深防御這個概念，其實建設(shè)公司 IT 系統(tǒng)或者說網(wǎng)絡(luò)安全體系，最重要的核心就是要有縱深防御的概念。

什么是縱深防御？縱深防御其實并不是計算機領(lǐng)域的概念，而是前蘇聯(lián)的一位將軍提出的軍事理念。它是指在作戰(zhàn)行動中以空間換時間的一種方式。這位將軍收縮兵力，把自己的領(lǐng)土讓出來，以這樣的代價去集中兵力打敗對方。

縱深防御在計算機領(lǐng)域被用的比較多，它是一個綜合防御體系的理念，并不依賴某一個特定的設(shè)備或者某一套系統(tǒng)來進行防御。一個合格的IT會衡量系統(tǒng)的功能性、易用性、成本等因素之間的關(guān)系，然后去找到一個恰當(dāng)?shù)钠胶恻c，在一定成本的基礎(chǔ)上達到比較好的防御效果。

上圖可以較好地展現(xiàn)縱深防御的理念。作為一家公司的防御體系，技術(shù)防御只是占其中一部分，比如說硬件、軟件、網(wǎng)絡(luò)方面的一些技術(shù)措施，比如說行為審計設(shè)備、態(tài)勢感知，防火墻這些都是技術(shù)防御體系。

除此之外還有很多東西，比如說流程、策略、預(yù)案都是組成防御體系的一部分。這里也要提一下行政，行政手段很多時候單從技術(shù)角度是無法防范的，比如說內(nèi)鬼、外部人員的竊密等，行政上沒有相對應(yīng)的措施和手段去規(guī)范，這些就很容易出現(xiàn)安全漏洞。

技術(shù)防御需要結(jié)合各個部分去工作的，比如網(wǎng)絡(luò)隔離。如果僅僅只有網(wǎng)絡(luò)隔離，那是沒有用的。同樣，如果你僅僅只有一些軟件方面的防御措施，比如說殺毒軟件，也是沒有用的。也不能說沒有用，而是作用會小非常多。因為你并不知道需要面對的威脅是來自于什么？是內(nèi)鬼、病毒、木馬還是其他一些物理竊密的手段。當(dāng)然這沒有到一定規(guī)模的公司暫時不會去考慮物理竊密這一塊。

前面有說到 IT 需要權(quán)衡各方面的關(guān)系做出一個比較均衡的體系來實現(xiàn)最好的效果，再小的公司，最低的要求就是防火墻和 Vlan，如果有這個意識，你至少會配置一臺防火墻，配置規(guī)則，給不同的部門配置 Vlan，這是非常常見的一種方式。

當(dāng)然這只是最低限度的防御，因為 Vlan 的隔離效果并沒有那么好，它畢竟是一個粗粒度的隔離，隔離的是人群，而不是單個的人或者設(shè)備。縱深防御最困難的一點是阻止威脅的橫向移動。無論是勒索病毒還是內(nèi)部、外部竊密，最大的特點就是在內(nèi)部網(wǎng)絡(luò)的橫向移動，而不是從防火墻進來的。你的防火墻根本沒有發(fā)現(xiàn)這個東西，它是直接從內(nèi)部，從你可信的那些設(shè)備上出來的，這才是最可怕。

縱深防御包含了很多部分，除了物理這一塊，軟件、網(wǎng)絡(luò)、策略、流程之類的這些都算，這主要偏技術(shù)方向的分層，對一個防御體系的分層，分成邊界、網(wǎng)絡(luò)、終端、應(yīng)用和數(shù)據(jù)。

主動策略和監(jiān)視響應(yīng)可能不太好理解。主動策略是指你需要主動事前去做好一些事情，比如說網(wǎng)絡(luò)的隔離、權(quán)限的分割，以及應(yīng)急預(yù)案、行政手段等，這種是要提前去做的主動策略。而行為審計和態(tài)勢感知算是監(jiān)視響應(yīng)這一塊的，它是一個被動防御。所有的安全設(shè)備，包括行為審計和態(tài)勢感知，都不會告訴你這個設(shè)備屬于被動防御。它在事發(fā)以后能夠盡可能快地去響應(yīng)、去防御。只有主動和被動結(jié)合的情況下，這家公司的IT安全體系才能說是比較完善的。

我之前見過一些客戶很注重安全，投了小幾十萬，甚至上百萬在 IT 系統(tǒng)的建設(shè)上，其中包含了安全。他們買了一堆的設(shè)備，但卻沒有把這些設(shè)備很好地結(jié)合起來，各自為戰(zhàn)，態(tài)勢感知很貴、很好，但是報告就只能自己看得到，行為審計、防火墻也是。他們投入非常大，但是沒有做一個很好的體系整合，導(dǎo)致各個安全系統(tǒng)都各自為戰(zhàn)，仍然沒有起到一個非常好的縱深防御的效果。可能看起來每一個環(huán)節(jié)都能防某些特定的攻擊，但就像勒索病毒這種非常具有欺騙性的手段進來了之后，就不能很好地去應(yīng)對它。

所以我覺得一個公司的 IT 建設(shè)，并不是投的錢越多越好，而是要適當(dāng)，要能夠達到比較好的綜合效果，而不是在某一些系統(tǒng)上面無限制去投錢，這樣并沒有太大的意義。

威脅應(yīng)對

SCP 是一個基金會，感興趣的同學(xué)可以了解下，它的三個關(guān)鍵標(biāo)志性就是控制、收容、保護。

我覺得 SCP 基金會面對的威脅和企業(yè) IT 人員面對的威脅其實有一些類似，所以我就把這個概念給借用過來了。企業(yè)面對的是不知道下一個威脅來的是什么，需要針對所有情況去做好準(zhǔn)備，而不是說只針對某一個威脅手段去做準(zhǔn)備。例如針對一個木馬，然后你做好了完全的準(zhǔn)備措施，結(jié)果來了一個勒索病毒，系統(tǒng)就不行了。所以**整個體系是需要一個完善的控制，控制包括對內(nèi)、對外的控制，給員工的權(quán)限要做到最小權(quán)限原則。**你需要知道給不同員工哪些權(quán)限就夠了。當(dāng)然要做到這個，需要做到很好的隔離和認(rèn)證的工作，比如說網(wǎng)絡(luò)的認(rèn)證、應(yīng)用接入的認(rèn)證；另外，網(wǎng)絡(luò)隔離也是很重要的一塊。**控制不僅僅是對外的，也是對內(nèi)的。**現(xiàn)在，很多威脅都并不是從防火墻跑進來的，而是產(chǎn)生在內(nèi)網(wǎng)，通過內(nèi)網(wǎng)橫跳，找到有訪問權(quán)限的電腦，最終挑到例如應(yīng)用服務(wù)器的主機上，就很難去控制了。

第二塊是收容，首先你要定義面對的威脅，把它框成一個實體。你要知道面對的是什么，比如說勒索病毒，首先是要想辦法防止它進來，要在防火墻做好管控，它進不來也就無從去跳。發(fā)現(xiàn)識別威脅的等級，這個挺好理解。你可以依賴態(tài)勢感知、行為審計發(fā)現(xiàn)這些威脅，根據(jù)它的威脅程度做一個定級。如果威脅非常大，是不是要啟動一些應(yīng)急預(yù)案，比如說阻止它的擴散，把辦公網(wǎng)、業(yè)務(wù)網(wǎng)臨時地給阻斷掉，或者臨時把大部分員工關(guān)鍵的權(quán)限取消掉，這些都需要提前做預(yù)演，這樣才能限制它的擴散。不管是何種原因的威脅，勒索病毒也好，其他的竊密也好、內(nèi)鬼也好。勒索病毒可能比較快，但是其他的都需要一些過程，需要時間進一步地跳，發(fā)現(xiàn)你的數(shù)據(jù)。如果你的應(yīng)急預(yù)案足夠快，就有辦法阻止這些擴散，甚至有足夠的時間去追蹤溯源。

第三塊是保護，重要的系統(tǒng)額外地加固保護，終端做基本的加固和防護，這些大多數(shù)公司都會做。面對發(fā)現(xiàn)威脅時，要去發(fā)現(xiàn)、定義，對終端做好保護，探測出來后解決它，再出一個總結(jié)，這對接下來完善系統(tǒng)、防御手段有很大的幫助。

備份偏執(zhí)

接下來聊聊備份，不管對于系統(tǒng)還是體系來說，備份都是非常重要的。如果不做好備份，不管是攻擊或者是誤操作，都有可能導(dǎo)致整個系統(tǒng)完全就崩掉。這里說一下 321 備份原則，大家應(yīng)該也都有聽過。

這對個人來說也是適用的，比如在你的個人 NAS 系統(tǒng)什么的。你不能指望自己的 NAS 100% 地可靠，哪怕你做了一個 RAID1。萬一你的 NAS 中了一個勒索病毒，你RAID1 的兩份數(shù)據(jù)一起鏡像了，鏡像也全都死掉了，那也就沒有起到作用。

所以這個 1 就是一份異地的數(shù)據(jù)，這是非常重要的，不管你是個人也好，是公司也好，只要條件允許都需要做好對于數(shù)據(jù)的異地備份。備份的流程要盡可能在前面，最好是在數(shù)據(jù)產(chǎn)生之后馬上就把它備份掉，如果條件不允許的話也要提高備份頻率，當(dāng)然也可以根據(jù)業(yè)務(wù)的性質(zhì)來，如果修改頻次不高，也可以間隔時間長一點。

定期檢查備份是非常重要的。如果不定期檢查的話就會有一些非常悲劇的事情，比如突然有一天數(shù)據(jù)掛掉了，然后你發(fā)現(xiàn)備份的腳本出了問題，我相信有比較長時間運維經(jīng)驗的同學(xué)應(yīng)該會碰到過類似的情況。

作為 IT 或者說運維人員，你要永遠假設(shè)手里的數(shù)據(jù)隨時會丟或被破壞掉。在這種心態(tài)下，去展開工作，才能避免出現(xiàn)一些非常悲劇的事情。

關(guān)鍵系統(tǒng)選型

很多公司到了一定的體量后，可能會覺得內(nèi)容放哪里都不安全，就決定自建，放在自己系統(tǒng)是最安全的。有時候事實并不是這樣的，自建并不一定是件美好的事情，你需要確保這個系統(tǒng)有足夠強大的運維和管理能力，如果需求復(fù)雜的話還需要一些定制化的能力。

這種情況下要謹(jǐn)慎考慮自建，比如自建郵件系統(tǒng)，結(jié)果服務(wù)器被勒索病毒入侵了，全公司的郵件全沒了，那不是要瘋了。如果放在騰訊或者 Google，就不用擔(dān)心勒索病毒的問題。就算勒索病毒把云端硬盤同步到本地的數(shù)據(jù)全加密了，打開網(wǎng)頁版回檔，數(shù)據(jù)就全回來了。所以自建不是一件非常美好的事情，自建后會面對很多問題，可能代價會更大。

流程安全

在面對安全問題時，要做好預(yù)防措施、預(yù)防限制、追溯，這三點是非常重要的。預(yù)防這一塊，像華為的一些行為手段其實也可以算作流程安全。流程安全主要可以劃分為日常治理、限制傳播和追根溯源，這三個是相輔相成的。

日常治理

**滲透測試：**有一些公司可能定期地去找可靠的第三方公司去做滲透測試。

**日常威脅處置及常態(tài)化威脅追蹤研判：**針對自己的設(shè)備，技防的措施、技防的設(shè)備產(chǎn)生的報告要及時響應(yīng)，要專門有人去分析研判，才能夠去發(fā)現(xiàn)威脅。不然就像前面說的，做好了隔離，做好了主動的防御手段，但是，沒有人去做被動響應(yīng)，日積月累下，本來很小的漏洞，可能就會慢慢擴大，變成致命的安全隱患。

**員工安全意識、職責(zé)分離：**這兩塊可以放到一起說，一方面是需要日常加強對于員工的安全意識和相關(guān)案例的培訓(xùn)，另一方面做到減少員工特權(quán)、職責(zé)分離。員工可能掌握了一些子系統(tǒng)的權(quán)限管理，在培訓(xùn)時需要告訴他們會面臨哪些威脅，可能有哪些異常現(xiàn)象，針對不同的問題如何及時反饋給IT部門。減少特權(quán)和職責(zé)分離比較好理解。比如某個同事需要開通一個比較關(guān)鍵的權(quán)限，那么審批就至少要通過兩個人。很少有公司的人事、行政會去復(fù)盤這塊的審批流程是否合規(guī)，這就比較容易導(dǎo)致一些安全隱患或者說人為漏洞。這是技防解決不了的。

限制傳播

做安全架構(gòu)時是沒有辦法保障所有系統(tǒng)都萬無一失的。你一定要假設(shè)系統(tǒng)被突破了，比如說勒索病毒進來了，有人感染了，這個時候你收到了告警，這時候需要做什么呢？你需要有一定的危機預(yù)案。你要去緊急地給已經(jīng)中毒的人和中毒周圍的人，給他們做隔離。如果沒有網(wǎng)絡(luò)隔離的手段，就直接去拔他的網(wǎng)線。首先就是要限制住威脅主體的動作。然后再考慮進一步的處置措施。

主機加固這一塊比較簡單，就不多說了。比如說接入控制的一些終端軟件，比如說裝了某個軟件才能上網(wǎng)，有很多公司都在用。這種體驗很不好，對員工也不友好。

另外，還有一些 IP Guard 或者文件加密之類的，要防止員工泄密。不過 IP Guard 其實也是防君子不防小人，真要想辦法的話，泄密的手段太多了。

追根溯源

這個環(huán)節(jié)態(tài)勢感知和行為審計發(fā)揮作用的時候終于到了，他們最重要的價值就在這里，如果沒有行為審計和態(tài)勢感知之類的設(shè)備，就無法去追蹤溯源，就算有人竊密了也很難在事后找出來是誰。

此外，還要進行日志分析、保留現(xiàn)場、總結(jié)復(fù)盤、掃尾檢查。比如說掃清了一波病毒之后，要再去把其他這次事件中沒有報出來的主機排查一遍，看有什么主機里面的威脅是潛伏期的，看有沒有內(nèi)鬼在隱蔽的角落又種了木馬……總之掃尾是非常繁瑣的一件事情。

聊聊零信任

簡單地講，零信任就是對所有流量、終端都去做身份驗證，無論是訪問應(yīng)用、終端訪問網(wǎng)絡(luò)還是終端訪問終端，全都做一遍驗證，這個就是零信任。

零信任這個概念并不是特別新，它被炒起來之前，很多大公司、大廠就已經(jīng)在往這方面去做了。注重安全的公司在這個概念吹起來之前早就已經(jīng)在用了。

零信任真正實施起來，代價還是蠻大的。嚴(yán)格來說，要做到零信任，需要對所有東西都去做校驗，所有的身份都去做校驗。零信任就是不信任何人，啥都不信。看個網(wǎng)頁也要驗證一下身份，就是接入認(rèn)證。然后訪問內(nèi)部系統(tǒng)、ERP 系統(tǒng)，要走一下認(rèn)證網(wǎng)關(guān)。當(dāng)然現(xiàn)在這種認(rèn)證網(wǎng)關(guān)還有一個名字叫軟件定義邊界 SDP，這也是一個非常硬核操作的概念。

說到零信任的話就不得不說一下傳統(tǒng)企業(yè)網(wǎng)的架構(gòu)。傳統(tǒng)企業(yè)網(wǎng)就是如上圖的結(jié)構(gòu)，防火墻、態(tài)勢感知、行為管理、交換機，下面就是終端，服務(wù)器、數(shù)據(jù)庫、臺式機全部都在交換機下面。

一般公司在這些設(shè)備之間都會做 Vlan 的隔離。但做 Vlan 隔離沒有一個非常細粒度的保護，也沒有辦法靈活地去做權(quán)限控制。Vlan是基于交換機做的，動起來沒有那么方便。如果今天要訪問這個部門的資源，明天要訪問另一個部門的資源，你就很難去給他規(guī)劃，這會把整個網(wǎng)絡(luò)體系做得比較復(fù)雜，實現(xiàn)起來也很困難，也很難去實現(xiàn)前面說的限制傳播，因為這個時候沒辦法單獨地針對某些特定的東西去做限制。

也有一些傳統(tǒng)企業(yè)的安全系統(tǒng)以邊界防護和事后的響應(yīng)措施為主。態(tài)勢感知報警了，趕緊找人去處理，行為管理報警了，趕緊找人去處理，防火墻報警了好像不需要處理。防火墻報警了說明攔掉了，沒報警說明沒攔掉。

這種情況就很難達到前面所說的縱深防御的效果。因為它縱深到內(nèi)網(wǎng)這一塊就全都自由了，可以隨意橫向移動，你可以發(fā)現(xiàn)行為審計、態(tài)勢感知、流量全都鏡像過去，也只能事后發(fā)現(xiàn)，看報告、看告警，這就沒什么意義，你沒辦法讓把威脅扼殺在萌芽之前，只能眼睜睜看著它發(fā)生再去查漏補缺。

還有一個問題，現(xiàn)在很多公司沒有做 wifi 這塊的身份認(rèn)證，外部的人可以比較容易地通過偽基站、偽 wifi 熱點的方式去打掉你現(xiàn)有的網(wǎng)絡(luò)，密碼就這樣泄露了，這個實施起來非常方便。

有線網(wǎng)絡(luò)基本上都是隨意的，別人可以半夜跑到公司來，就直接用你的網(wǎng)線端口，開始瘋狂地掃描。雖然肉身進別人公司風(fēng)險稍微有點大，但是這確實非常不安全，而且絕大多數(shù)公司都存在這樣的問題。

最后簡單聊一下我們的產(chǎn)品。零信任其實也是一個非常寬泛的概念，我們現(xiàn)在是做了一款網(wǎng)絡(luò)管家的產(chǎn)品，在網(wǎng)絡(luò)層面很好地實踐了零信任的架構(gòu)，能夠?qū)崿F(xiàn)讓現(xiàn)在這樣的一個東西向自由的架構(gòu)，變成這樣一個完全純隔離、完全隔離的一個結(jié)構(gòu)，并且還能做到非常自由和簡單的權(quán)限設(shè)計、權(quán)限的管控，包括設(shè)備到設(shè)備、設(shè)備到應(yīng)用，終端到終端，并且所有的流量都和人是掛鉤的。你在后臺可以看到每個人今天的網(wǎng)絡(luò)帶寬用了多少，IT 可以直接看到誰誰誰在下載東西，占用帶寬很大，而不需要很費勁地去排查。

在這個基礎(chǔ)上，我們還做了身份認(rèn)證的功能。我們對每個設(shè)備做身份認(rèn)證的基礎(chǔ)上，去做行為審計和網(wǎng)絡(luò)隔離。每個員工去分配獨立的賬號，也支持 AD 域和釘釘?shù)膶?#xff0c;辦公網(wǎng)絡(luò)不管有線還是無線都需要通過員工的賬號認(rèn)證授權(quán)過后才能使用。

網(wǎng)絡(luò)隔離這一塊就是分層隔離的理念實踐。細分到員工級顆粒度級別的網(wǎng)絡(luò)隔離，這樣可以有效地去控制威脅的傳播，不管這個威脅是內(nèi)鬼、病毒還是其他的東西。他會受到非常嚴(yán)格的限制，沒辦法自由地在內(nèi)網(wǎng)之間跳。當(dāng)然這也離不開行政手段的配合，在使用了我們這一套系統(tǒng)之后，你就能夠很好地實踐這樣上圖這個機制，識別每個終端，然后探測并且看到每個終端的事件行為，最后再去解決安全問題。

以上是莫江成在又拍云 Open Talk 公開課上的主要分享內(nèi)容，演講視頻和 PPT 詳見下方鏈接：

Open Talk 公開課

總結(jié)

以上是生活随笔為你收集整理的如何替公司省下数千万勒索费用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。