叢磊 白山技術中心安全產品負責人

　　2016年加入白山，主要負責云安全產品的研發管理和安全體系構建等。

　　2006年至2015年就職于新浪，原SAE（Sina App Engine）創始人，曾任總負責人兼首席架構師，2010年起，帶領新浪云計算團隊從事云相關領域的技術研發工作。

　　現任工信部可信云服務認證評委。

　　數字安全是企業高質量發展的關鍵。根據Gartner 2018年安全報告，數據安全、應用（業務）安全、網絡安全是CIO/CSO最關注的安全子項Top3，數字資產保護已成為CIO/CSO對安全的最大需求。

　　數據資產蘊含著巨大價值，而在商業對手、黑產/暗網、數據公司等通過非法爬取、黑客竊取等手段獲取數據時，內部的主動泄露、被動泄露等方式也使數據資產安全受到威脅。

　　而目前針對數字資產的保護，安全手段仍有一定局限：

　　傳統安全技術無視“爬蟲”，但爬蟲其實是造成數據資產泄露的主要途徑；

　　大多企業應用點防御，缺少對數字資產的梳理，和基于流量/數據的縱深防御；

　　依賴規則，維護成本高，且覆蓋不全，只能解決已知威脅；

　　安全產品使用不當，反而帶來安全威脅。

　　針對以上問題，著名研究機構Forrester的首席分析師約翰·金德維格在2010年提出ZERO TRUST（零信任安全），期望能全面解決在企業安全中“人-物-數據”之間的問題。

　　“零信任”的本質

　　在我看來，認清身份，并對身份進行持續行為分析，再根據結果，實現對身份的動態控制。三者之間形成的閉循環，就是零信任架構。

　　零信任安全架構

　　身份

　　身份，在現實生活中，我們有對應的獨立肉體身份；而在數字化系統中，我們則對應一個個Token，即代表身份信息的字符串。Token具有唯一性、隨機性、溯源性、持續性。

　　身份的三層映射關系

　　上圖闡釋了身份的三層映射關系：每個人，即User Entity，都會映射到不同的Token；Token在IT系統中，又會映射不同的身份；不同身份具有不同的權限。

　　三層映射關系結合起來，就是零信任中的“身份”。即“身份”不僅包含了你個人的實體，也包含了你的身份證，以及不同作用域下的身份角色（比如你在家里是父親，在公司是工程師）。

　　常見的Token有兩種：

　　源IP

　　在大部分情況下，我們認為一個IP代表一個Token。但這可能存在一定問題：

　　1）代理池IP，net，可能一個IP背后不僅一個Token。也許在IPv6普及之后，這個問題會被徹底解決；

　　2）IP存在偽造的可能，這種情況下，需要一些額外的技巧防止IP偽造。

　　ID

　　很多企業有自己的ID，可以是SSO賬號，也可以是業務系統中的UID或設備指紋。

　　持續行為分析

　　有了身份，在相應權限下，用戶會產生不同行為。而零信任安全非常重要一點的就是對用戶行為進行持續分析。

　　首先，我們需要定義什么是“行為”？

　　白山ATD系統以用戶訪問行為為視角，基于六元組模型，定義“行為”概念，即：時間、地點、人/ID、作用域、動作和結果。

　　其次，我們需要理解什么是“持續”？

　　即用戶登錄系統到登出系統：從用戶訪問某一邊緣到另一邊緣的整個過程；我們應該從縱向（用戶生命周期）、橫向（用戶活動范圍）兩個維度進行分析。

　　我們總結常見的“行為分析”，目前大概可以分為兩類，白山ATD系統針對不同情況采取了不同分析模型：

　　針對特定場景的行為分析;

　　針對特定場景，我們可以采用可編程對抗，把特定場景的規則植入到系統中；也可以利用有監督學習模型，利用企業已經標注好的黑白樣本，針對場景訓練模型。

　　針對通用場景的行為分析;

　　針對通用場景，一般可以利用無監督學習，進行單體分析和個群分析。

　　單體分析：即和過去的自己對比。比如我們學習某一工程師過去的登錄行為，生成行為規律，如果某一天的行為不符合規律，系統會質疑其身份，判斷是否存在問題。

　　個群分析：即和大家比。其關鍵點在于如何屏蔽海量數據的噪聲，進行群體行為的建模；再從時域、頻域、文本、路徑等維度分析，找出與大家不同的行為。

　　頻域個群對比-某游戲平臺

　　在某游戲公司的實際案例中，攻擊者使用偽造User Agent不斷更換User ID進行撞庫，并破解簽名算法。從流量角度分析日志，其訪問行為是合法請求，且訪問頻率不高。但當我們通過傅立葉變換轉變成頻率行為，我們可以看到其訪問行為具有周期性，通過頻域個群對比，最終確認是撞庫攻擊。

　　文本個群對比-某銀行HW

　　在某銀行HW攻防案例中，用戶請求其實是PHP的探測，通過模擬百度搜索請求，繞過安全設備掃描。但是因為字符串中，標點符號之間的比例、單引號雙引號之前的依賴關系、參數的構成，與正常的用戶請求之間存在明顯區別，通過文本個群對比，最終被ATD系統捕捉。

　　動態控制-零信任安全的核心

　　動態控制

　　控制是根據身份對應的權限，約束身份的行為。動態控制則是通過不斷地行為分析，修正Token的身份，調整對應權限。

　　權限粒度

　　動態控制還需要對數字資產劃分權限粒度，通過建立動作分級和資產粒度的二維象限，對身份授權。

　　動作上，可感、可達、讀、增、改、刪，每一個動作所要求的權限是逐級上升；而資產粒度上，服務、庫、表、行、列，每一個訪問資產的精細度也逐級遞增。而動作分級與資產粒度的象限交點，即為對特定用戶身份的授權。

　　零信任&信用體系

　　總之，企業搭建一個外部用戶與內部用戶的信用體系，應是組織結構、業務邏輯、風控系統、威脅情報、行為分析等所有能參考的數據集合。在這樣的體系中，能給每個身份信用定級，并能不斷地更新信用、調整身份。體系的搭建需要融入企業整個生命周期。這樣的實時動態的信用體系，就是零信任安全體系。

　　零信任不是表示不相信任何人，而是要從行為中重塑對每一個人的信任！