约翰·金德维格先生及其合作者们在报告中提出,传统的基于边界的网络安全体系结构存在缺陷,通常被认为“可信”的内部网络实际上充满了威胁,信任被滥用,导致“信任是安全的致命弱点”。基于这样的认知,他们在报告中提出了一个新的网络安全理念—Never Trust,Always Verify,即“从不信任,持续验证”。通过报告中引述的3个案例,我们可以更加深入地理解零信任这一概念的核心含义。
2010年的某一天,在A国的某国际机场,一群看似普通的人登上了飞往某地的飞机。然而,这些人并不是普通的旅行者,而是B国的间谍,他们被A国当局发现并驱逐出境。与众所周知的间谍形象不同,这些间谍并不引人注意,在大众看来非常普通。他们的身份包括旅行代理商、咨询顾问、报纸专栏作家以及不动产经纪人,其中一名间谍甚至曾在一家跨国软件公司担任测试员。他们的普通身份掩盖了他们为B国情报机构工作的真实身份。据A国司法部门透露,这些间谍在A国长期潜伏,竭力掩盖与B国情报机构的任何联系。这个案例给了信息安全专业人员一些重要的启示。
首先,这些被驱逐的间谍在A国潜伏多年而未被发现,类似于今天的黑客,黑客也会采取极端的措施来避免被检测和怀疑。他们非常有耐心,其安全违规行为并不大胆,而是采取“低调而缓慢”的行动。这意味着他们可能持续数周、数月甚至数年以在网络中搜集有价值的信息。
其次,这些间谍的目标是特定的组织和个人,他们也有明确的任务,即在A国的政策决策圈中建立关系,并将情报传送回B国情报机构。同样,当今的信息/网络安全攻击也不再是黑客肆意妄为的行为。黑客经常专注于特定的公司和组织,甚至只攻击某些存储着他们所需信息的系统,如存储着用户个人信息、财务/金融数据或知识产权数据的系统。
网络罪犯C于1999年和2000年在某家公司的服务部门工作。该公司为多家征信机构提供软件。C拥有访问所有客户端密码和订阅代码的权限,因为他为该软件提供技术支持。在C工作期间,某犯罪集团的成员联系了C,对C支付报酬以使其为他们提供客户的信用报告。显然,这是违法的。
在这一案例中,信息/网络安全和风险专业人员应该关注犯罪活动的几个关键方面。
❑C离职后,犯罪活动仍持续了多年。C利用技术自动从3个征信机构下载信用报告。这些犯罪活动发生在2000年至2002年,而最令人震惊的是实际上C在2000年已经离职,但是无论征信机构还是软件公司都没有发现这一违法行为。这表明信息安全违规行为变得“低调且缓慢”。
❑受害者并不知道网络犯罪分子已经渗透到他们的网络中,征信机构也从未发现这一犯罪活动,直到某汽车公司在2002年发现这一违规行为。该公司在审核合作方发来的信用记录及账单时,接到了众多遭受身份盗用和欺诈的受害者的投诉,由此发现了该犯罪活动。
❑这一犯罪行为造成了巨大的财务损失。该国政府估计,C和他的犯罪合伙人窃取了大约30000份身份信息,造成了至少270万美元的直接财务损失。最终,C被判监禁14年并罚款100万美元,他的犯罪行为至今仍然是该国历史上最大的身份盗窃案。
❑显然,这一团伙的目标是特定的信息系统,其中承载着用户的个人身份信息,而不是随机选择存在漏洞的IT系统。
根据这一案例,安全从业者应更加警惕:团队中是否也存在这样一个C,他兼具技术能力与访问权限,但是我们并没有进行良好监督?
D由于其职位,有权访问公司的人事记录,包括该公司前雇员的个人身份信息(姓名、身份号码等)和薪酬信息。D在公司的数据系统中重新激活了十几名前雇员的雇佣状态,输入了虚假的信息条目,伪造了这些前雇员的工作状态,并对这些虚假员工支付薪水,再访问公司的薪资账户收集这些薪水。在3年的时间里,D利用该方法侵吞了大约300000美元。
上述案例的发生,有一个共同的本质原因,即“信任”被滥用。总结这些案例的教训,笔者认为,在网络安全领域,不应该天然地信任接入网络的人、设备、应用程序、数据等资源,而应该对其进行验证。
有记录显示,企业内部存在许多员工的恶意行为。其中每一个恶意的违规行为都代表着一个受信任的用户参与了犯罪活动或者故意采取危险行为。很明显,内部人员可以轻松地滥用“信任但要验证”这一方法,尤其是在企业信息安全方面存在漏洞的情况下。因此,“信任但要验证”已经不再是一个有效的理念了,在许多情况下,组织内的用户默认是受信任的,而对其行为并没有进行充分的验证。
许多安全专业人员可能口头上赞同“信任但要验证”的理念,但实际行动中却往往存在对人员、设备、应用程序、行为等过度的信任,而验证和核实的动作相对较少。通常情况下,由于验证过程复杂或困难,人们往往不愿意进行验证。此外,很多人对于这一理念的含义也存在着根本性的误解。
相比之下,零信任理念可以简洁地表达为“验证,永不信任”。这一理念的核心思想是,除非经过验证和核实,否则在生活、工作等网络领域,我们不应该默认信任任何资源,包括组织、个体、工具/设备、软件/应用程序、服务进程、数据、网络位置等。该理念强调了持续的验证和监测,以确保网络安全。
为了更形象地理解零信任理念,我们结合示意图来说明,如图2-1所示。
在图2-1中,图a是家庭房屋的模型,一个人通过一把钥匙打开房屋大门并进入后,这个人就默认是安全的,可以随机访问其中任意的房间。这种情况类似于传统的边界安全建设,例如,使用防火墙和网络准入设备,在经过一次认证检查后,就会允许一个网段内的服务资源被随意访问。图b则是酒店的模型,一个人进入酒店后先在前台做入住登记,这个人是默认不被信任的,进入电梯需要刷卡验证身份,进入房间同样需要刷卡,甚至接通房间电源也需要刷卡。这正体现了零信任的理念,即默认不信任,对最细粒度的访问都要持续进行安全检查。
图2-1 不同的安全模型