派拉零信任：向VPN设备登录凭证泄露事件say no~

近日，有攻击者在黑客论坛放出了一份近50万条Fortinet VPN设备登录凭证清单，据分析里边包含12856台设备上的498908名用户的VPN登录凭证；安全研究人员发现，这些Fortinet VPN设备的IP分布在全球各地，其中位于中国（大陆+台湾）的设备占比11.89%，台湾占比8.45%，大陆占比3.44%；这次泄漏并不是一个普通的安全事件，因为 VPN 凭证可以让攻击者进入网络进行数据渗透，安装恶意软件，并进行勒索软件攻击。

近年来VPN相关的安全事件屡屡爆出，尤其在疫情后，远程办公的兴起更是频频把VPN安全推向风口浪尖。不久前就曾有黑客利用员工才能使用的VPN帐户和密码进入企业内网盗取重要资料。

其实从各类由VPN引起的攻击事件来看，不难得出VPN在抵御外部威胁上存在明显的能力不足。尤其在更为复杂的网络安全环境下，用户、终端、办公地点等多样性的变化更会将VPN的缺点暴露无遗。

首先，VPN认证方式相对简单，用户通过账户验证就能获取操作权限，实际上，在网络攻击类型繁杂的今天，仅通过验证用户的方式显然不足以构建企业的内网安全，单纯的用户验证方式远不能满足企业的安全需求。

其次，黑客一旦获得授权，就可以获得相应的访问权限，系统并不会因为操作者的行为异常而阻断黑客的操作权限，即通过VPN建立的访问，在访问过程中的安全是无法得到保障的。

除此以外，黑客还能通过VPN，利用撞库、爆破的方式去获取企业内部的机密信息。

零信任vsVPN

对比vpn，零信任的安全防护措施会更严谨。在验证方式上，零信任会隐藏服务器地址、端口使之不被扫描发现，在连接服务器之前会先验证用户和设备的合法性，实现先验证后连接。

而传统vpn则是先连接后认证，这种认证方式极易因为端口暴露导致被黑客攻击。且大部分VPN只针对用户做认证，缺乏对终端设备的认证及安全性评估。终端种类和来源的多样性带来的安全风险大大增加，存在终端被入侵并作为攻击跳板的可能性。

零信任的架构能很好弥补VPN的缺陷，在Gartner发布的一份《Market Guide for Zero TrustNetwork Access》报告中指出：到2022年，面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络进行访问。到2023年，60%的企业将淘汰大部分VPN，转而使用零信任网络。

相较vpn的不足之处，以“永不信任、持续验证”的零信任架构完全可以替代VPN，满足企业的安全需求，零信任的特点也能完全弥补VPN在安全防护上的缺失：

零信任的核心理念就是持续的身份鉴别和访问控制，因此身份管理从源头上就是零信任架构的核心部分。和传统的IAM技术相比，零信任架构对身份管理也提出了更高的要求。除了对用户身份的统一管理、认证和授权之外，还需要实现基于风险的动态感知和智能分析平台，基于大数据和AI技术，对于用户访问的行为数据、用户的特征和权限数据，以及环境上下文数据进行分析，通过风险模型自动生成认证和授权策略。

在零信任架构中，应用、服务、接口、数据都可以视作业务资源，支持应用级、功能级、数据多层级细粒度授权，实现全面最小化授权。零信任架构通过构建保护面实现对暴露面的收缩，要求所有业务默认隐藏，根据授权结果进行最小程度的开放，减少员工接触无权限的机密信息。

大多数系统都会采用入口大门先出示凭证，或增加二次强认证来保证访问系统的主体的合法性，一旦认证通过将通行无阻，出现的恶意访问、越权、非法操作将无法防护。

零信任中的持续认证是细粒度到主体的每一次事务性的资源获取或操作过程必须重新评估主体的信任，因为在复杂的互联网中主体中状态是持续动态的在变化，那么就要进行持续的认证和风险评估，才能做到最细粒度的风险控制。

零信任环境还会持续判断主机行为，从用户登录行为进行全面审计，精准记录用户账号认证、访问、变更等行为，以报表的形式展现给系统管理员，实时的登录风险预警，及时发现异常情况。

作为国内一体化零信任安全解决方案的领导者，派拉软件率先将软件定义边界、持续自适应、微隔离等信息安全前沿技术导入身份管理产品的研发与实践中，为各个行业客户提供专业的一体化零信任安全解决方案，覆盖内部员工身份治理（2E）、 外部合作伙伴身份治理（2P）、C端客户身份治理（2C）、API身份治理（2API）、IoT身份治理（2IoT）、云身份治理、 特权身份管理。虽然零信任的发展是一条漫长的道路，但派拉还是会勇往直前，持续深耕零信任安全领域，为助力企业的数字化转型、为建设国家的网络安全提供更好的解决方案。