疫情期間，猖狂的不只是新冠病毒，還有黑客。

美國的網(wǎng)絡(luò)安全公司 Proofpoint 的研究人員在2020年2月首先注意到，一封奇怪的電子郵件在2月份發(fā)送給了它的客戶。上述電郵來自一位神秘的醫(yī)生。他聲稱有一份文件，其中詳細記載了一種冠狀病毒疫苗。Proofpoint說，好奇的收件人點擊了文件，就會被帶到一個看起來像一個正常、值得信賴的電子簽名頁面，但它實際上是一個罪犯自己建立的網(wǎng)頁，目的是獲取登錄者的細節(jié)。一旦他們擁有你的賬戶名稱和密碼，你這臺機器上的文檔也就變成了他們的文檔。

疫情暴發(fā)初期，黑客就開始冒充世界衛(wèi)生組織（WHO）發(fā)送信息。一些黑客創(chuàng)建了部分依托于政府網(wǎng)站內(nèi)容的假網(wǎng)站，模仿政府網(wǎng)站來發(fā)布有關(guān)新冠病毒的信息，或是向感染該病毒的患者提供建議與幫助。但是，一旦點擊這些按鍵，用戶的計算機就將遭到惡意軟件的入侵，此外，還會通過用戶的賬號傳播大量與新冠病毒相關(guān)的電子郵件。而隨著這些電子郵件傳播的，還有作為郵件附件的惡意程序。

許多國家相關(guān)部門已經(jīng)注意到這類情況，德國聯(lián)邦信息技術(shù)安全辦公室就在去年11月表示，此類惡意程序可能屬于加密和勒索型的程序，它們會對存儲在計算機或網(wǎng)絡(luò)中的所有數(shù)據(jù)進行加密，例如一款叫做“ Emotet”的惡意軟件。黑客通常會勒索用戶，要求其支付贖金以換取對相關(guān)數(shù)據(jù)的再次解密。

更有甚者還專門針對疫苗研發(fā)企業(yè)實施攻擊。據(jù)路透社11月下旬的報道，這家英國與瑞典合作開發(fā)新冠疫苗的制藥公司的員工曾收到一份假電子郵件，稱可以提供報酬豐厚的工作機會。去年11月中旬，微軟一位高管在公司博客上報告了來自加拿大、法國、印度、韓國和美國的共7家知名疫苗制造商遭到黑客攻擊。

醫(yī)院也是黑客攻擊的熱門目標。網(wǎng)絡(luò)安全解決方案提供商Check Point Research 在今年2月24日發(fā)布的《2021 年網(wǎng)絡(luò)安全報告》稱，2020 年第四季度，CPR 報告稱，全球范圍內(nèi)針對醫(yī)院的網(wǎng)絡(luò)攻擊（尤其是勒索軟件攻擊）增加了 45%，因為犯罪分子認為，由于新冠病例激增造成的壓力，醫(yī)院更有可能滿足贖金要求。

VPN之墻已千瘡百孔

疫情加速了全球數(shù)字化進程，但在黑客的攻擊之下，也暴露了傳統(tǒng)組織所架設(shè)的VPN之墻的落伍和脆弱。

VPN（虛擬專用網(wǎng)）是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉(zhuǎn)換實現(xiàn)遠程訪問，在企業(yè)政府機構(gòu)遠程辦公中起著舉足輕重的地位。VPN奉行的“內(nèi)部即可信”、“外部即不可信”的安全模式，也就是說可信的員工在內(nèi)部，不可信的員工在外部。

過去，企業(yè)的服務(wù)器和辦公設(shè)備主要運行在內(nèi)網(wǎng)環(huán)境中，所有的企業(yè)安全都是圍繞著內(nèi)網(wǎng)的“墻”來建設(shè)的，在這種情況下，VPN所搭建的防護墻還算牢靠。但這種模式不再適用于現(xiàn)代商業(yè)環(huán)境。

但是在遠程辦公、云計算日益普及的今天，一方面，云計算、 移動互聯(lián)等技術(shù)的采用讓企業(yè)的人和業(yè)務(wù)、數(shù)據(jù)“走”出了企業(yè)的 邊界;另一方面，大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的開放協(xié)同需求導致了外部人員、平臺和服務(wù)“跨”過了企業(yè)的數(shù)字護城河。復雜的現(xiàn)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)不存在單一的、易識別的、明確的安全邊 界，或者說，企業(yè)的安全邊界正在逐漸瓦解。

因此，VPN的“內(nèi)部即可信”、“外部即不可信”的安全模式成為其致命弱點。企業(yè)不可能把阿里云、騰訊云都裝到自己的防火墻里面，當然也不可能把防火墻修到世界每個角落。

黑客也專挑VPN的漏洞下手。Check Point Research 在今年2月24日發(fā)布的《2021 年網(wǎng)絡(luò)安全報告》稱，黑客利用新冠疫情造成的混亂，特別是針對遠程辦公的vpn的安全事件快速增長，其中，87% 的組織曾經(jīng)歷利用已知漏洞的網(wǎng)絡(luò)攻擊，46% 的組織至少有一名員工下載了惡意移動應用。

去年三月，雷鋒網(wǎng)援引外媒消息稱， 影響 iOS 13.3.1或更高版本的當前未匹配的安全漏洞可能會阻止虛擬專用網(wǎng)絡(luò)（VPN） 對所有流量進行加密。雖然連接到 iOS 設(shè)備上的后 VPN 后進行的連接不受此錯誤的影響，但所有以前所建立的連接都將在 VPN 的安全隧道之外。

Check Point 軟件技術(shù)公司產(chǎn)品副總裁 Dorit Dor 表示：“全球企業(yè)對其 2020 年數(shù)字計劃的推進速度感到驚訝：據(jù)估計，數(shù)字化轉(zhuǎn)型提前了最多 7 年。但與此同時，攻擊者和網(wǎng)絡(luò)犯罪分子也改變了其作案策略，借以利用這些變化和疫情所造成的混亂，各行各業(yè)遭受的攻擊均迅猛增長?！?/p>

零信任網(wǎng)絡(luò)靠譜嗎？

隨著企業(yè)轉(zhuǎn)向更靈活、粒度更細的零信任安全框架(該框架更適合當今的數(shù)字業(yè)務(wù)世界)，數(shù)十年來一直為遠程工作者提供進入企業(yè)網(wǎng)絡(luò)的安全通道的古老VPN正面臨消亡。

誰來取代VPN？Gartner 2019年4月發(fā)布的《零信任網(wǎng)絡(luò)訪問市場指南2019》預測，到2023年，60％的企業(yè)將淘汰大部分遠程訪問虛擬專用網(wǎng)絡(luò)（VPN），轉(zhuǎn)而使用ZTNA（零信任網(wǎng)絡(luò)）。

零信任網(wǎng)絡(luò)并非橫空出世。零信任的最早雛形源于 2004 年成立的耶利哥論壇 (Jericho Forum)，其使命正是為了定義無邊界趨勢下的網(wǎng)絡(luò)安全問題并尋求解決方案。2010 年，零信任術(shù)語正式出現(xiàn)，并指出默認情況下所有的網(wǎng)絡(luò)流量都是不可信的，需要對訪問任 何資源的任何請求進行安全控制。

作為VPN的一種替代方案，零信任的核心思想就是：默認情況下不應該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。零信任對訪問控制進行了范式上的顛覆，引導安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，其本質(zhì)訴求是以身份為中心進行訪問控制。

零信任網(wǎng)絡(luò)已是大勢所趨，并將引導安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，中美兩國均已把零信任網(wǎng)絡(luò)作為未來發(fā)展方向。

2019 年 4 月，美國技術(shù)委員會—行業(yè)咨詢委員會（ACT-IAC）發(fā)布了《零信任網(wǎng)絡(luò)安全當前趨勢》，對當前零信任的技術(shù)成熟度及可用性進行評估，隨后國防創(chuàng)新委員會（DIB）、美國國家標準委員會（NIST）均發(fā)表了零信任相關(guān)的報告或標準，其中《零信任架構(gòu)》標準正式版也于今年 8 月 11 日發(fā)布，美國國防部已明確將零信任實施列為最高優(yōu)先事項。

中國零信任亦緊鑼密鼓地展開，標準及應用案例逐漸落地。2019 年 9 月，工信部發(fā)布的《關(guān)于促 進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》中將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò) 安全關(guān)鍵技術(shù)”。2019 年 7 月騰訊牽頭提交的《零信任安全技術(shù)—參考框架》行業(yè)標準通過評審。

在美國國家標準技術(shù)研究院（NIST）發(fā)布的零信任架構(gòu)標準中，明確列出了當前實現(xiàn)零信任的三大技術(shù)路線，可以歸納為“SIM”組合：SDP，軟件定義邊界; IAM，增強的身份管理; MSG，微隔離。這三種技術(shù)路線既可以單獨實現(xiàn)零信任方案，也可以配合起來實現(xiàn)更加全面的零信任架構(gòu)。

Gartner發(fā)布的《零信任網(wǎng)絡(luò)訪問市場指南 (2020版)》表示，ZTNA削弱了網(wǎng)絡(luò)位置的優(yōu)勢地位，消除了過度的隱式信任，代之以顯式的基于身份的信任。從某種意義上說，ZTNA創(chuàng)建了個性化的“虛擬邊界”，該邊界僅包含用戶、設(shè)備、應用程序。ZTNA還規(guī)范了用戶體驗，消除了在與不在企業(yè)網(wǎng)絡(luò)中所存在的訪問差異。最關(guān)鍵的是，它還將橫向移動的能力降到最低。

安全新賽道誰在搶跑

早在政府確定零信任標準前，一波科技巨頭已在悄然布局，而SDP模式已一馬當先，成為零信任相對成熟的技術(shù)路線。

谷歌堪稱先鋒，早在2014年Google 基于其內(nèi)部項目 Beyond Corp 的研究 成果，陸續(xù)發(fā)表了多篇論文，闡述了在 Google 內(nèi)部如何為其員工構(gòu)建零信任架構(gòu)。2011-2017年期間，Google Beyond Corp項目實施落地，實現(xiàn)不區(qū)分內(nèi)外網(wǎng)，讓員工不借助VPN安全地在任何地方開展工作，將訪問權(quán)限從網(wǎng)絡(luò)邊界轉(zhuǎn)移到設(shè)備、用戶和應用。Beyond Corp的核心思想是組織不應該信任任何實體，無論該實體是在邊界內(nèi)還是在邊界外，應該遵循“永不信任，始終驗證”的原則。

國際云安全聯(lián)盟于2013年成立SDP工作組，由美國中央情報局(CIA) CTO Bob 擔任工作組組長，并于2014年發(fā)布SPEC 1.0等多項研究成果。SDP作為新一代網(wǎng)絡(luò)安全解決理念，其整個中心思想是通過軟件的方式，在移動和云化的時代，構(gòu)建一個虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應對邊界模糊化帶來的粗粒度控制問題，以此達到保護企業(yè)數(shù)據(jù)安全的目的。

經(jīng)過多年發(fā)展，SDP技術(shù)越來越被廣泛應用，成為零信任最成熟的商業(yè)解決方案，Zscaler、Akamai、網(wǎng)宿科技等國外著名云安全廠商和一些國內(nèi)公司如聯(lián)軟科技、云深互聯(lián)等都有相關(guān)產(chǎn)品和解決方案。其中，Google、Microsoft 等巨頭率先在企業(yè)內(nèi)部實踐零信任并推出了完整的解決方案；OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為 中心”的零信任方案；Cisco、Symantec、VMware、F5 等公司推出了偏重于網(wǎng)絡(luò)實施方式的零信任方案；此外 Vidder、Cryptzone、Zscaler、Illumio 等創(chuàng)業(yè)公司亦表現(xiàn)。

疫情之下快速的普及遠程辦公和不斷增長的黑客攻擊，也加速了零信任網(wǎng)絡(luò)的用戶教育。2019 年底，Cybersecurity Insiders 聯(lián)合 Zscaler 發(fā)布的《2019 零信任安全市場普及行業(yè)報告》指出， 78%的 IT安全團隊希望在未來應用零信任架構(gòu)，19%的受訪者正積極實施零信任，而 15%的受訪者已經(jīng)實施了零信任，零信任安全正迅速流行起來。

萬事俱備，一場企業(yè)安全升級的新賽道徐徐展開。?MarketsandMarkets預計，到2024年，零信任安全的全球市場規(guī)模將達到386.31億美元（約合人民幣2585.6億元），復合年化增長率為19.9%。

今年1月27日，谷歌云官方發(fā)布博客宣布，零信任平臺BeyondCorp Enterprise正式上市，該產(chǎn)品替代并擴展了谷歌云去年4月發(fā)布的BeyondCorp遠程訪問產(chǎn)品，標志著零信任時代的正式到來。幾乎同一時間，網(wǎng)宿科技發(fā)布面向企業(yè)安全領(lǐng)域的新一代零信任遠程訪問接入產(chǎn)品——SecureLink。據(jù)介紹，網(wǎng)宿SecureLink遵循CSA軟件定義邊界（SDP）標準規(guī)范與Zero-Trust安全框架體系，并整合全鏈路傳輸加速能力開發(fā)而成，顛覆了VPN、遠程桌面等傳統(tǒng)內(nèi)網(wǎng)訪問技術(shù)，針對云與移動時代企業(yè)全場景遠程辦公安全訪問需求，提供以身份認證與動態(tài)信任為基礎(chǔ)的企業(yè)遠程訪問安全接入服務(wù)。證券日報網(wǎng)報道稱，網(wǎng)宿科技為CDN轉(zhuǎn)型云安全的后起之秀，今年在零信任領(lǐng)域發(fā)力較為明顯，基于中國本土產(chǎn)業(yè)格局，零信任安全公司估值仍具有較大想象空間。

網(wǎng)絡(luò)安全的潮水正在轉(zhuǎn)向，零安全網(wǎng)絡(luò)時代已悄然降臨。