【合作单位动态】「落地有声」第三届零信任用户分享大会：大咖共话零信任，助力实战攻防全新范式

2023年10月25日，由CIO时代与深信服科技联合举办，《信息安全研究》杂志为独家支持媒体，「落地有声」零信任 主动防御新范式暨第三届用户分享大会，邀请到权威指导单位国家互联网应急中心、国家信息中心的领导出席，以及金融、能源行业TOP用户倾情分享，从攻防视角出发，探讨零信任助力实战攻防的全新范式。

会上，深信服科技零信任业务总经理郭炳梁正式发布了深信服零信任X-SDP主动防御能力，并介绍了创新的设计思路、展示了领先的实战效果。

在圆桌环节的深入交流中，嘉宾们探讨了实战攻防态势下，零信任在未来的核心价值和发展方向。

解读零信任应用新范式

国家互联网应急中心副处长高强：

零信任可以针对攻击的不同阶段实现全程防护

CNCERT是网络应急“国家队”，每年支撑应急处置事件超10万起，今年网络安全形势依旧不容乐观。零信任的理念与网络攻防非常贴切，可以帮助防守方应对愈演愈烈的网络攻击。零信任可以针对攻击的不同阶段进行防守，比如，在侦查阶段，零信任可以隐藏服务器、应用信息，减少暴露面；在攻击阶段，零信任可以对设备进行可信等级的检测，及时隔离威胁；在植入后门阶段，零信任可以对终端行为进行检测等。

国家信息中心信息与网络安全部办公信息化安全处处长刘蓓：

应对移动办公安全风险，积极探索零信任技术应用

目前全国已经有20多个省发布了统一移动办公平台App。移动办公是信息化发展的必然趋势，也要关注带来的安全风险。国家标准也在积极地融入最新的安全技术，不断完善安全的发展方向，助力数字政府建设取得新的成效。基于零信任理念，实现移动终端安全，主要有以下模式：一是对于终端运行安全的评估；二是对可信终端应用程序的持续评估；三是提供相对隔离的安全的工作空间。

用户分享零信任落地经验

金融行业用户代表：

零信任的实质正是重构网络访问控制，以身份为核心进行访问控制。从零开始建设零信任，我们认为要找准亟需建设的场景：

1.正式员工访问办公类的场景。

方案设计了7层应用代理和4层有端网络接入相结合，通过部署深信服零信任aTrust，与企业统一认证平台、通讯软件打通认证机制，采用无端方式，通过代理访问收敛后的目标应用，最大程度兼顾安全效果与访问体验。同时保留已有使用VPN有端方式访问的应用系统和基础设施资源，将资源访问逐步由VPN切换至零信任aTrust。

2.第三方人员通过BYOD设备接入公司内网的场景。

方案保证了第三方人员全部通过零信任客户端+沙箱进行内网资源访问，外包人员终端需要始终满足安全基线准入，以最小权限访问企业资源，并通过部署沙箱，保护企业敏感数据。

在这套零信任安全接入新范式下，收获的安全效果非常显著：

1.有效收敛高风险应用的暴露面，大幅度降低了互联网侧应用漏洞被利用的风险。

2.采用基层应用代理的方式，不改变用户访问的体验，兼顾了安全效果和体验的平衡。

在落地过程中，我们发现零信任与现有的安全技术体系可以天然融合，帮助提升整体安全运营和主动防御能力。因此后续将考虑扩展零信任更多的应用场景，并利用零信任进一步提升主动防御能力。

能源行业用户代表桂冠电力：

面对数字化转型的浪潮，我们既要满足业务广泛数字化的需求，又要对抗不断加剧的网络威胁。这就要求我们需要在保障业务流畅性的基础上，建立实战级的安全防护。

自2021年起，我们启动了零信任建设，期间经历了策略优化、系统升级，目前基于深信服零信任aTrust 构建了安全接入方案，包括身份验证、终端安全检查、网络隔离、访问权限控制等能力，确保了用户访问业务的全链接保护。

然而近两年来，钓鱼攻击频发，为了增强对终端远控的防护，除网络隔离之外，我们还引入了威胁诱捕功能。如果终端受到了钓鱼攻击，触及诱饵，我们可以迅速锁定被攻击终端，并采取相应措施。实践证明，零信任主动防御能力不仅提升了整体实战防护能力，还给分享溯源提供了线索，大幅提升运营研判效率。

深信服于业界率先发布

X-SDP主动防御能力

当前，零信任在各行各业广泛落地，最常见的是远程接入场景。然而，深信服认为，零信任不止于远程办公，应逐步向更广泛的场景进发，以不断沉淀的技术实力与不断增强的产品能力，诠释安全接入的全新范式。但这个过程中遇到了两大挑战：

挑战一：零信任SDP无法缓解人的脆弱性带来的安全风险。

挑战二：零信任SDP所设想的最小权限过于理想，落地障碍巨大。

面对这些挑战，深信服一直在思考：零信任SDP能否在不依赖权限最小化的前提下，让安全效果再上一个台阶？

答案呼之欲出：鉴黑。——安全技术手段本质是鉴白或鉴黑的逻辑，深信服零信任aTrust需要不断强化已有的鉴白能力，也必须扩展鉴黑的能力。

深信服于业界率先推出X-SDP“主动防御+被动防御”一体化能力，创新融合“鉴黑”“鉴白”逻辑，通过被动防御，在不安全的访问中识别出合法的访问行为，通过主动防御，识别伪装成合法访问的攻击行为。

● 在被动防御层面，基于账号、终端、设备三道防线持续增强防线内纵深防护。

● 在主动防御层面，基于正确的数据(Right Data)理念构建原生零误报鉴黑能力，并持续构建主动威胁预警能力。

黑白并举，攻守兼备，谓之业务安全接入防护之“道”，由此构建零信任全新范式。

大咖对话零信任助力

实战攻防领先一步

Q1：如何看待当前的实战攻防态势？安全建设面临着哪些严峻挑战？

某证券公司信息安全团队负责人：从多年参加国家级网络安全攻防演习的经验，我印象最深的一点，是攻防不对等，体现在三个方面：第一，互联网应用存在暴露面，并在进行漏洞处理时，存在情报预警分析处置的滞后性。第二，钓鱼社工的攻击手段，永远没有办法通过管理的方式解决，还是需要依靠技术手段。第三，供应链管理困难，容易造成防守单位的失陷。

银联商务办公系统服务室负责人姚佶思：我们公司有1万多名员工，攻击方想钓鱼的话太容易了，之前无论上什么技术手段都难以实现零失误。举个例子来说，大概有3000多个地市员工平时都是通过SDP访问内网，有一次一位同事被钓鱼了，攻击队已经控制终端，一直在等他通过SDP设备连接，但他因为在外出差，一直没有登陆连接，后面攻击队多次电话催他上线，引发员工警惕，攻击行为才被暴露。其实这个也引发了我们思考：全网零信任是否可行？这也促使我们更加关注零信任拓展更多场景的应用，思考零信任在实战攻防的价值。

Q2：实战攻防场景下，零信任给用户带来了哪些价值？

某证券公司信息安全团队负责人：通过落地零信任，我们收敛了20多个高风险互联网应用，就能够比较从容、有序应对漏洞的处置。同时我们发现零信任+沙箱的机制，在实战攻防演练期间发挥了非常重要的作用，多家厂商的技术人员通过统一授权访问安全工具，包括态势感知平台、流量监控工具，有效顺利开展了防守工作，并且保证了安全数据隔离在本地。

深信服科技CISO 沙明：在体验层面，过去我们落地50多台防火墙的策略，需要拉通安全部和运维部的大量人员。现在安全部其实只需要投入一个人维护用户访问关系，并且权限动态可调整，大大提高了运维效率，让安全真正可落地。在效果层面，过去我们需要时刻防守13条攻击路径，落地零信任后，我们只需要关注用户PC到Server和Server到Server两类攻击路径。不管是近源还是钓鱼攻击，只要是从PC到Server的攻击路径，我们统一在PC侧与SDP侧进行监测，大幅收敛了PC到Server的攻击路径。

深信服科技零信任业务总经理郭炳梁：研发X-SDP新能力的过程中，我们一直坚持与用户共创。我们关注到用户对稳定性的要求，以高性能隧道传输技术X-Tunnel和自研分布式高可靠架构X-Performance，为X-SDP提供超前稳定的底层内核支撑，稳稳承载单用户超百万并发，两倍超压下业务成功率高达90%。

「落地有声」第三届零信任用户分享大会，深信服秉持与时俱进的态度，让每一位用户表达真实心声——谈拓展零信任的能力和场景，谈打造安全接入的全新范式，谈兼顾安全体验和效果领先。