疫情期間，猖狂的不只是新冠病毒，還有黑客。

　　美國的網絡安全公司 Proofpoint 的研究人員在2020年2月首先注意到，一封奇怪的電子郵件在2月份發(fā)送給了它的客戶。上述電郵來自一位神秘的醫(yī)生。他聲稱有一份文件，其中詳細記載了一種冠狀病毒疫苗。Proofpoint說，好奇的收件人點擊了文件，就會被帶到一個看起來像一個正常、值得信賴的電子簽名頁面，但它實際上是一個罪犯自己建立的網頁，目的是獲取登錄者的細節(jié)。一旦他們擁有你的賬戶名稱和密碼，你這臺機器上的文檔也就變成了他們的文檔。

　　疫情暴發(fā)初期，黑客就開始冒充世界衛(wèi)生組織（WHO）發(fā)送信息。一些黑客創(chuàng)建了部分依托于政府網站內容的假網站，模仿政府網站來發(fā)布有關新冠病毒的信息，或是向感染該病毒的患者提供建議與幫助。但是，一旦點擊這些按鍵，用戶的計算機就將遭到惡意軟件的入侵，此外，還會通過用戶的賬號傳播大量與新冠病毒相關的電子郵件。而隨著這些電子郵件傳播的，還有作為郵件附件的惡意程序。

　　許多國家相關部門已經注意到這類情況，德國聯(lián)邦信息技術安全辦公室就在去年11月表示，此類惡意程序可能屬于加密和勒索型的程序，它們會對存儲在計算機或網絡中的所有數據進行加密，例如一款叫做“ Emotet”的惡意軟件。黑客通常會勒索用戶，要求其支付贖金以換取對相關數據的再次解密。

　　更有甚者還專門針對疫苗研發(fā)企業(yè)實施攻擊。據路透社11月下旬的報道，這家英國與瑞典合作開發(fā)新冠疫苗的制藥公司的員工曾收到一份假電子郵件，稱可以提供報酬豐厚的工作機會。去年11月中旬，微軟一位高管在公司博客上報告了來自加拿大、法國、印度、韓國和美國的共7家知名疫苗制造商遭到黑客攻擊。

　　醫(yī)院也是黑客攻擊的熱門目標。網絡安全解決方案提供商Check Point Research 在今年2月24日發(fā)布的《2021 年網絡安全報告》稱，2020 年第四季度，CPR 報告稱，全球范圍內針對醫(yī)院的網絡攻擊（尤其是勒索軟件攻擊）增加了 45%，因為犯罪分子認為，由于新冠病例激增造成的壓力，醫(yī)院更有可能滿足贖金要求。

　　VPN之墻已千瘡百孔

　　疫情加速了全球數字化進程，但在黑客的攻擊之下，也暴露了傳統(tǒng)組織所架設的VPN之墻的落伍和脆弱。

　　VPN（虛擬專用網）是在公用網絡上建立專用網絡，通過對數據包的加密和數據包目標地址的轉換實現(xiàn)遠程訪問，在企業(yè)政府機構遠程辦公中起著舉足輕重的地位。VPN奉行的“內部即可信”、“外部即不可信”的安全模式，也就是說可信的員工在內部，不可信的員工在外部。

　　過去，企業(yè)的服務器和辦公設備主要運行在內網環(huán)境中，所有的企業(yè)安全都是圍繞著內網的“墻”來建設的，在這種情況下，VPN所搭建的防護墻還算牢靠。但這種模式不再適用于現(xiàn)代商業(yè)環(huán)境。

　　但是在遠程辦公、云計算日益普及的今天，一方面，云計算、 移動互聯(lián)等技術的采用讓企業(yè)的人和業(yè)務、數據“走”出了企業(yè)的 邊界;另一方面，大數據、物聯(lián)網等新技術的開放協(xié)同需求導致了外部人員、平臺和服務“跨”過了企業(yè)的數字護城河。復雜的現(xiàn)代企業(yè)網絡基礎設施已經不存在單一的、易識別的、明確的安全邊 界，或者說，企業(yè)的安全邊界正在逐漸瓦解。

　　因此，VPN的“內部即可信”、“外部即不可信”的安全模式成為其致命弱點。企業(yè)不可能把阿里云、騰訊云都裝到自己的防火墻里面，當然也不可能把防火墻修到世界每個角落。

　　黑客也專挑VPN的漏洞下手。Check Point Research 在今年2月24日發(fā)布的《2021 年網絡安全報告》稱，黑客利用新冠疫情造成的混亂，特別是針對遠程辦公的vpn的安全事件快速增長，其中，87% 的組織曾經歷利用已知漏洞的網絡攻擊，46% 的組織至少有一名員工下載了惡意移動應用。

　　去年三月，雷鋒網援引外媒消息稱， 影響 iOS 13.3.1或更高版本的當前未匹配的安全漏洞可能會阻止虛擬專用網絡（VPN） 對所有流量進行加密。雖然連接到 iOS 設備上的后 VPN 后進行的連接不受此錯誤的影響，但所有以前所建立的連接都將在 VPN 的安全隧道之外。

　　Check Point 軟件技術公司產品副總裁 Dorit Dor 表示：“全球企業(yè)對其 2020 年數字計劃的推進速度感到驚訝：據估計，數字化轉型提前了最多 7 年。但與此同時，攻擊者和網絡犯罪分子也改變了其作案策略，借以利用這些變化和疫情所造成的混亂，各行各業(yè)遭受的攻擊均迅猛增長。”

　　零信任網絡靠譜嗎？

　　隨著企業(yè)轉向更靈活、粒度更細的零信任安全框架(該框架更適合當今的數字業(yè)務世界)，數十年來一直為遠程工作者提供進入企業(yè)網絡的安全通道的古老VPN正面臨消亡。

　　誰來取代VPN？Gartner 2019年4月發(fā)布的《零信任網絡訪問市場指南2019》預測，到2023年，60％的企業(yè)將淘汰大部分遠程訪問虛擬專用網絡（VPN），轉而使用ZTNA（零信任網絡）。

　　零信任網絡并非橫空出世。零信任的最早雛形源于 2004 年成立的耶利哥論壇 (Jericho Forum)，其使命正是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案。2010 年，零信任術語正式出現(xiàn)，并指出默認情況下所有的網絡流量都是不可信的，需要對訪問任 何資源的任何請求進行安全控制。

　　作為VPN的一種替代方案，零信任的核心思想就是：默認情況下不應該信任網絡內部和外部的任何人/設備/系統(tǒng)，需要基于認證和授權重構訪問控制的信任基礎。零信任對訪問控制進行了范式上的顛覆，引導安全體系架構從網絡中心化走向身份中心化，其本質訴求是以身份為中心進行訪問控制。

　　零信任網絡已是大勢所趨，并將引導安全體系架構從網絡中心化走向身份中心化，中美兩國均已把零信任網絡作為未來發(fā)展方向。

　　2019 年 4 月，美國技術委員會—行業(yè)咨詢委員會（ACT-IAC）發(fā)布了《零信任網絡安全當前趨勢》，對當前零信任的技術成熟度及可用性進行評估，隨后國防創(chuàng)新委員會（DIB）、美國國家標準委員會（NIST）均發(fā)表了零信任相關的報告或標準，其中《零信任架構》標準正式版也于今年 8 月 11 日發(fā)布，美國國防部已明確將零信任實施列為最高優(yōu)先事項。

　　中國零信任亦緊鑼密鼓地展開，標準及應用案例逐漸落地。2019 年 9 月，工信部發(fā)布的《關于促 進網絡安全產業(yè)發(fā)展的指導意見（征求意見稿）》中將“零信任安全”列入需要“著力突破的網絡 安全關鍵技術”。2019 年 7 月騰訊牽頭提交的《零信任安全技術—參考框架》行業(yè)標準通過評審。

　　在美國國家標準技術研究院（NIST）發(fā)布的零信任架構標準中，明確列出了當前實現(xiàn)零信任的三大技術路線，可以歸納為“SIM”組合：SDP，軟件定義邊界; IAM，增強的身份管理; MSG，微隔離。這三種技術路線既可以單獨實現(xiàn)零信任方案，也可以配合起來實現(xiàn)更加全面的零信任架構。

　　Gartner發(fā)布的《零信任網絡訪問市場指南 (2020版)》表示，ZTNA削弱了網絡位置的優(yōu)勢地位，消除了過度的隱式信任，代之以顯式的基于身份的信任。從某種意義上說，ZTNA創(chuàng)建了個性化的“虛擬邊界”，該邊界僅包含用戶、設備、應用程序。ZTNA還規(guī)范了用戶體驗，消除了在與不在企業(yè)網絡中所存在的訪問差異。最關鍵的是，它還將橫向移動的能力降到最低。

　　安全新賽道誰在搶跑

　　早在政府確定零信任標準前，一波科技巨頭已在悄然布局，而SDP模式已一馬當先，成為零信任相對成熟的技術路線。

　　谷歌堪稱先鋒，早在2014年Google 基于其內部項目 Beyond Corp 的研究 成果，陸續(xù)發(fā)表了多篇論文，闡述了在 Google 內部如何為其員工構建零信任架構。2011-2017年期間，Google Beyond Corp項目實施落地，實現(xiàn)不區(qū)分內外網，讓員工不借助VPN安全地在任何地方開展工作，將訪問權限從網絡邊界轉移到設備、用戶和應用。Beyond Corp的核心思想是組織不應該信任任何實體，無論該實體是在邊界內還是在邊界外，應該遵循“永不信任，始終驗證”的原則。

　　國際云安全聯(lián)盟于2013年成立SDP工作組，由美國中央情報局(CIA) CTO Bob 擔任工作組組長，并于2014年發(fā)布SPEC 1.0等多項研究成果。SDP作為新一代網絡安全解決理念，其整個中心思想是通過軟件的方式，在移動和云化的時代，構建一個虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應對邊界模糊化帶來的粗粒度控制問題，以此達到保護企業(yè)數據安全的目的。

　　經過多年發(fā)展，SDP技術越來越被廣泛應用，成為零信任最成熟的商業(yè)解決方案，Zscaler、Akamai、網宿科技等國外著名云安全廠商和一些國內公司如聯(lián)軟科技、云深互聯(lián)等都有相關產品和解決方案。其中，Google、Microsoft 等巨頭率先在企業(yè)內部實踐零信任并推出了完整的解決方案；OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為 中心”的零信任方案；Cisco、Symantec、VMware、F5 等公司推出了偏重于網絡實施方式的零信任方案；此外 Vidder、Cryptzone、Zscaler、Illumio 等創(chuàng)業(yè)公司亦表現(xiàn)。

　　疫情之下快速的普及遠程辦公和不斷增長的黑客攻擊，也加速了零信任網絡的用戶教育。2019 年底，Cybersecurity Insiders 聯(lián)合 Zscaler 發(fā)布的《2019 零信任安全市場普及行業(yè)報告》指出， 78%的 IT安全團隊希望在未來應用零信任架構，19%的受訪者正積極實施零信任，而 15%的受訪者已經實施了零信任，零信任安全正迅速流行起來。

　　萬事俱備，一場企業(yè)安全升級的新賽道徐徐展開。?MarketsandMarkets預計，到2024年，零信任安全的全球市場規(guī)模將達到386.31億美元（約合人民幣2585.6億元），復合年化增長率為19.9%。

　　今年1月27日，谷歌云官方發(fā)布博客宣布，零信任平臺BeyondCorp Enterprise正式上市，該產品替代并擴展了谷歌云去年4月發(fā)布的BeyondCorp遠程訪問產品，標志著零信任時代的正式到來。幾乎同一時間，網宿科技發(fā)布面向企業(yè)安全領域的新一代零信任遠程訪問接入產品——SecureLink。據介紹，網宿SecureLink遵循CSA軟件定義邊界（SDP）標準規(guī)范與Zero-Trust安全框架體系，并整合全鏈路傳輸加速能力開發(fā)而成，顛覆了VPN、遠程桌面等傳統(tǒng)內網訪問技術，針對云與移動時代企業(yè)全場景遠程辦公安全訪問需求，提供以身份認證與動態(tài)信任為基礎的企業(yè)遠程訪問安全接入服務。證券日報網報道稱，網宿科技為CDN轉型云安全的后起之秀，今年在零信任領域發(fā)力較為明顯，基于中國本土產業(yè)格局，零信任安全公司估值仍具有較大想象空間。

　　網絡安全的潮水正在轉向，零安全網絡時代已悄然降臨。