受疫情影響，許多公司、高校以及其他組織，不得不將一些應(yīng)用的入口，開放到互聯(lián)網(wǎng)上。在這個過程中，容易把業(yè)務(wù)的端口暴露出來，成為黑客的攻擊目標(biāo)。

此外，很多企業(yè)都正在飽受“內(nèi)鬼”問題的困擾。

[[408218]]

有贊微盟系統(tǒng)遭核心運維人員賀某刪庫，導(dǎo)致大面積服務(wù)集群無法響應(yīng)，生產(chǎn)環(huán)境及數(shù)據(jù)遭到嚴(yán)重破壞。

某一家互聯(lián)網(wǎng)巨頭公司，在重點城市的日均單量數(shù)據(jù)，被內(nèi)部人員以2萬元的價格，賣給了競爭對手。

員工離職時，拷走公司業(yè)務(wù)所有的源代碼……

類似的事情還有很多，有時候數(shù)據(jù)泄露，并不是遭受黑客攻擊，而是來自“內(nèi)鬼”的攻擊，防不勝防。

在這樣的背景下，由研究機(jī)構(gòu)Forrester的首席分析師約翰·金德維格在2010年提出的“零信任”安全又火了起來。

2018年，英格索蘭工業(yè)美國公司發(fā)現(xiàn)，其服務(wù)工程師孫某將公司69萬份保密信息下載到硬盤以及轉(zhuǎn)發(fā)到自己的私人郵箱里。

相關(guān)工作人員對孫某進(jìn)行約談后，隨即解除了勞動合同，一紙訴狀將其告上法庭。

最高人民法院終審判決認(rèn)為，孫某的行為構(gòu)成《中華人民共和國反不正當(dāng)競爭法》，應(yīng)承擔(dān)相應(yīng)的民事責(zé)任。

像“內(nèi)鬼”下載公司內(nèi)部機(jī)密資料的事件，并不少見。

在大數(shù)據(jù)時代，數(shù)據(jù)已然成為影響企業(yè)生存發(fā)展的核心機(jī)密。

以早之前進(jìn)行補貼大戰(zhàn)的兩家互聯(lián)網(wǎng)企業(yè)為例，如果自己的當(dāng)天的補貼單量及補貼價格，被泄露給競爭對手。那么對手就可以根據(jù)其補貼情況，靈活調(diào)整補貼打法，占盡優(yōu)勢。

為了解決近年來越來越頻繁的“內(nèi)鬼”問題，“零信任”理念正式登上歷史舞臺。

什么是“零信任”

“零信任”既不是一種技術(shù)手段，也不是某一種產(chǎn)品，而是一種安全理念。它會假定網(wǎng)絡(luò)邊界內(nèi)外的任何主體，在未經(jīng)驗證前都不予信任。

“持續(xù)驗證，用不信任”，是零信任的基本觀點。

正如約翰·金德維格所言：“證明員工身份的不是密碼，是行為。”

除了使用身份鑒別技術(shù)外，“零信任”還會監(jiān)控賬號的行為。

舉一個簡單的例子，如果某一企業(yè)員工，擁有訪問企業(yè)源代碼資源庫的權(quán)限，但這一賬號并不是判斷合法行為的唯一標(biāo)準(zhǔn)，即不是在權(quán)限內(nèi)的所有行為，都會被認(rèn)為是合理合法。

正常來說，每天工作時間這名員工會做一些代碼的拉取和提交行為，但如果有一天他下載了大量平時不經(jīng)常訪問的數(shù)據(jù)庫代碼，顯然該行為存在風(fēng)險，應(yīng)及時預(yù)警或者阻斷。

2020年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了零信任架構(gòu)標(biāo)準(zhǔn)，進(jìn)一步推動了“零信任”安全的發(fā)展。

[[408219]]

如今，在阿里、字節(jié)、快手等大廠，如果員工離開座位沒有關(guān)閉電腦，很快就會被風(fēng)控部門約談，甚至被罰款。

以前滴滴的員工可以隨意查看跨部門的單量信息，現(xiàn)在已經(jīng)被嚴(yán)格的權(quán)限方案所限制。

快手、騰訊內(nèi)部的數(shù)據(jù)文檔不再能隨意下載，也不能被傳輸。

近年來，數(shù)據(jù)泄露事件有逐漸擴(kuò)散的趨勢，越來越多的企業(yè)將自己的數(shù)據(jù)搬到“云上”，網(wǎng)絡(luò)邊界越來越模糊，這些因素對企業(yè)安全提出了更高的要求，“零信任”安全理念也正在被越來越多的企業(yè)所接受和使用。