记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华零信任十周年峰会:联软科技分享《零信任的落地实践SDP》
2020年6月5日,零信任十周年峰会圆满召开,大会由云安全联盟大中华区主办,联合国UN2020指导,联软科技等众多网络安全领域代表厂商共同承办。会议伊始,零信任之父John Kindervag为大会致贺词,云安全联盟大中华区主席兼研究院院长李雨航在开幕致辞中指出零信任在全球已经成为网络安全关键技术大趋势,会上邀请了10多位零信任方面的专家、实践者共同探讨零信任十年的发展历程与实践。参会人数达10000+,受到多方关注,联软科技副总裁黄国忠分享了联软对于零信任的思考:1993年,《纽约客》刊登了一则由自彼得·施泰纳(Peter Steiner)创作的漫画,“On the Internet, nobody knows you’re a dog”,网络的隐秘性和匿名性可见一斑,同时,作者也想强调网络就是虚
易安联网络发布零信任雷达图
作为行业内专注零信任解决方案的厂商,6月18日,易安联网络正式对外发布《Enlink零信任雷达图》,旨在把对零信任领域的深入研究及易安联网络在零信任架构下的研究矩阵做对外的展示。Enlink零信任雷达图《Enlink零信任雷达图》如《Enlink零信任雷达图》所示的众多技术模块,都是源于易安联网络多年在行业领域中的摸索,作为深耕零信任领域的网络安全厂商,以应用访问安全为核心的易安联网络目前也已成功推出基于”零信任”安全基本理论的网络安全产品——EnSDP云应用安全防护平台和SDP零信任解决方案,主要依据云安全联盟(CSA)的软件定义边界(SDP)标准规范,通过安枢(EnsBrain),安界(EnsGateWay),安众(EnsClient)三大功能组件,实现”云-管-端
【牛人访谈】身份安全,零信任的瓦坎达入口
我们都知道,数字身份将是开启信息安全世界之门的钥匙,建立健全信息身份安全管理体系是保障信息安全可持续发展的重中之重。那么,如何在这个信息安全事故频发的时代,建立较为完善的身份管理体系以应对众多的安全挑战呢?就这一话题,我们邀请了多年来深耕身份安全领域的派拉软件的CEO谭翔先生来分享下身份安全的现状、未来以及落地发展等方面的经验与建议。 派拉软件的CEO谭翔一、困惑:信息安全事故为何频发?信息安全界人士但凡谈到安全,基本上会从恐怖故事开始,似乎不吓一吓人难以体现对信息安全的重视。我也想从几个恐怖故事开始,不是为了吓住各位客官,而是从这些发生的案例中,我们可以看出端倪,从而帮助我们分析问题。故事1:2019年10月初,全球最大的助听器制造商Demant,遭勒索软件入侵,直接经济损失高达9500万美元。故事
零信任架构给企业带来的价值与实践
前言在这个高度不确定性笼罩的年代,零信任是企业数字化安全转型和打造可持续数字化竞争力的最关键的一次“范型转移”和“免疫博弈”,也是网络安全和“安全优先”倒逼IT改革和业务创新的决定性战役。本期《牛人访谈》我们邀请到了国内较早实施零信任的企业——完美世界的高级安全总监何艺,与大家分享零信任之路的风雨与彩虹,以下是访谈内容: 何艺,现任完美世界高级安全总监,负责完美集团安全工作,从事甲方安全工作十六年,主要专注在企业安全建设、安全架构、零信任、安全分析和响应、APT对抗和数据安全上,在企业安全上有较多深入体会,另有个人公众号“小议安全”做些原创输出。安全牛:开始话题之前,能否给我们的读者介绍下什么是零信任?何艺:好的,安全的本质我的理解是信任,零信任其实也是在试图解决信任问题。说到零信任前,我们先回顾下传
取代VPN?谷歌零信任方案实现产品化
近日,谷歌宣布完成其内部使用的远程安全访问零信任方案BeyondCorp的产品化,并在谷歌云服务上发布销售。众所周知,Google的BeyondCorp项目是最早的零信任方案之一,早在2011年,谷歌就开始在内部部署远程访问方案BeyondCorp,向员工提供内网应用的安全访问服务。谷歌举了一个零信任应用在谷歌的用例:外包人力资源招聘人员在家中使用自己的笔记本电脑工作时,可以使用我们基于Web的文档管理系统(除其他外),但前提是他们使用的是最新版本操作系统,并且正在使用诸如安全密钥之类的防网络钓鱼身份验证。谷歌决定现在全球新冠疫情肆虐的时候“火线推出”BeyondCorp,是因为谷歌认为全球远程办公人员激增已经超出了企业VPN资源的承受范围,而且谷歌强调BeyondCorp的部署也比VPN快得多。Google的
缔盟云获“国家高新技术企业”,用零信任引领公有云安全新趋势
近日,国内公有云安全厂商缔盟云(公司名:杭州云缔盟科技有限公司)获得国家级高新技术企业证书,成为零信任安全领域为数不多的获得国家级政府部门认同的科技企业。国家高新技术企业是由科技部、财政部、国家税务总局联合评定,符合资质的企业必须同时满足:拥有核心自主知识产权、企业科技人才占比、研发投入、组织管理能力等多项认定指标,标准严苛。因此这项认定对于科技型企业是极高的荣誉,也是综合实力的权威信用背书。多款零信任产品引领公有云安全新趋势2017年3月,缔盟云推出首款基于自主研发的零信任安全能力平台ESZCloudaemon的云抗D产品—太极盾,并首次提出构建从终端到网络到云的弹性安全区域(Elastic Security Zone)的概念:在客户端集成SDK,与云端节点间建立加密隧道,通过创新的零信任标识技术
建立零信任IT环境的5个步骤
零信任不是产品或服务,当然也不仅仅是流行语。相反,它是网络安全防御的一种特殊方法。顾名思义,不是“先验证,然后信任”,而是“永远不要信任,永远要验证”。
本质上,零信任是通过限制数据访问来保护数据。无论是否在网络范围之内,企业都不会自动信任任何人或任何事物。零信任方法要求在授予访问权限之前,对试图连接到企业的应用程序或系统的每个人、设备、帐户等进行验证。
然而,网络安全系统设计之初不是已有这个功能了吗?难道零信任只是在此基础上增加某些额外的控件?
的确,零信任框架包括许多企业广泛使用的数据保护技术。但是,零信任代表着一个清晰的支点,即如何思考网络安全防御。这种方法不仅可以保护整个企业,而且还可以将该范围扩大到组织内外的每个网络、系统、用户和设备。强大的身份、多因素身份验证、受信任的端
零信任才是GPS安全的 “特效药”
围绕大数据和人工智能时代GPS和地理信息系统GIS相关应用的重要性不断提升,安全问题日益突出,全球卫星定位系统竞争局势正在不断升温。种种迹象表明,GPS正面临一次重大安全变革。禁令凸显GPS战略价值和安全问题严峻性2019年1月初,据路透社报道,特朗普政府将从1月中旬开始采取措施限制GIS人工智能软件的出口(加拿大除外),从美国出口某些类型的地理空间图像软件的公司必须申请许可。业内人士透露,美国公司的ARCGIS和AIS产品属于禁令限制范围。特朗普的GIS“禁售令”,再次激起了业界和公众对GPS安全问题的关注。不仅仅是GIS系统离不开GPS(以及其他全球定位系统),事实上GPS正在成为我们这个星球的节拍器和定位器。供应链、海洋运输、港口停靠、证券交易,甚至我们的汽车、自行车和城市中的日常活动都依赖于太空盘旋的卫
“零信任”安全架构将成为网络安全流行框架之一
零信任网络(亦称零信任架构)模型是约翰·金德维格( John Kindervag )于2010年创建的,当时他还是研究机构Forrester的首席分析师。如今7年过去了,随着零信任的支撑技术逐渐成为主流,随着防护企业系统及数据安全的压力越来越大,随着网络攻击演变得更加复杂高端,零信任模型也在CIO、CISO和其他企业高管中间愈加流行了。Forrester认为,3年内零信任就将成为网络安全流行框架之一。零信任是什么?零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。为什么要
从“永恒之蓝”看边界防护的管理智慧
经过72小时的全国动员和应急响应, “黑色周一”终究未能“如约而至”,但本次“永恒之蓝”勒索蠕虫事件造成的损失和影响依然令人震惊。一时间,多年前“冲击波”、“熊猫烧香”的阴霾仿佛再现,人们不禁疑惑——网络安全已今非昔比,为何在十数年后依然显得如此脆弱?
尽管勒索蠕虫爆发于终端,但俗话说“病从口入”,互联网+时代,网络则成了威胁传播的重要入口,扼守边界的防护技术已历经了代级演化,却在这场阻击战中表现不一,究其根因,管理者在边界防护中的“管理智慧”值得反思。
反思一:“零信任网络”下的巷战塔防
“零信任网络”已被Google、Gartner、Forrester和众多安全公司提出多年,其核心思想是当前的网络中已不再有可信的设备、接口和用户,所有的流量都是不可信任的。
现实中也的确如此,就拿本次WannaCry在专网、
公告
九层之台,起于累土;黑客之术,始于阅读