攻防实战下，如何解决远程接入风险？

近年来，数字化转型和疫情防控的刚需催生了远程办公新常态，远程接入场景下业务系统暴露面不断扩大，而攻击方式更加专业和系统化，我们不得不重新审视远程接入安全，将安全建设思路从"安全功能"向常态化"攻防对抗"转变。

一、常态化攻防对抗下, 现有远程接入方式有哪些不足？

如果打通网络，将业务系统直接发布到互联网，安全风险极高，若通过防火墙等设备进行源 IP 地址接入限制，运维难度极大，因此，大部分单位采用 VPN / SDP 代理访问方式，虽提高了业务系统的接入安全性，但在常态化的攻防对抗下，安全效果仍存在很多不足：

1.不法分子冒用身份接入内网。普通 VPN / SDP 通常仅支持双因素认证，无法识别和阻断不法分子利用合法账号进行异常登录的行为，如非常用地点登录、账号在新终端登录等异常情形。

2.终端威胁易扩散至内网。接入终端多种多样，尤其是 BYOD 终端难以保障其安全性，若终端失陷便可以随意借助普通 VPN / SDP 接入通道，对内网进行攻击，难防护、难溯源。

3.设备易成为攻击对象。VPN / SDP 属于边界入口产品，本身会暴露在互联网，任何人均可以访问，容易成为恶意攻击对象。

不法分子突破边界入侵内网。传统 VPN / SDP 产品对终端到设备的流量会进行 SSL 加密，但不具备安全检测能力，边界被入侵后很难发现异常行为，导致不法分子突破边界后，在内网肆意破坏或窃取数据。

因此，作为关键边界入口产品，VPN / SDP 需要具备常态化攻防对抗的能力。

二、攻防实战中，"零信任"安全如何构筑防线？

针对实战攻防常见场景，深信服提出了安全接入的"3+4"安全防护思路并应用在零信任 SDP 产品上。"3+4"安全防护思路即：三道防线和四大闭环能力。用户在终端上登录账号，通过 SDP 设备访问业务系统，在这个过程中，账号、终端、SDP 设备是三大主要攻击对象。

1.基于账号、终端、设备构建三道安全防线

①确保账号安全

很多企业账号设置为工号、手机号、姓名拼音等，并且经常多个系统采用相同的账号，用户经常会将密码设置为生日、手机号等简单的组合。攻击者很容易通过猜解、社工、钓鱼、撞库等多种手段获取账号信息，并通过弱口令爆破等方式破解密码。

假设"账号泄露难以避免"，基于攻防视角，深信服零信任 aTrust 从"多因素认证 + 密码安全防护 + 防爆破 + 行为安全（基于终端、地点、时间、访问行为等）"多个方面来进行防护，确保用户身份的合法性。

②提升终端安全

员工接入终端多种多样，尤其大量员工采用 BYOD 终端访问业务系统，终端可能存在操作系统补丁未及时更新、未安装杀毒软件、未开启系统防火墙、被钓鱼挂马等情形，导致终端成为业务访问中较为薄弱的一环，一旦终端失陷，攻击者很容易横向迁移，攻击内网业务系统。

假设"远程办公的终端已经失陷"，深信服零信任 aTrust 从攻防视角出发，从"基础终端安全（准入 / 桌管 / 杀毒等）+ 进程安全 + 网络隔离 + 终端数据防泄露"多个方面进行保护，提升在业务访问过程中终端的安全性。

③保障设备安全

业务系统被收缩到内网后，攻击难度增加，因此零信任 SDP 设备本身就成为远程接入场景被攻击的主要目标。攻击者通常针对设备对外暴露的业务端口、运维端口、中间件 / 框架漏洞、API 接口、逻辑越权漏洞、认证绕过漏洞，甚至是对设备源码分析等方式进行攻击。

假设"攻防演练中设备一定会被攻击"，基于攻防视角，深信服零信任 aTrust 从以下多个方面来提升，全方位保障设备安全。

2.基于加固、运营、溯源、补丁更新构建四大闭环

除了加强接入过程的防护以外，深信服零信任 aTrust 还提供了"加固、运营、溯源和补丁更新"四大闭环能力，能够针对攻击链，在事前进行安全加固、在事中持续进行检测响应、在事后进行溯源，并针对遇到的问题快速进行补丁修复，这样才能真正做好有效防御，构建攻防对抗中的安全防护闭环。

年度网络攻防实战即将到来，守护好安全的最后一公里，是各政企事业单位及组织的防御之道。深信服助力企业网络安全体系向零信任架构迁移，以更安全、体验更好、适应性更强的远程办公网络，增强企业在实战中的攻防对抗能力。

目前，深信服零信任在金融、运营商、互联网企业、教育、政府科研等各行各业落地实施，服务上千家客户，其轻量级、易落地、高安全性的优势受到越来越多的用户认可。