专栏首页数据库安全零信任架构2.0的进化:基于身份的自动行为识别
原创

零信任架构2.0的进化:基于身份的自动行为识别

零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,并在美创科技的每个数据安全产品中无缝落地。美创科技根据市场需求的变化不断地发展着零信任架构,在经过5年的成熟实践之后,近期美创科技零信任架构1.0即将升级为2.0版本,以更好的满足数据安全和网络安全的诉求。

美创零信任1.0升级为2.0

零信任架构2.0是在零信任架构1.0的四大基本原则和六大实践原则基础上的进化版本,能够更适应“云大物移”等这些不断开放的网络环境。相较于零信任架构1.0版,美创科技零信任架构2.0版的变革和创新之处主要体现在以下三点:

 1、在不可靠网络中寻求可靠支撑点的决心更加坚决,在承认无边界访问的事实之上重新定义安全边界,并以人、边界、资产构成非安全网络的三个基本支撑点。

 2、采用智能化识别模式来判断每一个行为的上下文变化和匹配情况,并在过程中不断评估信任和风险,可以真正实现基于上下文风险的动态访问。

3、充分认知到数据流动已经成为主要的安全场景之一,因此,能够让零信任架构真正覆盖到数据流动场景之中。

本篇主要讲述美创科技零信任架构2.0中基本支撑点之一:基于身份的自动行为模式识别。

身份是零信任架构的核心锚点,以人为中心的身份管理可以更好地让身份成为基本支撑点。但即使完全是真实世界中的人,依然可能存在类似双胞胎、易容等识别差错问题,存在着被挟持、被诱惑、情绪失控、疲倦等等各种安全威胁问题。在网络世界和现实世界中所存在的这些识别问题,反映在人的行为问题上,不仅存在,而且会更突出。

当我们认为身份是正确身份的时候,则需要进一步确认以下问题:

1)身份是否是高度仿真的?

2)身份是否是非盗用的?

3)身份是否是非挟持的?

4)行为是否符合真实意愿的?

生活中的每个自然人总是有规律地工作、娱乐和社交。因此,人的行为在网络世界中也一样遵循着某种规律在运作。通常情况下不变总是占据着主导,故我们可以认定多数情况下是安全的,而变化则是偶发性的,如此,只需要在变化时再执行二次验证即可,并非每次都需要二次验证才能通过用户身份的验证,这样可以最大程度上降低对用户体验的影响,提升效率。

举个例子,一个高度相似的双胞胎在静止不说话时,绝大部分情况下,即使是身边最亲近的人也无法准确对二人进行区分,但当其说话、有具体行为表现时,则很容易被准确辨认。

此类现象或许可以用前两年较为流行的UEBA这个词来近似表述。当然,这也可以认为是美创零信任架构1.0版中四大基本原则之一的知白守黑原则在身份确认中的一种实现。可以说寻找确定性,是零信任架构的基本思想。人的行为模式具有高度的确定性,因此,我们通过身份链、作用域和行为链三个要素来构造身份行为的确定性支架。

身份链

身份在网络中穿越过程中经过的节点构成身份链,可以分为:发起点、过程点和作用点。发起点是身份进入网络的第一个落地点,发起点确认主要由以人为中心的身份支点来确认,由人、终端、应用、账户四个身份要素构成(注:具体参见《零信任架构2.0的进化:以人为中心的身份管理》)。其作用点是身份发起对资产目标直接访问的位置点和上下文,过程点则是穿越的中间位置节点和上下文。

当身份链发生变化,身份的信任程度降低,风险程度提高。例如,当一个人在从杭州去北京的路上,却突然出现在武汉,这往往和常规路线不符合,因此我们就可以据此判断其身份存在不确定性,并适当给予相应的策略反馈,或阻断或告警等。由此可见,身份链变化的检测可以在大部分外部入侵在真正发起攻击之前被检测到。

作用域

作用域是一个身份常规操作目标区域和资源的集合定义,作用域最常见发生在身份四要素的应用上。我们以word.exe为例子,定义的常规作用域为本地word文档的访问,任何其他资源的访问都被认为作用越界。作用域可以很好的作用在应用安全,防御由于应用程序漏洞和越权导致的非预期访问。当作用领域越界,操纵应用的身份信任程度降低,风险程度提高。

行为链

当身份作用最终访问资产上,在资产上的持续性访问就构成了行为链。行为链和基于资产的自动行为模式识别产生高度交叉。行为链主要由四部分构成:行为集合,基于概率的行为拓扑链,基于正常行为特征的特征库,基于异常行为特征的特征库。

总结一下,基于身份的自动行为模式识别是美创科技零信任架构2.0中非常核心的支撑点,是零信任架构确定性支架的重要组成部分。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • PHP文件包含漏洞原理分析|美创安全实验室

    PHP是目前非常流行的Web开发语言,但是在利用PHP开发Web应用时,如果稍有不注意,就会产生PHP文件包含漏洞。PHP文件包含漏洞是一种常见的漏洞,而通过P...

    数据安全
  • 零信任体系黑科技之SASE

    随着云服务和网络不推动数字业务概念的不断进行,我们逐渐发现,传统网络和网络安全架构远远不能满足数字业务的需求。而在企业纷纷拥抱数字业务的过程中,由于边缘计算、云...

    数据安全
  • 数据库防火墙:数据库防火墙的阻断方式

    行为阻断是数据库防火墙的自然工作方式。当检测到入侵行为的时候,阻断该行为的操作。行为阻断依据响应偏好的不同,可以工作在不同模式之下。

    数据安全
  • .Net语言 APP开发平台——Smobiler学习日志:快速实现手机上的图片上传功能

    获取或设置相机组件上传质量的模式,默认设置为“Custom”,即表示压缩上传和原图上传都支持,如图2;

    Amanda.li
  • .Net语言 APP开发平台——Smobiler学习日志:如何快速实现手机上的资源上传功能

    最前面的话:Smobiler是一个在VS环境中使用.Net语言来开发APP的开发平台,也许比Xamarin更方便

    Amanda.li
  • .Net语言 APP开发平台——Smobiler学习日志:快速实现应用中的图片、声音等文件上传功能

    最前面的话:Smobiler是一个在VS环境中使用.Net语言来开发APP的开发平台,也许比Xamarin更方便

    Amanda.li
  • 一大波黑客已经来袭,网络安全谁来保障?

    港湾人儿
  • 防御DDoS想要比别人做得更好?从了解DDoS的工作方式开始

    我们知道防御DDoS攻击现在是越来越重要了,DDoS攻击可使任何网站脱机。即使拥有巨大的资源,在一次大规模攻击中也很难保持在线状态。更糟糕的是,DDoS攻击的成...

    blublu7080
  • 关于oracle后台启用的schedule job(r2笔记65天)

    在昨天晚上10点开始,数据库的性能开始下降,出现了一些j00开头的进程。 而且持续了比较长的时间,简单分析了一下,对应的进程执行的sql语句如下。 ######...

    jeanron100
  • 振动试验规范对比——半正弦冲击

    “经过前几篇文章的铺垫,终于可以回归到实质性问题,哪种试验条件更恶劣?本篇先从最简单的试验讲解:半正弦冲击”

    用户7573907

扫码关注云+社区

领取腾讯云代金券