远程办公常态化，网络安全迫在眉睫，“零信任安全”的风口到了吗？

本篇文章4887字，读完约12分钟

COVID-19的肺炎疫情已持续超过四分之一，远程办公已进入正常发展阶段。工业界和资本界的许多行为也表达了他们对这个市场的乐观。

许多提供远程办公软件服务的企业对钛媒体表示乐观。他们认为，尽管远程办公的需求在疫情爆发后会下降，但人们在疫情爆发期间形成的远程办公和视频会议习惯将会保留。

然而，另一方面，在远程办公这一新趋势的背后，世界范围内相继暴露出来的网络安全危机也使人们意识到网络安全的严峻形式。

在这种背景下，“零信任安全”(即零信任网络访问，简称“ztna”，意思是你不能信任任何进出网络的东西——“从不信任，总是验证”)再次进入了每个人的视野。

远程办公已经变得很正常

从今年2月开始，远程办公的战争已经开始，从停课到电话会议，甚至已经举办了60多年的广交会也宣布将在网上举行。

据个人数据显示，2020年疫情期间(2020年1月24日-2月22日)，综合办公应用的dau较2019年春节同期(2019年2月4日-3月5日)同比增长98.19%，视频会议同比增长1465.04%。

从除夕到整个复工周期，远程办公应用的新用户数量一直在高速增长，并在复工的第二周达到高峰。总体而言，年均增长659.63%，同比增长746.13%。

实时音频和视频云提供商声音网络agora.io &的创始人。首席执行官赵斌在与钛媒体交流时对远程办公表示乐观:

“未来几年，国内在线会议市场的规模可能会增长到美国的一半甚至相当于美国的一半，而不是以前的1/10。不过，尽管国内会议市场在商业用途上落后于美国，但其他行业的分钟数和游戏性可能更领先。”

随着远程办公的普及，一些企业正计划进入办公室。第一季度，许多国内制造商推出了远程办公产品。中科曙光和北鑫源推出“灵变儿”，致远互联网推出“致远协作云”，华为威林在各大高校推出，腾讯会议产品也在疫情中广泛使用。

Evernote以前专注于在高端市场推广产品，现在已经开始为高端客户推出独立品牌“印象团队”。根据Evernote的官方消息，“印象团队”应用将于4月发布，6月正式发布。

Evernote高级总监兼Impression Team负责人张勇也认为，尽管大多数企业和团队在疫情过后会回到原来的集中式办公环境，但一些优秀的协作模式和工具仍将保留:

“远程办公的定义也非常广泛。不同团队和外部合作伙伴之间的协作实际上属于远程办公。这些形式是可持续的，并将越来越多。”

他向钛媒体透露，事实上，在2019年第三和第四季度，Evernote在调查了全国数以千计的团队后，发现了一定的市场需求，并决定在今年年中推出一款类似“印象团队”的产品。

根据钛媒体公司收集的全球投融资数据，远程办公的趋势不仅出现在中国，而且已经成为一种全球趋势。数据显示，在3月30日至4月12日的两周内，国外电信领域共发生了11起投融资事件，其中4起未披露，融资总额超过1.5亿美元。

但值得注意的是，网络安全市场和远程办公市场一样引人注目。据钛媒tmtbase监控的境外投融资事件显示，3月30日至4月12日的两周内，网络安全领域共发生12起境外投融资事件，其中一起未披露的事件被撤销，融资总额超过6亿美元。这些注入新资本的公司大多从事网络威胁监控、网络流量监控，甚至内部员工访问控制和数据访问控制。

远程办公的普及和对网络安全市场的关注之间有什么联系吗？

最近，远程办公室(如zoom)暴露的数据泄露和对企业it系统的攻击证实了这种相关性。

网络安全危机猖獗

2月3日，在中国疫情最紧张的时候，人们对远程办公的探索才刚刚开始，但当天，腾讯遇见威胁情报中心披露了一起互联网企业的远程办公工具和电子表格文件被病毒感染的事件:该公司一位业务主管向内部工作组共享的远程办公工具和电子表格文件被发现感染了病毒，导致该部门200多名员工的电脑被感染。

这起事件的起因是一种名为xred的病毒，它首先感染了一个业务主管用来工作的个人计算机，然后内部工作组共享远程办公工具，导致病毒在同事之间传播。

除了病毒感染之外，还有一种让人们担心的网络安全威胁，那就是数据库碰撞。

“数据库碰撞”在3月下旬首次引起公众的关注，当时人们发现5亿条微博数据在黑暗的网络上出售，有人说这些数据可能是网络攻击者攻击数据库获得的。

接下来，视频会议软件zoom暴露了53万个账户密码被挂在黑暗的网络上。与微博数据泄露相比，由于视频会议软件zoom涉及的会议隐私、摄像头隐私等问题较多，zoom的数据泄露引起了国外媒体的谴责。在分析中，业内人士还指出了图书馆碰撞泄漏的原因。

事实上，“数据库冲突”利用了互联网用户在不同平台上使用相同用户名和密码的弱点。一旦某个平台发生数据泄露，网络攻击者就会在其他平台上发起“数据库冲突”企图。成功的数据库冲突意味着用户的信息被泄露。

业内人士告诉Titi MeDIa，微博的用户泄露不一定是数据库造成的，或者网络攻击者验证速度慢，换个ip，每个ip只验证一两次，绕过了登录保护环节。但是，无论是数据库冲突还是验证速度慢，都是登录过程中的问题，比如数据库冲突。

信息安全领域“数据库碰撞”的频率实际上就像人类感冒一样，无法根除，对人体的影响也不是致命的。因此，许多公司不会非常重视它，或者当业务发展太快时，很容易忽略这方面的安全问题。用户数量已经从1000万迅速增加到2亿，由于其快速扩张，已经遭受了“安全”的巨大损失。

远程办公场景中还有一个网络安全问题，这个问题在流行期间吸引了所有人的注意力:公司外部网络对内部网络的访问控制。

在疫情期间，许多公司采用了让员工在家工作的方式，但对于许多有内部网安全要求的公司来说，许多需要在办公室访问的业务和应用程序在家里很难访问。此时，企业之前想到的第一个方法就是重新配置vpn。然而，这种方法的缺点是，为远程办公的员工开放vpn也为网络攻击者提供了攻击的入口。

例如，就在新闻发布的前一天，外国媒体报道称，在网络攻击者攻击zoom数据后，他们还以50万美元的价格出售了zoomwindows客户端的零日漏洞。外国媒体推测，这个零日漏洞使潜在攻击者能够在运行zoomwindows客户端的系统上执行任意代码。如果加上其他漏洞，他们甚至可以完全控制用户的设备，并以此为跳板进一步入侵企业办公和生产网络，窃取企业机密文件等。

面对如此严重的网络安全问题，我们应该采取什么措施？

零信任安全备受期待，但也有挑战

在这种背景下，之前势头强劲的“零信任安全”再次进入了每个人的视野。

零信任网络访问(ztna)是forresterresearch副总裁兼首席分析师多年前提出的，这意味着你不能信任任何进出网络的东西，也就是说，“永远不要信任，永远要验证。”这个方案一经提出，就受到了业界的关注。

零信任安全被认为是解决当前网络安全问题的重要解决方案。

钛媒从网络安全服务提供商akamai大中华区高级售前技术经理马军处了解到，行业实行零信任安全有三种方式:

首先，它是通过网络层的微分段实现的，可以控制内部网的东西向流量，减少病毒的传播、非法操作和非法访问的场景。这种方式需要vpn访问，但在访问后提供更详细和保密的控制。传统网络设备制造商经常采用这种方法。

第二，它是以软件定义的边界(Software Defined Boundary，sdp)的方式实现的，这将使vpn成为更加多样化的隧道，即通过登陆vpn边界设置网关，并通过网关控制不同应用的可访问性。也就是说，应用程序的原始控制能力和对整个内部网的访问都集中在一个网关设备上。对于用户而言，仍然需要vpn接入。

第三，它是通过身份感知代理(iap)模型实现的。基于这种身份代理模型，用户内部或用户已经在公共云上部署的应用被映射到智能边缘网络，该网络不依赖于传统的vpn和网络隧道，而是通过更常用的浏览器和最常见的https协议来实现。

在远程办公的网络安全场景中，akamai采用了第三种方式。“这样做的好处是，如果将来发生网络攻击者攻击，网络攻击者的攻击点不再是企业的网络边界，也不是企业的防火墙，而是成为akamai的云。”马军说道。在这个方案下，企业还可以使用akamai的安全控制、云waf和反ddos功能来应对许多挑战，如网络爬虫。

中国信息与通信研究院于2019年9月发布的《中国网络安全产业白皮书》(2018年)(以下简称“白皮书”)中提到，中国的零信任安全正从概念走向实施。

根据白皮书提供的信息，中国有很多服务提供商实行零信任安全，如山石网、沈芸互联网、九州运腾等。他们主要关注软件定义的边界(sdp)和微隔离(微分段)两个方向，并采用不同于akamai的解决方案。

如白皮书所述，罗斯智能的微隔离产品实现了基于主机代理的自适应安全保护，并将主机和负载作为访问控制的对象，实现了大规模网络的东西向保护。岩石网络部的云和网格产品实现了基于云网络第4-7层的低授权控制策略，并提供开放的api108来支持资产发现和识别、自动策略绑定和自动部署。

Gartner在2019年4月发布的行业报告《零信任网络接入市场指南》中，对ztna市场的服务提供商以及未来ztna市场的增长趋势进行了预测。该报告指出，到2022年，80%向生态系统合作伙伴开放的新数字商业应用将通过ztna访问。到2023年，60%的企业将淘汰大多数远程访问虚拟专用网络(VPNs)，转而使用ztna。

然而，这一预测仅仅代表了可能性趋势，并不排除其他玩家仍在探索零信任安全之外的解决方案。

阿里安保就是这样一个玩家。钛媒体从阿里安全获悉，它在3月31日推出了新一代安全架构，采用了不同于零信任的思想。“零信任需要转移基础架构并消除旧的遗留系统。在当前复杂的网络架构中，我们可以通过白名单系统实现微分离和细粒度的边界规则，以确保动态访问控制。”阿里安全的高级安全专家凌文告诉钛媒体。

在具体实施方面，凌文总结了建筑办公安全的三大指导原则:

首先，要建立终端设备的统一接入和认证，任何终端设备都可能受到攻击。有必要将传统的基于可信内网和可信设备的认证改为基于终端和个人的双重认证，并建立一个无秘密的认证系统。

第二，要在安全运行中提前感知威胁，整合感知和协同处置能力，完善基础设施，具备全环节的完整检测、响应和处置能力。同时，对日志进行总结，协调协调端和网络侧设备的自适应安全策略调整。

第三，为不同层次的不同用户设置安全策略，重点保护关键人物。不同的办公终端设备可以分配给不同的办公人员，例如，敏感人员可以配备物理保护设备和安全工作终端。

“根据目前的攻防对抗环境，任何一个点都可能存在漏洞，被攻击者利用。不要过于依赖单点的保护能力。由于目前的工作环境比较复杂，对外部工作的需求也比较多，因此有必要针对不同的场景进行分层操作，完善动态行为检测策略，使整体架构设计尽可能简单。”阿里安全的高级安全专家凌文说。

“我们发现有大量记录被泄露，这意味着网络犯罪分子掌握的信息越来越多，就像掌握着我们家和企业的钥匙一样。攻击者不必花时间设计复杂的解决方案来入侵企业。他们只需要使用已知的实体来发起攻击，例如使用窃取的凭据登录。”ibmx-force的威胁情报副总裁Wendiwhitmore在一篇公开文章中说。他认为，采取多因素认证、单点登录等保护措施，对于确保企业网络的可持续安全和数据的安全性和隐私性非常重要。

根据ibmsecurity发布的2020年ibmx-force威胁情报指数报告，网络钓鱼、漏洞扫描和利用以及过去被盗的凭证(类似于图书馆碰撞)已成为网络安全的三大初始攻击载体，其中仅2019年就有超过85亿条记录被泄露，报告的数据泄露量同比增长200%。温迪·希特莫尔的观点就是在这种背景下提出的。

随着远程办公的规范化，网络安全领域的从业者已经做好了迎接挑战的准备。然而，无论是零信任安全还是其他新的解决方案，无论它能否真正降低远程办公中的网络安全威胁，都需要更多更好的实践。