12月8日，國家網(wǎng)信辦起草發(fā)布了《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》（以下簡稱“辦法”）。擬規(guī)定運(yùn)營者在發(fā)生網(wǎng)絡(luò)安全事件時(shí)應(yīng)當(dāng)及時(shí)啟動應(yīng)急預(yù)案進(jìn)行處置。

1小時(shí)報(bào)告

按照《網(wǎng)絡(luò)安全事件分級指南》，屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。

24小時(shí)內(nèi)補(bǔ)報(bào)

對于1小時(shí)內(nèi)不能判定事發(fā)原因、影響或趨勢等的，可先報(bào)告，事發(fā)單位名稱及發(fā)生事件的設(shè)施、系統(tǒng)、平臺的基本情況；以及事件發(fā)現(xiàn)或發(fā)生時(shí)間、地點(diǎn)、事件類型、已造成的影響和危害，已采取的措施及效果。對勒索軟件攻擊事件，還應(yīng)當(dāng)包括要求支付贖金的金額、方式、日期等。

5個(gè)工作日全面分析總結(jié)

事件處置結(jié)束后，運(yùn)營者應(yīng)當(dāng)于5個(gè)工作日內(nèi)對事件原因、應(yīng)急處置措施、危害、責(zé)任處理、整改情況、教訓(xùn)等進(jìn)行全面分析總結(jié)，形成報(bào)告按照原渠道上報(bào)。

因運(yùn)營者遲報(bào)、漏報(bào)、謊報(bào)或者瞞報(bào)網(wǎng)絡(luò)安全事件，造成重大危害后果的，對運(yùn)營者及有關(guān)責(zé)任人依法從重處罰。

網(wǎng)絡(luò)安全事件拖延時(shí)間越長，危害性就會越大，后續(xù)的故障恢復(fù)以及消除影響等工作也更加困難。因此對于網(wǎng)絡(luò)安全事件報(bào)告的時(shí)效性要求非常高。

那么，企業(yè)該如何加強(qiáng)自身安全防護(hù)能力，防止威脅事件的發(fā)生？如何在發(fā)生威脅事件的第一時(shí)間及時(shí)發(fā)現(xiàn)與阻斷攻擊？

持安科技認(rèn)為，以最佳實(shí)踐方式落地的零信任，可對《辦法》提出了“1小時(shí)完成網(wǎng)絡(luò)安全事件報(bào)告”提供全面支撐，企業(yè)接入持安零信任產(chǎn)品后，在整體上可使企業(yè)應(yīng)急響應(yīng)速度提升300%，攻擊事件減少99%。

下面我們分別從“事前、事中、事后”的角度來分析，看持安零信任產(chǎn)品，如何在真實(shí)的攻防場景中發(fā)揮作用。

01

事前：持安應(yīng)用層零信任可收斂業(yè)務(wù)暴露面，預(yù)防0day等未知威脅的發(fā)生

傳統(tǒng)的基于邊界防護(hù)模型加上縱深防護(hù)的安全防護(hù)理念，在面對新型的大型攻擊事件時(shí)往往捉襟見肘。

傳統(tǒng)的邊界防護(hù)手段是隔離，但是目前企業(yè)業(yè)務(wù)的開放度和敏捷度要求提高，無法簡單粗暴地通過隔離來保證自身的數(shù)據(jù)安全。

縱深防護(hù)常常采取特征對抗的方式，但是這種無法窮盡所有未知漏洞的特征。

那么當(dāng)業(yè)務(wù)系統(tǒng)存在一個(gè)未知的漏洞，安全系統(tǒng)無法通過特征檢測到風(fēng)險(xiǎn)，攻擊者一旦接觸到業(yè)務(wù)系統(tǒng)，系統(tǒng)就面臨著很大的風(fēng)險(xiǎn)。

持安科技基于應(yīng)用層的零信任產(chǎn)品，實(shí)現(xiàn)零信任與業(yè)務(wù)的真正打通，從而基于業(yè)務(wù)系統(tǒng)進(jìn)行防護(hù)，有效提升業(yè)務(wù)系統(tǒng)的安全性，從根源上減少攻擊事件的發(fā)生。

1. 收斂暴露面：持安應(yīng)用層零信任落地后，首先會在網(wǎng)絡(luò)邊界處部署零信任應(yīng)用網(wǎng)關(guān)，基于“先認(rèn)證、再訪問”原則，先將所有的業(yè)務(wù)系統(tǒng)隱藏在網(wǎng)關(guān)之后，有效收縮攻擊面。訪問者需要先向零信任網(wǎng)關(guān)發(fā)起請求，由網(wǎng)關(guān)代理訪問請求，只有經(jīng)過零信任驗(yàn)證用戶、應(yīng)用、行為皆可信的數(shù)據(jù)包，才能夠正常通過認(rèn)證體系，從而將不可信的數(shù)據(jù)包拒之門外。

2. 防御0day等未知威脅：只有經(jīng)零信任驗(yàn)證可信的數(shù)據(jù)包才可以接觸到業(yè)務(wù)系統(tǒng)，因此可有效抵御未知人員發(fā)起的未知攻擊。而未經(jīng)授權(quán)的攻擊者試圖接觸業(yè)務(wù)系統(tǒng)時(shí)，只可以接觸到網(wǎng)關(guān)的信息，無法接觸到企業(yè)的業(yè)務(wù)系統(tǒng)，此時(shí)，即使系統(tǒng)內(nèi)存在0day漏洞，也無法被黑客利用到。此外，持安零信任可對系統(tǒng)內(nèi)存在的漏洞進(jìn)行URI級別的精準(zhǔn)防護(hù)，有效減少未知威脅的發(fā)生。

02

事中：持安應(yīng)用層零信任可快速定位威脅發(fā)生位置，基于攻擊者的真實(shí)身份信息阻斷攻擊行為

按照《網(wǎng)絡(luò)安全事件分級指南》，屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告，即安全事件滿足下列條件之一，即需要1小時(shí)之內(nèi)上報(bào)。

《辦法》還規(guī)定，發(fā)生網(wǎng)絡(luò)安全事件時(shí)，運(yùn)營者已采取合理必要的防護(hù)措施，按照本辦法規(guī)定主動報(bào)告，同時(shí)按照預(yù)案有關(guān)程序進(jìn)行處置、盡最大努力降低事件影響，可視情免除或從輕追究運(yùn)營者及有關(guān)責(zé)任人的責(zé)任。

持安科技發(fā)現(xiàn)，傳統(tǒng)的網(wǎng)絡(luò)安全方案在設(shè)計(jì)時(shí)，為了避免對業(yè)務(wù)造成影響，會盡量遠(yuǎn)離業(yè)務(wù)，但這樣做也意味著安全無法及時(shí)感知和防護(hù)業(yè)務(wù)風(fēng)險(xiǎn)。

而基于Google Beyondcorp的應(yīng)用層零信任架構(gòu)，已在超20萬用戶的大型集團(tuán)型企業(yè)全面落地，可以在企業(yè)內(nèi)外網(wǎng)中全面部署，無論訪問者在企業(yè)內(nèi)部，還是遠(yuǎn)程辦公、出差辦公期間，皆可建立基于訪問者真實(shí)業(yè)務(wù)身份的，貫穿企業(yè)網(wǎng)絡(luò)、應(yīng)用、業(yè)務(wù)、數(shù)據(jù)的可信鏈條，只有經(jīng)決策引擎綜合判定可信時(shí)，訪問方可繼續(xù)進(jìn)行。

1. 實(shí)時(shí)監(jiān)測預(yù)警：零信任理念下，每當(dāng)用戶發(fā)起一個(gè)訪問行為，決策引擎都會綜合訪問者的身份、行為、設(shè)備、上下文進(jìn)行實(shí)時(shí)監(jiān)測與驗(yàn)證，且當(dāng)訪問者訪問敏感數(shù)據(jù)，系統(tǒng)會開啟加強(qiáng)認(rèn)證。一旦發(fā)現(xiàn)訪問者有數(shù)據(jù)竊取、數(shù)據(jù)異常下載等異常行為立刻響應(yīng)上報(bào)，并快速定位其身份信息，有助于企業(yè)快速、主動發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和異常行為并快速響應(yīng)，幫助企業(yè)實(shí)現(xiàn)《辦法》提出的“ 及時(shí)啟動應(yīng)急預(yù)案進(jìn)行處置”。

2. 控制橫向移動：零信任對每次訪問都進(jìn)行身份驗(yàn)證和訪問控制，因此即使攻擊者使用多種手段進(jìn)入了企業(yè)內(nèi)部系統(tǒng)，也會因?yàn)楹罄m(xù)的行為不可信而被阻止，無法快速橫向移動，提高攻擊難度，控制威脅影響面。

03

事后：持安應(yīng)用層零信任可全鏈路審計(jì)溯源，精準(zhǔn)記錄“什么人，在什么時(shí)間什么位置，訪問了哪些數(shù)據(jù)”

運(yùn)營者在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，應(yīng)當(dāng)及時(shí)啟動應(yīng)急預(yù)案進(jìn)行處置。按照《網(wǎng)絡(luò)安全事件分級指南》，屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。

報(bào)告內(nèi)容除應(yīng)包含事發(fā)單位名稱及發(fā)生事件的設(shè)施、系統(tǒng)、平臺的基本情況外，還應(yīng)包含 ：?事件發(fā)現(xiàn)或發(fā)生時(shí)間、地點(diǎn)、事件類型、已造成的影響和危害?，已采取的措施及效果等，具體要求如下圖。

《辦法》提到企業(yè)需在事件發(fā)生的24小時(shí)內(nèi)補(bǔ)報(bào)及5個(gè)工作日全面分析總結(jié)。運(yùn)營者未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件的，網(wǎng)信部門按照有關(guān)法律、行政法規(guī)的規(guī)定進(jìn)行處罰。

1. 基于身份的精準(zhǔn)溯源：持安科技的零信任產(chǎn)品提供身份化審計(jì)能力，為訪問者的每一次訪問行為打上身份標(biāo)簽，而不僅僅是記錄其IP地址，有助于分析安全事件的原因和過程，為網(wǎng)絡(luò)安全事件的分析與報(bào)告提供事實(shí)證據(jù)。

2. 深度記錄敏感數(shù)據(jù)流動全過程：對企業(yè)內(nèi)部的數(shù)據(jù)進(jìn)行分類和標(biāo)記，并對其施行實(shí)時(shí)監(jiān)測，精準(zhǔn)記錄“誰”，在什么時(shí)間，什么位置，通過什么設(shè)備，訪問了哪些系統(tǒng)，在系統(tǒng)中敏感數(shù)據(jù)做了哪些操作。一比一還原攻擊路徑，有助于事后的審查與追蹤，以及對安全事件的調(diào)查和應(yīng)對。

持安科技

8年甲方零信任落地經(jīng)驗(yàn)

持安科技團(tuán)隊(duì)成員來自國內(nèi)大型甲方安全團(tuán)隊(duì)，擁有20年甲方安全建設(shè)經(jīng)驗(yàn)，8年甲方零信任實(shí)踐落地經(jīng)驗(yàn)，持安科技的核心產(chǎn)品持安遠(yuǎn)望辦公安全平臺，可以最佳實(shí)踐的方式在企業(yè)內(nèi)外網(wǎng)全面落地，在面對真實(shí)的攻防場景時(shí)，持安零信任產(chǎn)品可以防御0day等未知威脅的發(fā)生，從根源上減少攻擊事件的發(fā)生。一旦發(fā)生威脅事件，持安零信任可第一時(shí)間基于身份對其訪問行為進(jìn)行阻斷與上報(bào)，事后對其攻擊路徑進(jìn)行基于身份的全鏈路的審計(jì)與溯源，幫助企業(yè)實(shí)現(xiàn)《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》的“1小時(shí)上報(bào)”。

持安零信任產(chǎn)品已得到眾多行業(yè)頭部客戶的認(rèn)可。持安零信任產(chǎn)品支持全網(wǎng)、全行業(yè)覆蓋，在互聯(lián)網(wǎng)、金融、能源、科技、高端制造、游戲、新零售等領(lǐng)域落地，產(chǎn)品在某大型互聯(lián)網(wǎng)甲方連續(xù)5年無間斷運(yùn)行，單一客戶接入規(guī)模超20萬，總接入用戶數(shù)超100萬+，接入業(yè)務(wù)系統(tǒng)20000+。