一、为什么做持续安全风险评估与动态访问控制

二、实现方案思路

三、详细实现方案

原创 网络个人修炼

一、为什么要持续进行安全风险评估和动态的访问控制

访问控制是比较常见的安全隔离技术，我们这里主要讲网络访问的访问控制，其他文件存储读取访问等其他访问也是类似。

传统访问接入技术，接入成功以后得到固定网络权限，不需要进一步安全检查可以一直获得该网段服务资源的访问权限。具体例子如下。

传统的vpn接入和内网准入接入之后的风险：

VPN在身份认证之后，获得一个基于内网的实例IP地址，内网IP地址也意味着获取了内网某个已经划分好的网络端对应的网络访问策略权限，一旦身份认证之后就可以访问内部一个段的权限，当然现在也有一些vpn做了细分的目标元访问控制，但是依然存在风险，现在的终端外网的日常使用，总会遇到身份盗用、设备丢失、钓鱼、社工等被投递恶意代码之类，恶意代码或者伪造合法接入的终端，可以借助已经建立的vpn通道对内部网段内的服务系统进行扫描，恶意流量木马投递持续，活着进一步窃取内部数据或着破坏内部系统。

VPN认证接入后，特别是设备是个人在公网的情况下面，存在的风险需要持续的安全监测和保护，否则存在被作为入侵关键的入口。身份认证和安全检查之后，建立授信的连接，复用这个访问权限，提供终端所有的访问服务，终端被入侵后，VPN一般是虚拟IP得到一个内网的网段权限，作为入侵跳板和内网通道。这里存在的风险：包括带有软件（如后门的应用）、不安全的设备（如被植入木马等）、不安全的访问行为（非权限内的异常扫描、访问流量异常等）、异常的数据泄漏行为（内网系统数据下载后各种泄漏行为等）。在接入网络之后设备的安全、行为上面的异常、恶意代码的检测防护等都变成必要的，否则无法在保护设备处于安全的状态，避免借助设备或者网络入侵企业内部网络。

物理网络准入风险：

同样风险的类似场景，如传统的内网物理网络准入、传统内网设备入网络，进行对应的身份验证和基础的设备基础安全合规检查，检查通过则让对应的设备进入对应的内网，分配到一个vlan下面，企业内网因为比较大所以一般划分的网络防火墙策略不会太细致否则无法维护，一个设备认证准入之后就具备一定的内网网段的访问权限，常见如同个vlan下面的服务器或者办公网网络。这种设备进入网络之后，容易被利用，如邮件IM钓鱼、人工U盘投递、社工伪造身份进入、准入WIFI系统突破等，在现在的黑客技术环境几乎防无可防，一旦一个端被进入植入恶意代码，内网大量资源这个设备都可以被访问到，很方便作为跳板入侵到企业的网络，访问到企业各种关键设施和资源。假定的一次认证检查提供网络访问权限，并且是粗放式一次授权长时间可用这种方式存在巨大的风险，所以有了持续风险监测对关键设备、系统、身份、应用等的访问过程关键的对象或者行为风险进行持续的检测变得很重要。

风险业务场景小结：

用户访问服务的业务场景，不管是远程接入访问系统办公、还是内网准入办公，持续风险的评估并能够响应动态访问控制是必须要的。

风险分析评估的目标在于发现存在数据窃密、生产破坏的可能的行为，然后进行及时的权限调整如阻断等，核心围绕保护企业资产、保护企业运作的连续性。

从访问过程里面的关键对象，存在关键风险的因素有很多，有身份、设备、操作系统、应用程序、网络、访问行为等。

【图】 用户访问风险实例

二、 方案思路

方案思路如图所示：

【图】风险评估响应控制方案思路

建立动态的访问控制框架，包含实时的条件属性判断部分，和异步的风险分析评估部分，覆盖整个访问生命周期。

当访问建立的时候，当前行业粒度可以做到每一次访问建立进行对应的条件属性风险评估，图例举例的都是一些常见的分析场景，包含用户身份组是否符合对应服务资源访问权限是否有调整、来源网络位置是否符合策略规则条件、是否符合访问的时间范围规则、是否符合设备安全基线状态策略的需求、当前其他访问的风险状态（等级或者分数）。如果符合则授权访问、如果不符合规则则阻断或者其他存在风险不大的降权访问低敏感资源或者经过身份挑战后授权访问对应的资源，特别有些业务场景比较特殊，一定时间访问就要一次身份挑战，避免敏感数据被访问。

常见业务场景如下：

访问敏感业务需要二次认证
不同网络区域不同组织体系结构的人，访问敏感资源不同
用户网络环境变化，需要强制二次身份挑战才给访问
用户终端设备安全基线变化不满足要求，阻断访问
……

访问过程中，通过持续的风险分析模块，对关键的身份、设备、应用程序、网络流量、用户行为等进行分析并提供对应的风险等级，必要的等级需要自动化触发访问控制，如发现异常大流量下载行为，可以快速阻断访问和告警，相关的响应动作可以做一些自动化配置。

由于零信任网络接入的这套框架自身就具备大量的终端设备信息和控制能力、具备所有的身份认证和网络访问信息、资源敏感度、访问规则信息等信息所以系统自身可以做一些行为分析，通过获取客户端设备、网关、管理访问规则策略等信息进行分析。

用户行为风险：恶意企图的用户、容易被渗透被利用的易感用户，数据泄漏行为、身份和特权用户访问。常见用例举例，如暴⼒登录、异地登录、⼤流量下载、⼤流量上传、⾮⼯作时间登录、访问违规⽹站/⿊名单url、访问未经授权的站点、访问被拒后仍多次尝试，外接设备拷贝数据、使用云盘类IM类软件外发数据等。

设备应用风险：被当入侵渗透跳板设备，被注入，外接设备，面临的木马病毒和高级持续性威胁。网络风险：恶流量附件钓鱼、收割站点等，其他就不一一列举。

其次用户可能有一些风险分析检测的设备或者基础设施，如用户的ueba、soc、iam risk、设备安全病毒防护、入侵检测的edr、ids等设备，对应的风险信息也可以弄进来分析。实现需要靠对应的接口联动设计，关注风险检测和访问过程关键对象的关系，以便更好地评估和处置。

其次，分析方案需求如下：

实时请求授权判断：能够进行条件的还有安全状态的快速检查和规则判断，并做对应的授权控制，支持实时返回。
访问过程关键对象的风险分析，并做作对应的动态访问权限调整，，这需要安全评估评估所有异常准实时的安全风险分析，并快速作用到动态访问控制引擎，做对应的新建或者已经建立的访问进行降权阻断之类的处置。
联动第三方检测系统，获取已经存在的风险分析类系统的结果，风险处置有些提交给第三方系统，联动第三方系统进行响应动作等。

三、 实现详细方案：

【图】风险评估响应详细方案

实时的动态访问控制引擎，支持访问建立或者请求授权的时候，快速计算规则条件如时间、组织体系结构、网络位置、资源敏感度等之类的组合规则，加上已经算法的各类风险特征状态如身份风险、设备分享已经缓存到的最新的检测结果，综合快速计算是否提供终端授权，并做对应的授权或者其他响应。

至于风险评估分析检测分两部分，一部分是实时接口提供实时简单规则的检测，解决类似登录异常、简单统计判断就可以分析到异常，可以考虑使用基于属性规则判断的引擎，一部分是维度丰富的异步分析检测能力，一些上下文关系比较多的规则，基于基线判断、基于模型分析的规则，如登录行为异常、访问系统行为异常之类的，考虑使用流式规则检测和批处理分析引擎。

实践经验点：因为计算判断性能问题，选用合适的属性条件计算引擎，减少复杂计算，策略分析引擎注意Cache，在设定周期内重复访问条件支持通过上一次计算结果cache，减少计算消耗，时间周期自己按照实际需求做控制。其次，所有计算条件注意保存判断逻辑流水审计日志，便于用户报障进行问题分析回溯。

基于属性规则检测的检测引擎可以开源搜索，非常多，不同语言框架类型。然后基于流式规则和模型检测的，如flink、spark都可参考使用，支持流方式和批处理任务分析，支持机器学习各类检测库，生态都比较丰富按需选择。当然我这里只是提供经验分享，上面这个是比较常见和成熟了，也可以使用其他系统设计和实现方式。

风险响应处理部分，主要是在检测到风险之后，可以快速更新一些关键属性的特征，提供给实时引擎做判断控制，其次可以进行告警、阻断、权限调整、身份挑战、输出给第三方响应保护处理等能力，可以根据需要做一些自身系统可以闭环的能力，上面的处置基本在零信任网络接入的系统框架内部就可以闭环实现，比如阻断或者身份挑战可以直接作用到agent或者网关，权限调整可以快速同步给实时动态访问控制引擎。这也是这套系统价值所在，避免传统的割裂还有一些简单的风险系统自身就可以提供一些自动化的配置完善。当然如果要对接很多第三方那么更好的soar之类的自动化编排系统可以考虑，这里就不做详细解说了。

关于第三方日志输入、风险处置的行为输出就不在这里详细讲，在扩展体系结构里面介绍。

​