【技术分享】内网账户安全实践

Google提出了BeyondCorp，这个项目有几个本质上的改变，一是完全摒弃了原有基于网络的信任模型。二是采用了零信任，也即是采用端到端的全链路验证。因此，Google现在可以把内网的边界全部撤掉，因为他有足够的安全感知能力。下图是Google的验证方法：

看完Google的方法，我就一直在思考，有哪些可借鉴，并且可操作的方法。经过一段时间的调研和实践，我们在内网上实践了自己的方法。

先说说我们现状，公司内网有大量应用，访问控制上的手段是网络边界、SSO账号密码和短信验证码认证。现行的规则比较简单，如果是内网访问，则只需要账号密码即可。如果远程访问，则需要短信验证码。这些年也发生了不少安全问题，包括员工账号被撞库、钓鱼、木马，甚至内外勾结把密码给到别人的情况。因此，对员工账号的安全管理，也到了一个需要改革的阶段了。

先举例说几个当前阶段的问题：

1、木马

员工被邮件钓鱼，且被种下木马，木马对内部系统发起暴力口令破解，引起部分系统异常。由于是内部系统，并未对异常登录进行锁定或验证码。而且，由于发起攻击的是内部IP，属于可信范围，也不做短信验证。

2、访客

在办公场所里有很多外部用户，比如客户、外包、面试人员等访客。访客使用的是一个guest网络，但由于某些时候工作需要，会有一些安全意识差的员工，给这些访客一个内部网络的账号，或者直接接入有线网络。当然这可以通过准入来解决，但由于业务原因，我们的办公点分布在全国有几百个，有的小办公点根本谈不上准入。因此就发生了访客利用办公网络发起对内部应用的攻击。同样由于是内部IP，也是可信范围内。

3、远程办公

这倒不是一个风险，而是一个体验上的问题。员工在家远程办公，长期使用同一物理位置、同一台电脑和晚上周末加班时间。但由于规则限制，员工必须使用短信验证码来登陆，表面来看似乎提高了安全性，但实际上是属于体验的一种损害。更关键的是，增加了系统威胁检测的噪音，每天收到大量的安全报警，真正的威胁就会被淹没。

因此，我们决定扔掉这些过时的静态规则方法，使用更智能的办法来进行员工账户管理，这个方案要对用户少打扰或免打扰，能够优化用户的体验，且对安全有更好的保障能力。Google的方法里有一些我们可借鉴的地方，也有一些对我们来说不现实的地方。

所以整个方案大概的意思，我们使用机器学习来评估每次登陆的风险，对高风险进行二次挑战。如何评估登陆风险呢，使用了4个维度：网络、位置、设备、时间，这些是我们最容易拿到的数据。通过这些数据学习用户的典型行为，离散度越大则风险评分越高。简单的例子来说，如果IP判定来自于信任度低的IP（比如匿名代理或云服务器），则风险就高，再比如IP来自该用户从未出现过的城市，也风险偏高。因此，是一个简单机器学习的风险评分机制。

和以前相比，这个方案会随着学习时间更加智能化，能够解决钓鱼攻击、访客攻击、移动设备被盗、黑客、僵尸木马、账户被盗，且优化用户体验。

因此这个方案上，针对各类风险的评分大致情况如下：

例如之前的木马攻击，在员工电脑上种下木马，反复尝试应用访问。假设木马在工作时间、工作地点攻击，因此在时间和位置上不会处触发检测。但木马使用了一个隐藏的浏览器，且浏览器分辨率是300*200，这是典型的小窗口性质的木马，因此触发规则。另外，由于木马启动后，行为和正常用户的偏离过大，因此也触发了这一规则。这时候则评分过低，推出双因素认证挑战，木马无法提交，因此攻击被阻止，并引发系统报警。

其实这也是一个零信任的概念，即使你在防火墙内的IP，也会被检查。

访客获得内部WIFI密码，然后尝试使用员工账号访问应用。这时的判断是，有一台新的设备进入，需要对其进行双因素验证。而在这个环节上，不需要判断用户行为的基线偏离，因为还没通过验证。

由于远程办公的网络信誉、地理位置、设备指纹等相关验证要素评分正常，因此直接允许，无需短信验证。

对于其他风险，则在各维度上均有指标判断：

因此我们搞了一个工作台，用于提供风险评分的判断，但这个工作台只有管理员可以看到。

参考文档：

跟着Google学基础架构安全 http://mp.weixin.qq.com/s/TP3NAwnaBiODtJK1r_hHbw

【本文由入驻安全脉搏的唯品会SRC发布，原创作者：mcvoodoo】