由拼夕夕事件引起我对"零信任"这一策略的思考

# 首先分析一下"PDD员工发帖溯源联想到的相关技术与实现"
按照各家现在公布的信息来看,PDD查到该员工能用的方式只有两种比较靠谱(从理论跟证据上都站得住脚
### 第一种可能性是"技术+设备"(也就是下面要说的零信任概念,一般构成为"上网行为管理"
### 第二种可能性是 纯粹的社工行为
## 一、纯技术分析
网上其实很说查监控摄像头，缩小检查范围等，其实真不用那么麻烦。因为早在2009年我就接触过一种国内特色设备：上网行为管理。
目前根据网上公开的信息，某APP也说保护用户信息，但是要看具体用户信息泄露的来源是来自用户自身网络、还是某APP这一侧。
因为我个人直觉PDD这样体量的公司不可能没有上网行为管理这种考量。我个人思考大概率用户信息泄露来自终端用户公司内网络。
### 1.1 什么是上网行为管理
有兴趣可以百度，我这边简单说下
上网行为管理主要功能：
> A:用网络内用户发帖内容审计 如邮箱、QQ、微信、APP 信息等 （有些特定加密信息SSL需要装插件 客户端限制可设置有插件客户才能上网）
> B:对一些特定应用进行网络限制 如跟工作无关应用如：视频网站、游戏、迅雷、QQ等可以做到精准限制流量和完全限制访问等。
> C:禁止访问特定域名或IP，也可以根据非特定时间开放访问。
综上所述：
> 1、应用层精准流量控制或禁止访问。
> 2、用户日志审计功能。
> 3、包括移动端。
## 二、可实现的产品
目前主流安全厂家都有商用上网行为管理，但技术成熟度而言，国内上网行为管理相对好有两家、深信服、奇安信（以前叫网康科技，现在被收购归并到奇安信ICG产品中）。有兴趣也可以找厂家咨询 白**下用户手册和产品功能。
然后白**党和大熊就要问了：有没有开源免费来让我感受一下？
嗯有的，将上网行为管理开源部署到小公司成本你只需要某宝购买一个软路由硬件+装上上网行为管理系统即可。（一般不超过600 也有经典D525 系千兆软路由可供练手）
如果只是虚拟机VM玩玩 则不需要硬件成本。
### 2.1开源或免费上网行为管理系统推荐
#### WFilter-NGF  50客户端以下免费
十年以上的老产品了（有中文版），本土研发，走国际路线，国内市场推广能力不强，用户大部分在国外。专门研究网络监控和协议分析。专注上网行为管理功能，在Web过滤和协议过滤等上网行为管理的方面做的很扎实。缺点是没有网关杀毒和主动防御功能。
#### 爱快路由系统
本土产品，软件全免费，靠卖硬件挣钱。免费版本各种坊间传闻都有，就不一一表了。基本的路由功能都有，不过上网行为管理做的比较鸡肋。爱快的系统个人认为比较偏向做局域网无线部署方案。企业管理这块不怎么来事。但是好在系统是免费的，这个比较受欢迎。
## 三、如何绕过或不受上网行为管理监控。
这边提供两个思路。
A：移动端使用自身流量 或用自己热点上网
这个是最容易的基本有意识就可以。 但是还有一些更严格的地方自建热点一定范围内也会告警。（比较极端地方）。
B：采用上网行为管理不识别的方式进行上网  则可立即绕过
简单说就是全局加密梯.子之类的东西， 只要网络访问出你自己网卡时候进行了加密，设备无法做识别，上网行为管理也就无法对你进行限制。记录可能有但是不知道你访问了什么。
## 四、社会工程学-话术实现
社会工程学应用有一批隐藏的高手，那就是看似平时无害的HR们，经常会用各种话术套路你，比如调薪，调岗，优化等。
### 4.1 一看就是老社工
PDD被开的这个员工还是太年轻，被HR一诈就承认了。其实只要咬死不是自己发的就行了，就算有上网行为管理证据也没人证明那时候是不是你用手机或者被黑客植入木马啥的。
毕竟HR也没法证明这条帖子就是你发的.社会经验太少，经不起盘问大师盘问，被这种老油条HR敲诈几句就自己招了一切。 确定不是太美搞得自己老脸一红？就招了？
PDD这个被开除员工从被约谈到离职30分钟的时间，所以可以肯定HR是通过监控视频和员工里的线人定位到了一批人，然后挨个会对这批人进行约谈。你以为他知道是谁发的吗？他也不知道，他需要通过约谈诈出来发帖的那个人，核心话术：我们已经发现XX上的帖子是你发的了。
当然你在用什么APP 做了什么坏事 你周围同事也可能知道 说句实在话，大家需要提防身边的同事，是某些体量比较大的公司，勾心斗角也很常见。HR是布了很多线人的，你的同事很有可能为了一丁点小利益就出卖你。
结合上面行为管理的数据+个人承认 基本铁证如山。
防人之心不可无，害人之心不可有。
我走过最长的路 就是HR套路相信这点很多人面试或工作中都有这样的感觉。
还有很多套路就不这一一描述了。
综上 以后要在网上发表对公司不利消息时 最好采用4G或虚拟机套代理的方式,以免留下电子证据
# 什么是零信任
以前提到网络安全人们立马想到的会是“扶墙”、“防火墙”和“WAF”等等；但是现在随着5G、物联网时代的到来，企业不断被迫重新构建新的安全边界，“零信任”已经成为近两年来网络安全的最新流行语之一。
既然是新的安全边界,那么便意味着需要对传统的模型进行颠覆或改造。
传统模型假设：组织网络内的所有设备或人员都应受到信任。事实上，一旦进入网络，用户（包括威胁行为者和恶意内部人员）可以自由地横向移动、访问甚至泄露他们权限之外的任何数据。这显然是个很大的漏洞。
零信任网络访问(Zero-Trust Network Access，以下称ZTNA)则认为：不能信任出入网络的任何内容。应创建一种以数据为中心的全新边界，通过强身份验证技术保护数据。
## **ZTNA定义与模型**
> **Gartner：**
> ZTNA 也称为软件定义边界(SDP)，它在一个或一组企业应用程序周围创建基于身份和环境的逻辑访问边界。企业应用程序被隐藏，访问这些企业应用程序的实体必须经过信任代理。在允许访问之前，代理网关先验证指定访问者的身份，环境和是否遵守访问策略。这将企业应用程序从公众的视线中移除，并大大减少了攻击面。
> **Forrester**
> “企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接 入企业系统的人/事/物进行验证。” ——Forrester首席分析师John Kindervag
业界的ZTNA产品主要有两种概念模型：由客户端启动的ZTNA和服务器启动的ZTNA。
### **客户端启动的ZTNA**
规范流程：
1.安装在授权设备上的客户端将有关其安全环境的信息发送到控制器。
2.控制器提示用户进行身份验证，并返回允许的应用程序列表。
3.在对用户和设备进行身份验证之后，控制器才允许终端连接至安全网关。（这些网关可以避免服务器直接面向互联网，并保护应用程序免受DDoS攻击。）
### **服务器启动的ZTNA**
SDP连接器与应用安装在同一网络中，由SDP连接器建立并维护一条出站连接，它直接连接到SDP供应商的云。
用户向SDP供应商进行身份验证后才能访问受保护的应用程序。之后，供应商通常会向企业身份管理产品进行身份验证。SDP供应商把通过SDP代理访问与直接访问的应用数据流隔离开来。企业防火墙无需为入站流量开设通道。但是，供应商的网络成为另一个必须评估的网络安全性的要素。
该模型的优势：最终用户的设备上不需要安装客户端，这对非受管控设备是一个很有吸引力的方法。
缺点：应用程序的协议必须基于HTTP / HTTPS，仅限于Web应用程序和部分协议的访问方式。
不管是哪一种方式，势必都会对用户的流量进行分类整理来实践精准定位与追责。这个模式原意是为了帮助企业应对越发高级的网络攻击方式，但事实证明用在某些场合效果也很不错
参考:https://www.sangfor.com.cn/info-center/case-center