數(shù)字經(jīng)濟時代背景下，互聯(lián)網(wǎng)和經(jīng)濟、社會的發(fā)展愈加融合一體，密不可分。信息化的浪潮奔涌而來，帶來了更加

數(shù)字經(jīng)濟時代背景下，互聯(lián)網(wǎng)和經(jīng)濟、社會的發(fā)展愈加融合一體，密不可分。信息化的浪潮奔涌而來，帶來了更加多元的經(jīng)濟結(jié)構(gòu)和形式，也讓網(wǎng)絡(luò)安全的重要性達到了新的高度。

有數(shù)據(jù)顯示，整個2022年，在全球范圍內(nèi),“Botnet（僵尸網(wǎng)絡(luò)）”和“IAB（初始訪問代理）”成為影響企業(yè)系統(tǒng)和設(shè)備的主要威脅，前者是集合所有受到攻擊并被隱秘控制的機器，對網(wǎng)絡(luò)安全進行威脅的代稱，而后者指代的是從網(wǎng)絡(luò)上竊取信息，然后把相應(yīng)的技術(shù)賣給其他犯罪團伙的犯罪分子。隨著僵尸網(wǎng)絡(luò)和初始訪問代理技術(shù)的不斷成熟，犯罪分子也開始有意結(jié)合勒索軟件一起對企業(yè)一起攻擊，讓整個攻擊更具效率，使得大量企業(yè)蒙受了損失。

(資料圖片僅供參考)

當我們把目光聚焦到具體的行業(yè)上時，會發(fā)現(xiàn)企業(yè)內(nèi)部設(shè)備中，最經(jīng)常受到攻擊的垂直行業(yè)就是制造行業(yè)，其所受到的攻擊數(shù)量已經(jīng)占到了總體受影響企業(yè)的1/3左右，并且遠超排名第二的商業(yè)服務(wù)行業(yè)。同時也從側(cè)面反映出另一個問題，那就是亞太地區(qū)已經(jīng)成為深受網(wǎng)絡(luò)安全困擾的地區(qū)，這是因為亞太地區(qū)已經(jīng)占到了全球制造行業(yè)產(chǎn)出的50%以上，僅中國就占到了全球制造產(chǎn)出的30%，這使得中國也變相成為了黑客攻擊的最大目標之一。

除了制造業(yè)之外，醫(yī)療、教育、能源等行業(yè)也飽受網(wǎng)絡(luò)攻擊的困擾，上述行業(yè)有一個共同點就是頻繁使用到OT運營技術(shù)和IoT，無論是制造行業(yè)中普遍使用的工業(yè)系統(tǒng)，還是醫(yī)院內(nèi)的CT掃描儀等設(shè)備，都面臨著極大的網(wǎng)絡(luò)安全風險，因為很多惡意軟件和勒索軟件都是專門針對這類OT/IoT設(shè)備的，更為嚴峻的事實是IoT的設(shè)備還會持續(xù)增加，據(jù)IDC的預(yù)測，到2024年之前全球?qū)⒉渴?20億次的IoT的設(shè)備。

Akamai 亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān)Reuben Koh

“之所以O(shè)T和IoT系統(tǒng)網(wǎng)絡(luò)遇到如此大的挑戰(zhàn)就在于現(xiàn)行的一些網(wǎng)絡(luò)安全防護策略不足以發(fā)現(xiàn)并且保護這些受到影響的設(shè)備，很多這類系統(tǒng)都是非常老舊的系統(tǒng)，并沒有更新軟件系統(tǒng)，另外還有一種原因是系統(tǒng)是由企業(yè)內(nèi)部開發(fā)的，并沒有用具有行業(yè)背景或者行業(yè)標準的軟件去保護它們，為此，要在這些系統(tǒng)上面安裝一些安全的軟件比如安全代理就變得不可能了。”Akamai 亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān)Reuben Koh在接受采訪時表示。

那么，有沒有什么方法能夠解決頻發(fā)的OT/IoT設(shè)備安全問題，為企業(yè)保駕護航呢？

在造船工業(yè)中，往往會為船體設(shè)計多個互不相通的防水艙來實現(xiàn)隔離，以避免船體破損或者遇到洪水的意外狀況，在IT領(lǐng)域，同樣也有著類似的解決方案，那就是微分段技術(shù)。

作為負責支持和保護網(wǎng)絡(luò)生活的云服務(wù)提供商，Akamai也很早就觀察到了微分段技術(shù)的重要性，并在此基礎(chǔ)上構(gòu)建了零信任Zero Trust模型，以Akamai Agentless Segmentation、Akamai Hunt安全服務(wù)等多種解決方案來賦能客戶實現(xiàn)零信任的最終目標。

眾所周知，作為企業(yè)現(xiàn)如今數(shù)字化轉(zhuǎn)型的首選戰(zhàn)略，零信任的核心在于任何用戶或者應(yīng)用都不會自動受到信任，只有得到授權(quán)的用戶和應(yīng)用才能夠?qū)崿F(xiàn)良好的溝通。而且企業(yè)應(yīng)當保證即使是授權(quán)的一些用戶和應(yīng)用，也要持續(xù)的監(jiān)測，防止任何可疑的行動。

不過理想雖然豐滿，現(xiàn)實也足夠骨感。很多企業(yè)對于零信任的實施情況實際上不太樂觀，Reuben Koh認為主要原因包括以下幾個方面：

首先，很多企業(yè)都誤認為零信任是一個產(chǎn)品，認為好像有了這個產(chǎn)品或者有了那個產(chǎn)品之后就能夠?qū)崿F(xiàn)零信任，其實這是錯誤的，零信任是一個策略。

其次，多數(shù)企業(yè)在實踐零信任時候遇到的一個最大挑戰(zhàn)，就在于很多企業(yè)不理解應(yīng)該如何正確的施行零信任。因為對于零信任來說有一些底層原則：例如最小權(quán)限訪問，假設(shè)企業(yè)已經(jīng)受到安全侵犯，要持續(xù)對一些可疑行為進行監(jiān)測。而且很多企業(yè)都對零信任有誤解，認為在非常短的時間內(nèi)可以一蹴而就做很多的事情，但實際上零信任是滲透在組織的方方面面的，并不是改革某項技術(shù)就能夠?qū)崿F(xiàn)全局零信任。很多公司都試圖改變某個安全技術(shù)然后實施零信任，反而造成了很多問題。

最后，零信任在部署方面的挑戰(zhàn)并非來源技術(shù)本身，而是來源于整個組織架構(gòu)。換句話說，這個組織過去可能因為組織架構(gòu)太過于臃腫而造成問題，太多的服務(wù)和技術(shù)都是在自己的網(wǎng)絡(luò)或者云端的。為此，企業(yè)要想實現(xiàn)零信任就必須實現(xiàn)跨部門或者跨團隊的溝通，這就造成了很多問題。

為此，Akamai提出了以下建議：

第一，在整個零信任項目團隊當中，負責人一定是要來自于企業(yè)高管而非IT團隊或安全團隊的負責人，這樣才可能實現(xiàn)全局的零信任部署。

第二，企業(yè)在部署零信任之前，最好能夠借用行業(yè)的一些指南來對整體零信任成熟度進行衡量。比如：在特定領(lǐng)域上，從用戶、數(shù)據(jù)、設(shè)備、云端等等方方面面進行成熟度的衡量。

第三，企業(yè)在部署零信任時最好能夠跟一些專業(yè)的技術(shù)解決方案提供商共同合作，借用他們的技術(shù)或者手段在組織內(nèi)部實現(xiàn)一種跨部門、跨團隊的協(xié)作。在同樣的平臺之上，共同解決大方向?qū)用娴膯栴}，以實現(xiàn)成功的全局零信任。

回到Akamai所構(gòu)建的全套基于Zero Trust解決方案和技術(shù)上來，上文中提到的微分段技術(shù)的核心便是將風險隔離起來，避免其影響到其他的“分段”，通過“分段”可以組織攻擊者從系統(tǒng)躍遷到下一個系統(tǒng)，以阻止惡意軟件/勒索軟件的擴散，并能夠部署更多的Zero Trust，因此“分段”的一個主要職責就是快速減少安全事件影響，防止其進一步擴散。

由于OT/IoT設(shè)備在部署之時并未考慮一致性監(jiān)測的問題，因此為零信任增添了難度，而“無代理分段”則能解決這一問題。具體來說，所謂“無代理分段”就是在網(wǎng)絡(luò)盲區(qū)的地方通過持續(xù)的對系統(tǒng)和設(shè)備監(jiān)測來實現(xiàn)對于傳統(tǒng)安全代理無法進入的地方實施一種持續(xù)的監(jiān)測。因此可以使得企業(yè)能夠通過統(tǒng)一的界面對所有的系統(tǒng)活動和設(shè)備進行持續(xù)性監(jiān)測，而不需要用戶打開多個專門視圖來進行這些事件的追蹤。此外企業(yè)還能通過這種無代理的方式來識別設(shè)備，實現(xiàn)通過一種集成的設(shè)備指紋來識別超過5萬個獨特的設(shè)備，并通過訪問控制來集成企業(yè)的網(wǎng)絡(luò)設(shè)備以執(zhí)行分段策略。

除了無代理分段之外，Akamai所構(gòu)建的零信任模型中還有一個相當重要的解決方案，那就是Akamai Hunt安全服務(wù)。事實上Akamai Hunt安全服務(wù)是基于Akamai分段服務(wù)之外的附加值服務(wù)，Akamai會有專門的專家團隊代替客戶實現(xiàn)對持續(xù)的安全事件和漏洞的搜尋。該服務(wù)的主要目的就是發(fā)現(xiàn)潛藏在客戶網(wǎng)絡(luò)當中的安全隱患，并挖掘出其他安全工具無法捕捉、無法發(fā)現(xiàn)的一些潛在安全網(wǎng)絡(luò)攻擊?？傮w來說，Akamai Hunt安全服務(wù)不但能夠?qū)崟r為客戶提供警報服務(wù)，同時還能給客戶相應(yīng)的建議來抵御相應(yīng)的安全風險。更重要的是Akamai Hunt并非單獨的產(chǎn)品而是安全服務(wù)，因此企業(yè)無需額外安裝任何配置。

Akamai Hunt安全服務(wù)的優(yōu)勢不止如此，憑借Akamai在全球分布廣泛的CDN網(wǎng)絡(luò)，Akamai Hunt安全服務(wù)還可以收集、匯集和整理各類安全威脅數(shù)據(jù)，例如每日高達700TB的攻擊數(shù)據(jù)，以及包括每日高達7萬億次DNS請求。與此同時，Akamai會將自己的內(nèi)部安全監(jiān)測跟第三方監(jiān)測集成起來保證實時監(jiān)測。用這些數(shù)據(jù)對最終監(jiān)測引擎進行微調(diào)，與此同時也會依賴于人員的情報及智力來進行調(diào)整。用這樣的一種方法，Akamai Hunt安全服務(wù)就能夠以極高的精準度尋找并發(fā)現(xiàn)威脅，與此同時降低誤報的可能性。

不難看出，Akamai Hunt安全服務(wù)、Akamai Agentless Segmentation等云安全服務(wù)解決方案的推出，將進一步簡化企業(yè)客戶落地零信任安全策略的難度與操作路徑，那么，在服務(wù)中國客戶出海所面臨的安全威脅時，Akamai又能給予什么樣的幫助呢？

在回答這個問題之前，首先要厘清Akamai在服務(wù)中國出海方面的戰(zhàn)略和思路，自2008年前后進入中國以后，Akamai就一直在幫助中國企業(yè)做出海方面的CDN技術(shù)支持，現(xiàn)如今，由“云分發(fā)、云安全”和“云計算”為核心的平臺構(gòu)成了Akamai的全球基礎(chǔ)設(shè)施：Akamai Connected Cloud。同時這個平臺也反映出了Akamai服務(wù)中國企業(yè)出海的三個階段。

第一個階段是云分發(fā)。該階段主要幫助企業(yè)出海的時候獲得全球一致的用戶體驗。第二個階段是云安全，為中國企業(yè)出海提供安全可靠、合規(guī)合法的技術(shù)保障，為企業(yè)在全球各地當?shù)亻_展業(yè)務(wù)保駕護航。第三個階段則是云計算，幫助客戶解決一站式云安全性能和計算資源基礎(chǔ)設(shè)施平臺。

“Akamai已經(jīng)致力于幫助中國企業(yè)出海超過15年的時間。截止目前，有超過50%的Top30中國企業(yè)出海品牌都是和Akamai有合作關(guān)系?！盇kamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理馬俊總結(jié)道。

Akamai大中華區(qū)企業(yè)事業(yè)部高級售前技術(shù)經(jīng)理馬俊

而在Akamai服務(wù)中國企業(yè)的這些年里，也通過自身的平臺數(shù)據(jù)將中國企業(yè)出海可能遇到的安全威脅分為了Web與API攻擊、DDoS與基礎(chǔ)設(shè)施攻擊、惡意僵尸網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)釣魚攻擊和惡意軟件攻擊五種，并為之提供了相應(yīng)的解決方案，進而為客戶提供一攬子防護和綜合的安全解決方案。

值得一提的是，目前Akamai有超過3000名工程師的專業(yè)服務(wù)團隊，可以為用戶提供專業(yè)的“專家視角”，同時為用戶提供了完整的可視化視角，使得用戶或者Akamai的服務(wù)團隊第一時間掌握信息的、精確的信息，并且為決策提供依據(jù)。

隨著企業(yè)愈發(fā)擁抱數(shù)字化轉(zhuǎn)型和生產(chǎn)力的不斷發(fā)展，網(wǎng)絡(luò)攻擊的下一個戰(zhàn)場極有可能成為現(xiàn)實世界中的邊緣設(shè)備，諸如勒索攻擊、DDoS攻擊等行為會對業(yè)務(wù)連續(xù)性和品牌信任構(gòu)成威脅，為了阻止這樣的事情發(fā)生，企業(yè)必須通過零信任框架和微分段技術(shù)保護其網(wǎng)絡(luò)和設(shè)備，而Akamai的解決方案則是消除現(xiàn)有潛在風險、加固IT全域安全，是企業(yè)提升應(yīng)對高級威脅的敏捷度與智能化水平的不二之選。

關(guān)鍵詞：