最近,一场针对某虚拟专用网络V/P/N的全球性扫描狂潮悄然来袭。从2025年11月14日起,针对该V/P/N门户的恶意扫描在24小时内狂飙40倍。
按照“大规模扫描先行,攻击随后而至”的网络安全铁律,再结合近两年Ivanti、Fortinet、Cisco等多家厂商的V/P/N被黑客攻陷的过程,这一波扫描狂潮顿时让这家安全大厂的V/P/N用户胆战心惊——黑客大概率是掌握了某个0day漏洞,开始筛选易受攻击的目标,准备搞一波大新闻。
面对黑客的“踩盘子”,反应快的企业一波三连,封IP、切流量、做加固……然后,就开始等着看是官方安全补丁和黑客攻击哪个先来临。
但就算这波扫描最终偃旗息鼓,也不代表企业就能松一口气。俗话说得好,不怕贼偷,就怕贼惦记。只要企业还用V/P/N远程办公,只要V/P/N的IP和端口还暴露在公网上,针对V/P/N的恶意扫描和攻击就永远不会停息。
由于信任,所以脆弱
V/P/N诞生于1996年,其目的是扩展可信网络范围。用户只要通过了身份认证,就会被视为“可信用户”,通过在互联网上建立的加密隧道,远程访问企业内网的业务资源。
随着企业IT架构、业务环境的飞速演进,针对“内网-外网”二元网络架构开发的V/P/N,暴露出了两个无法修补的架构级BUG:
1.大门敞开,谁都能敲:V/P/N网关必须向互联网开放IP和端口。黑客只要扫描到了IP、端口信息,就能确定攻击入口,进而利用暴力破解或漏洞进行攻击、渗透。
2.进门就是“自己人”:V/P/N普遍存在“过度信任”和静态授权的问题。一旦黑客(或外包人员账号被盗)通过了边界认证,就能在内网长驱直入,随意横移。
除此之外,V/P/N还存在身份认证强度不足、终端安全能力不强、用户行为管控不力等问题。尽管厂商们不断给V/P/N打补丁、加功能,拼命给V/P/N“续命”,但只要架构级BUG还在,V/P/N仍旧是黑暗森林里通明的“篝火”,是个黑客就想朝它开一枪。
芯盾时代SDP,让企业“网络隐身”
与V/P/N相比,零信任默认不信任企业网络内外的任何人、设备和系统。“先认证、后连接”的连接机制,确保了IP和端口不响应任何未经验证的访问请求。“持续验证”的访问控制机制,确保每一次访问都不会被“过度信任”。
芯盾时代以零信任理念为指引,以软件定义边界为架构,以自主研发的核心技术为支撑,打造了零信任安全网关(SDP),采用All in One设计,能够从网络、设备、身份、权限、数据五个维度,为企业一站式建立零信任网络访问系统,对每一次业务访问实施全程的、动态的、细粒度的访问控制,是企业替换V/P/N的理想选择。
与V/P/N相比,芯盾时代SDP具备以下优势:
1.网络隐身:让黑客“找不到”目标
芯盾时代SDP采用了网络隐身、加密传输、网络隔离三大技术,能够帮助企业收敛资源暴露面,防范恶意扫描、DDoS攻击,避免“逢攻防演练,先关V/P/N”的尴尬。
网络隐身:采用应用代理和SPA单包授权技术,由网关统一代理业务应用访问流量,同时对所有连接网关的设备进行预认证,不通过认证不开放端口,实现业务应用和网关双重“隐身”,无法被黑客扫描。
加密传输:通过认证后,在客户端与网关之间建立加密隧道,保证数据通过互联网安全传输。
网络隔离:在用户访问内网时,禁止其终端设备访问互联网,避免终端设备成为黑客进入内网的“跳板”。
2.终端安全:杜绝设备“带病入网”
芯盾时代SDP整合了自主研发的终端安全技术,只需一个客户端,就能实现终端身份校验、终端环境检测、员工行为管控等功能,打造安全的远程办公操作环境。
终端身份校验:凭借设备指纹技术,精准标识设备身份,帮助企业高效识别非常用设备登录等风险行为,还能在攻防演练中对入网设备进行审批,禁止不可信设备接入系统。
终端环境检测:借助终端威胁态势感知技术,自动核查终端设备安全基线,杜绝设备“带病入网”。在访问过程中,持续检测终端安全态势、用户的操作行为,为安全控制中心提供终端侧的风险信息。
3.多因素认证:把好入门“第一关”
芯盾时代在IAM市场占有率稳居前三,技术能力行业领先,芯盾时代SDP由此具备了强大的身份安全能力。
全局多因素认证:借助客户端App,企业能够一站式实现全局多因素认证(MFA),消除弱密码、密码重复使用带来的安全隐患,还能够针对特定用户、应用、设备、IP,实施自适应增强认证,兼顾网络安全与用户体验。
一次认证,全网通行:全面支持各种身份认证协议,兼容钉钉、微信、飞书等认证源,能够与企业原有身份管理系统无缝融合。借助单点登录功能和统一应用门户,为员工提供更优的登录体验,实现“一次认证、全网通行”。
4.最小化授权:切断内网横移路径
为落实“最小化授权”原则,芯盾时代首创零信任切面安全能力,能够无改造地为业务系统注入安全能力,将权限管理能力细化至URL级,帮助企业全面提升访问控制能力。
精细化权限管理:芯盾时代SDP支持多种权限管理模型,企业能够针对内部员工与外部员工、各个部门与临时项目组的不同角色,授予不同的访问权限,实现对访问权限的差异化、精细化管理。
动态访问控制:在访问控制上,提供多种风险策略模型,企业能够根据自身需求灵活定义模型,综合设备、IP、时间、行为、账号、位置等维度的风险信息,对每一次访问实施动态访问控制,实现“安全访问全程无感,不确定访问强化认证,不安全访问直接拒绝”。
5.数据安全防护:守住最后底线
在数据安全上,芯盾时代SDP具备安全工作空间、数据脱敏、Web水印三大功能。
安全工作空间:借助SDP客户端,企业可以在终端设备中构建与本地空间完全隔离的安全工作空间,实现“数据不落地”,并有效管控复制、截屏、打印、外发等有可能导致数据泄露的行为。
自定义数据脱敏:企业可以对业务应用中的手机号、银行卡、身份证号等敏感数据进行脱敏,脱敏内容、脱敏长度、面向人群由企业自定义。
Web水印:可以在无改造的情况下为Web页面添加水印,对用户进行安全教育、安全震慑和安全追溯,降低拍照、截屏、外发风险。
芯盾时代零信任安全网关(SDP)还拥有完全自主知识产权,满足等级保护和密码应用安全性测评要求,全面兼容国产操作系统、芯片、数据库和中间件,已广泛应用于金融、政府、运营商、大型企业、互联网等行业的头部客户,帮助客户在多次攻防演练实战中取得优异成绩。
