1、何艺 持安科技 创始人兼CEO17年甲方安全经验，原完美世界资深安全总监聚焦企业安全建设、安全架构、零信任、安全分析和响应等领域2015年开始研究和实施零信任，零信任产业标准工作组专家、CAS云安全联盟专家、零信任认证CZTP专家组、参与了零信任产业标准和国标编写、零信任认证体系培训授课2021年开始创业，专注零信任领域！攻击模型：攻击模型：Cyber-Kill-ChainCyber-Kill-Chain攻击杀伤链攻击杀伤链攻击可能是全方位的攻击可能是极其隐蔽的攻击可能是持久漫长的响应可能总是滞后的Cybersecurity Ventures 预计，未来五年全球网络犯罪造成的损失，将以每年 1

2、5%的速度增长，到 2025 年达到每年 10.5 万亿美元，高于2015 年的 3 万亿美元。COVID-19 后，网络暴露面激增，到 2023 年，地球上的联网设备将是人类的 3 倍。2022 年，我们周围的世界将嵌入 1 万亿个联网传感器，20 年内将达到 45 万亿个。2021年，网络犯罪在全球造成总计6 万亿美元的损失。高净值企业可能成为网络攻击的目标，需提升运营者网络安全事件应急处置能力，完善应急处置流程和工作机制，提升网络安全运营综合能力水平。趋势：企业需要新的安全防御思路来扭转被动防守的局面趋势：企业需要新的安全防御思路来扭转被动防守的局面215346规定动作进行检查，完成网络

3、应急响应预案，定期做演练即为合格20172017年年不在指定攻击目标及时间，不限定攻击手段，全面检验企业应对真实攻击能力20182018年年允许攻击队采用社会工程学攻击、0Day漏洞利用等流行黑客攻击手段20192019年年规定动作进行检查，完成网络应急响应预案，定期做演练即为合格20162016年年重点检验云计算、大数据、物联网等新型技术平台的安全防御能力20202020年年允许攻击队采用更加接近实战的攻击技战术，检验防守方的应急响应能力20212021年年实战攻防演练防守方：关键信息基础设施运营者；攻击方：攻击手法与实现方式部分受限，一般不可对企业重要业务产生严重影响；时间与攻击范围：有明

4、确的时间限制，有明确的靶标系统。APT攻击防守方：有潜在利益价值的对象攻击方：攻击手法多样，不受任何限制，企业防线一旦被突破，损失不可估量；时间与攻击范围：任一时间、任一产品都可能收到攻击。差 别零信任的防护方式传统防护方式默认“信任”所有内部网络流量，对内部网络不做任何限制防火墙等安全设备可以阻断来自外网的攻击，对内网失陷中断防护防御能力有限在零信任体中，没有默认的“信任”，所有请求都需要经过零信任网关，进行身份确认与安全评估一旦内网中断被黑客入侵，零信任网关利用动态决策引擎可以自动快速进行拦截零信任模型是一种新的安全防护思想，它删除了默认的信任，对全网业务系统的请求实施严格的身份和设备进行

5、强化认证，并对其访问行为进行实时动态评估风险二：单点风险DDOS入口绕过上游劫持风险四：特权入口风险代理攻击跳板攻击风险一：自身安全性风险DDoS入口绕过上游劫持风险三：集中鉴权风险凭证伪造凭证劫持验证绕过面向广大用户收集安全漏洞及威胁情报公开平台，汇聚互联网安全领域的力量打造真正安全、高效、无侵入的零信任办公安全平台安全至上 主动发现问题，提前解决问题 联合49家src机构，业界白帽专家，共建零信任安全生态 不同类型的活动、计划，考验零信任各个层面的安全能力解决复杂网络下的办公安全问题微服务、模块化的原生零信任架构独立部署模式，支持上云安全评估收敛暴露面 掌握其企业自身暴漏在互联网的系统、端

6、口、后台管理系统等信息；采取必要的安全措施对业务系统暴漏面进行收敛；资产梳理针对性防御 全面盘点业务资产，并对根据系统的重要性划分出防守工作重点；针对重点系统进行梳理和加固，并对加固效果进行验证；主动防御多维防攻击 基于零信任思想安全防御框架，强制提升员工安全意识，实现业务系统隐身 从终端、网络、应用、数据多个维度对访问行为进行持续保护攻防演习体系化作战 及时发现多方协同效率及现有安全防御体系的不足，发现问题提前弥补 通过相互配合协同作战，形成体系化作战能力应急响应处置高风险 演练期间配置具有安全事件分析及响应处置能力的安全专家；通过提前制定应急处置预案，发现问题快速响应处理；溯源反制优化防御

7、力 配置经验丰富、思路清晰的溯源人员，基于零信任安全防御平台，进行快速应急响应；快速查清入侵过程，并及时调整防护策略，防止再次入侵。攻击前期攻击中期攻击后期摒弃传统“围栏式”防御模型，引入新的基于“零信任”思想的方法论对安全防御体系进行优化升级，变“被动”为“主动”以更好应对当前愈发严峻的持续高级威胁攻击。可见可感可控YESNO业务资产“可见”账号资产“可见”设备资产“可见”数据资产“可见”业务请求“可感”内网钓鱼“可感”终端状态“可感”业务数据“可感”是否具有访问权限？是通过系统登录认证？使用的终端设备是否安全？零信任决策引擎判断零信任网关代理转发内网业务系统“可见”，防守的前提条件“可感”

8、，防守的必要条件“可控”，防守的保障手段通过现场访谈和被动资产扫描方式进行，服务团队对用户业务及资产基本情况进行调研，摸清楚资产的位置和对外提供的服务，了解服务单位的基本情况，全面排查外网以及办公网的资产暴露面资产梳理n资产清单整理n网络结构调研n资产信息收集调研n资产管理方式调研n 利用自动化扫描工具对防御区域内实施全网扫描，并将扫描结果与访谈清单进行对比，找出未在访谈清单中的资产，避免遗漏 以保护业务系统安全和数据安全为核心目标，从安全技术、安全管理两个层面出发，同时贯彻“持续监测、动态分析、快速响应、研判预测”的自适应安全理念，完成产品的布控。在实际防守过程中，本方案基于攻击队最佳实践攻

9、击框架设计，参考Cyber Kill Chain以及ATT&CK攻击模型将攻击方的攻击流程进行了总结，结合零信任框架特点，在各阶段实施布控，依照每一个阶段的攻击特点进行防护。资产探测账号破解终端钓鱼应用攻击内网扫描1day使用多路攻击核心靶标n 通过零信任网关收缩外网暴露面，将OA、邮箱、客服系统等全部收缩到内网n 零信任网关与身份系统打通。1.收缩攻击面n 推动零信任办公端的部署，启用内网应用的的访问。n 接入审计日志，持续运营，将应用的权限进行精细化的控制2.终端应用安全n 启用平台的主机蜜罐能力n 加强1day漏洞舆情监测，每日更新漏洞更新脚本3.应用防护n 持续会话监控，设置会话白名单

10、n 设置零信任防护规则，定义合法用户允许访问核心靶机或业务系统4.会话监控n通过零信任网关确认业务系统暴漏情况，检查是否有遗漏n根据业务系统类型，针对发现的高危漏洞制定精细化防控策略n评估终端环境状态，完善应用基线和合规基线规则，要求特定人员执行基线自动修复n评估各类型员工账号风险等级，对敏感账号加强认证n对内网风险资产如AD域、IAM、门户系统加强安全防护策略有效性检验与策略调优风险暴漏面检查弱口令检查高频攻击精细化策略调优AD、IAM等具有丰富攻防经验的红队成员参与值守n告警检测&策略优化：n应急处置&事件上报：一旦出现高危安全事件，值守团队第一时间对事件进行分析，同时利用零信任平台制作修

11、复策略，并及时上报n故障处理：对零信任平台在演习过程中出现的事故进行定位处理，解决企业员工日常使用问题，对复杂将调用公司专家组协同处理，确保演习顺利n定期巡检：对零信任框架涉及的产品进行定期巡检，并填写巡检日志，同时还将配合企业安全团队，对其他相关设备进行巡检n协同溯源：在多方配合溯源时，零信任平台可提供基于身份的完整请求日志，协助其他参演团队进行联合分析、溯源告警监控&策略优化故障处理应急处置&事件上报定期巡检协同溯源7*24 小时 在实战攻防演练期间，持安科技技术专家协助主防单位对相应攻击进行溯源分析，同时借助零信任安全平台对业务流量身份化的功能，快速定位事件信息。病毒、钓鱼邮件、终端木马

12、、入口攻击payload分等暴力破解异地登陆攻击负载（payload）结合告警分析获取攻击队的情报信息，关联攻击行为和过程配合威胁情报及其他安全设备的告警日志，溯源攻击者入侵方式应急处置，清理入侵脚本应用系统告警分析入侵日志告警分析攻击者画像分析溯源攻击者信息确认攻击者身份提交溯源报告持安科技除了提供协助主防单位提供安全防守服务外，还可以为企业客户提供专业化的红/防守方服务服务团队由多名具有实战经验的渗透工程师组成，其中包括前攻击对队长、行业知名安全研究员、资深攻防专家等。采用尽可能贴近实战的方式模拟攻防对抗场景，从而发现有可能被黑客利用的漏洞和防守体系中缺陷，并为企业客户提供可落地的建设性解

13、决方案。办公网红队模拟n信息收集n系统渗透测试n靶标系统攻击模拟n现场潜伏社工攻击n物理渗透测试防守方服务n应急预案n对抗演习n安全检查n团队组建n方案制定北京持安科技是聚焦办公安全领域的新兴网络安全公司，提供面向企业级市场的基于零信任的办公安全产品和解决方案。公司致力于将近20年的甲方方安全经验以及7年零信任实际落地经验，转化为高效、低成本低的一体化安全能力，为客户输出价值，真实解决安全问题。天使轮 数千万2021 5月cPre-A 数千万2022 2月2010年Forrester提出零信任概念2015年GoogleBeyondcorp启动零信任项目2019年完美世界零信任项目全面落地2021年持安科技成立，专注零信任2022年持安科技，多个零信任项目落地2014年Google 发布Beyondcorp白皮书2018年ISC安全从零开始，首次引入零信任理念2020年完美世界疫情下零信任远程办公行业最早，7年零信任落地经验