2022年9月11-12日,CSA国际云安全联盟大中华区首次集合五家零信任的商用产品进行攻防对抗,挑战赛吸引了84支白帽战队,315名选手对系统数据目标发起了猛烈攻击。目标系统中特别被预置了大批漏洞,但在此次大赛中,经过两天的角逐,攻击队伍对靶标系统进行渗透攻击无法绕过零信任的把关,无人能够攻破系统获取目标数据。实践是检验真理的唯一标准,零信任理念通过攻防大赛得到了验证。

赛事态势感知实况

本届赛事由联合国数字安全联盟指导,国际云安全联盟大中华区主办,湖州市吴兴区人民政府支持,云深互联、云山雾隐、持安科技、虎符网络和易安联五家厂商为赛事提供零信任防御方案,所有防护的系统均未被攻破。零信任安全解决方案在实战攻防中经受住了考验,验证了零信任防护策略极为有效,同时也证明了这5家厂商的产品在零信任领域的领先性,被CSA誉为数字安全的最佳防御方案。

零信任对西北工大遭美网袭事件,提供网络安全防护新思路

国家计算机病毒应急中心发布《美国NSA网络武器“饮茶”分析报告》,揭开了美国国家安全局(NSA)网络攻击西北工业大学的技术细节。此前西北工业大学声明遭受境外网络攻击,攻击方是美国国家安全局特定入侵行动办公室(TAO)。尽管攻击人员众多,攻击手法复杂,使用的网络武器达数十种,攻击链路上千条,但究其根因,还是西北工业大学计算机系统的两个“零日漏洞”遭到利用。

美国国家安全局(NSA)对西北工业大学实施网络攻击

(图片来源:360数字安全)

零日漏洞是指被发现后立即被恶意利用的安全漏洞,因为还没有补丁,这种攻击往往具有很大的突发性与破坏性,被认为是网络战中的核武器。但是,采用零信任理念的新一代数字安全解决方案成为零日漏洞的杀手。特别是零信任SDP软件定义边界这类安全解决方案,它像是为被保护的目标系统披上了一层隐身衣,实现“网络隐身”,尽管里面有再多的零日漏洞,攻击者也无法看见,从而也就无法攻击。

CSA大中华区主席李雨航院士认为,本次挑战赛的结果证明,零信任是防御零日漏洞、对抗网络攻击的有效对应之策,性价比也极高。对西北工业大学进行攻击的美国政府深明此理,因此2021年5月拜登签发总统令强推零信任,2022年初美国又正式推出国家零信任战略,要求联邦政府各机构在2024年之前全面部署零信任。零信任在中国的落地初始时,得到工信部的大力支持,但我们还必须加快零信任的推进,升级网络安全的原生防御能力,这样才能保障千千万万个组织机构免受网络攻击之害。

最强评委阵容,为赛事护航

零信任攻防挑战赛(Zero Trust Hackathon)由CSA大中华区发起组织,本着公平公正的原则组织赛事,结合实际业务场景的公开比赛,为市场验证零信任解决方案,助推零信任的技术创新起到了积极作用,同时,赛事通过搭建竞技实战平台提高了网络安全人才面对新兴技术与威胁的攻防能力,在零信任关键核心技术创新及人才培养方面为业界贡献了力量。

零信任攻防挑战赛评委包括CSA大中华区主席李雨航、俄罗斯自然科学院院士李挥、浙江大学网络空间安全学院执行院长&IEEE Fellow&ACM Fellow任奎教授、北京大学网络和信息安全实验室主任陈钟教授、中国人民大学石文昌教授、东南大学网络空间安全学院执行院长程光教授、公安部第三研究所首席科学家金波、腾讯安全首席科学家吴石、蚂蚁金服副总裁兼首席技术安全官韦韬、华为云安全首席专家万涛。

赛况与得分经过评审专家们的审议,最终确定霄壤实验室战队(又名撞进您心里啦战队)荣获一等奖,EDISEC、嘚儿dos两支战队荣获二等奖,IceRiver、干物妹老六、恶狼咆哮三支战队荣获三等奖。无战队攻破零信任,特别奖无人获得。

本届攻防赛的成功举办,特别感谢湖州市吴兴区人民政府的支持,以及勇敢参加首次挑战的5家安全厂商,及踊跃参赛的300多名选手。赛事相关奖项将在第三届国际零信任峰会暨首届西塞论坛上表彰,让我们相约2022年11月共聚浙江湖州西塞科学谷,见证颁奖荣誉时刻!