還在用VPN的企業(yè)小心了！

最近，一場(chǎng)針對(duì)某網(wǎng)絡(luò)安全大廠VPN的全球性?huà)呙杩癯鼻娜粊?lái)襲。從2025年11月14日起，針對(duì)該VPN門(mén)戶(hù)的惡意掃描在24小時(shí)內(nèi)狂飆40倍。

按照“大規(guī)模掃描先行，攻擊隨后而至”的網(wǎng)絡(luò)安全鐵律，再結(jié)合近兩年Ivanti、Fortinet、Cisco等多家廠商的VPN被黑客攻陷的過(guò)程，這一波掃描狂潮頓時(shí)讓這家安全大廠的VPN用戶(hù)膽戰(zhàn)心驚——黑客大概率是掌握了某個(gè)0day漏洞，開(kāi)始篩選易受攻擊的目標(biāo)，準(zhǔn)備搞一波大新聞。

面對(duì)黑客的“踩盤(pán)子”，反應(yīng)快的企業(yè)一波三連，封IP、切流量、做加固……然后，就開(kāi)始等著看是官方安全補(bǔ)丁和黑客攻擊哪個(gè)先來(lái)臨。

但就算這波掃描最終偃旗息鼓，也不代表企業(yè)就能松一口氣。俗話(huà)說(shuō)得好，不怕賊偷，就怕賊惦記。只要企業(yè)還用VPN遠(yuǎn)程辦公，只要VPN的IP和端口還暴露在公網(wǎng)上，針對(duì)VPN的惡意掃描和攻擊就永遠(yuǎn)不會(huì)停息。

VPN的“原罪”：由于信任，所以脆弱

VPN誕生于1996年，其目的是擴(kuò)展可信網(wǎng)絡(luò)范圍。用戶(hù)只要通過(guò)了身份認(rèn)證，就會(huì)被視為“可信用戶(hù)”，通過(guò)在互聯(lián)網(wǎng)上建立的加密隧道，遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)網(wǎng)的業(yè)務(wù)資源。

隨著企業(yè)IT架構(gòu)、業(yè)務(wù)環(huán)境的飛速演進(jìn)，針對(duì)“內(nèi)網(wǎng)-外網(wǎng)”二元網(wǎng)絡(luò)架構(gòu)開(kāi)發(fā)的VPN，暴露出了兩個(gè)無(wú)法修補(bǔ)的架構(gòu)級(jí)BUG：

1.大門(mén)敞開(kāi)，誰(shuí)都能敲：VPN網(wǎng)關(guān)必須向互聯(lián)網(wǎng)開(kāi)放IP和端口。黑客只要掃描到了IP、端口信息，就能確定攻擊入口，進(jìn)而利用暴力破解或漏洞進(jìn)行攻擊、滲透。

2.進(jìn)門(mén)就是“自己人”：VPN普遍存在“過(guò)度信任”和靜態(tài)授權(quán)的問(wèn)題。一旦黑客（或外包人員賬號(hào)被盜）通過(guò)了邊界認(rèn)證，就能在內(nèi)網(wǎng)長(zhǎng)驅(qū)直入，隨意橫移。

除此之外，VPN還存在身份認(rèn)證強(qiáng)度不足、終端安全能力不強(qiáng)、用戶(hù)行為管控不力等問(wèn)題。盡管廠商們不斷給VPN打補(bǔ)丁、加功能，拼命給VPN“續(xù)命”，但只要架構(gòu)級(jí)BUG還在，VPN仍舊是黑暗森林里通明的“篝火”，是個(gè)黑客就想朝它開(kāi)一槍。

芯盾時(shí)代SDP，讓企業(yè)“網(wǎng)絡(luò)隱身”

既然VPN的“原罪”在于“攻擊面暴露”和“過(guò)度信任”，它的接班人也就不言自明——正是能“網(wǎng)絡(luò)隱身”，并且“持續(xù)驗(yàn)證、永不信任”的零信任。

與VPN相比，零信任默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)。“先認(rèn)證、后連接”的連接機(jī)制，確保了IP和端口不響應(yīng)任何未經(jīng)驗(yàn)證的訪問(wèn)請(qǐng)求?！俺掷m(xù)驗(yàn)證”的訪問(wèn)控制機(jī)制，確保每一次訪問(wèn)都不會(huì)被“過(guò)度信任”。

芯盾時(shí)代以零信任理念為指引，以軟件定義邊界為架構(gòu)，以自主研發(fā)的核心技術(shù)為支撐，打造了零信任安全網(wǎng)關(guān)（SDP），采用All in One設(shè)計(jì)，能夠從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個(gè)維度，為企業(yè)一站式建立零信任網(wǎng)絡(luò)訪問(wèn)系統(tǒng)，對(duì)每一次業(yè)務(wù)訪問(wèn)實(shí)施全程的、動(dòng)態(tài)的、細(xì)粒度的訪問(wèn)控制，是企業(yè)替換VPN的理想選擇。

與VPN相比，芯盾時(shí)代SDP具備以下優(yōu)勢(shì)：

1.網(wǎng)絡(luò)隱身：讓黑客“找不到”目標(biāo)

芯盾時(shí)代SDP采用了網(wǎng)絡(luò)隱身、加密傳輸、網(wǎng)絡(luò)隔離三大技術(shù)，能夠幫助企業(yè)收斂資源暴露面，防范惡意掃描、DDoS攻擊，避免“逢攻防演練，先關(guān)VPN”的尷尬。

網(wǎng)絡(luò)隱身：采用應(yīng)用代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問(wèn)流量，同時(shí)對(duì)所有連接網(wǎng)關(guān)的設(shè)備進(jìn)行預(yù)認(rèn)證，不通過(guò)認(rèn)證不開(kāi)放端口，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)雙重“隱身”，無(wú)法被黑客掃描。

加密傳輸：通過(guò)認(rèn)證后，在客戶(hù)端與網(wǎng)關(guān)之間建立加密隧道，保證數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)安全傳輸。

網(wǎng)絡(luò)隔離：在用戶(hù)訪問(wèn)內(nèi)網(wǎng)時(shí)，禁止其終端設(shè)備訪問(wèn)互聯(lián)網(wǎng)，避免終端設(shè)備成為黑客進(jìn)入內(nèi)網(wǎng)的“跳板”。

2.終端安全：杜絕設(shè)備“帶病入網(wǎng)”

芯盾時(shí)代SDP整合了自主研發(fā)的終端安全技術(shù)，只需一個(gè)客戶(hù)端，就能實(shí)現(xiàn)終端身份校驗(yàn)、終端環(huán)境檢測(cè)、員工行為管控等功能，打造安全的遠(yuǎn)程辦公操作環(huán)境。

終端身份校驗(yàn)：憑借設(shè)備指紋技術(shù)，精準(zhǔn)標(biāo)識(shí)設(shè)備身份，幫助企業(yè)高效識(shí)別非常用設(shè)備登錄等風(fēng)險(xiǎn)行為，還能在攻防演練中對(duì)入網(wǎng)設(shè)備進(jìn)行審批，禁止不可信設(shè)備接入系統(tǒng)。

終端環(huán)境檢測(cè)：借助終端威脅態(tài)勢(shì)感知技術(shù)，自動(dòng)核查終端設(shè)備安全基線(xiàn)，杜絕設(shè)備“帶病入網(wǎng)”。在訪問(wèn)過(guò)程中，持續(xù)檢測(cè)終端安全態(tài)勢(shì)、用戶(hù)的操作行為，為安全控制中心提供終端側(cè)的風(fēng)險(xiǎn)信息。

3.多因素認(rèn)證：把好入門(mén)“第一關(guān)”

芯盾時(shí)代在IAM市場(chǎng)占有率穩(wěn)居前三，技術(shù)能力行業(yè)領(lǐng)先，芯盾時(shí)代SDP由此具備了強(qiáng)大的身份安全能力。

全局多因素認(rèn)證：借助客戶(hù)端App，企業(yè)能夠一站式實(shí)現(xiàn)全局多因素認(rèn)證（MFA），消除弱密碼、密碼重復(fù)使用帶來(lái)的安全隱患，還能夠針對(duì)特定用戶(hù)、應(yīng)用、設(shè)備、IP，實(shí)施自適應(yīng)增強(qiáng)認(rèn)證，兼顧網(wǎng)絡(luò)安全與用戶(hù)體驗(yàn)。

一次認(rèn)證，全網(wǎng)通行：全面支持各種身份認(rèn)證協(xié)議，兼容釘釘、微信、飛書(shū)等認(rèn)證源，能夠與企業(yè)原有身份管理系統(tǒng)無(wú)縫融合。借助單點(diǎn)登錄功能和統(tǒng)一應(yīng)用門(mén)戶(hù)，為員工提供更優(yōu)的登錄體驗(yàn)，實(shí)現(xiàn)“一次認(rèn)證、全網(wǎng)通行”。

4.最小化授權(quán)：切斷內(nèi)網(wǎng)橫移路徑

為落實(shí)“最小化授權(quán)”原則，芯盾時(shí)代首創(chuàng)零信任切面安全能力，能夠無(wú)改造地為業(yè)務(wù)系統(tǒng)注入安全能力，將權(quán)限管理能力細(xì)化至URL級(jí)，幫助企業(yè)全面提升訪問(wèn)控制能力。

精細(xì)化權(quán)限管理：芯盾時(shí)代SDP支持多種權(quán)限管理模型，企業(yè)能夠針對(duì)內(nèi)部員工與外部員工、各個(gè)部門(mén)與臨時(shí)項(xiàng)目組的不同角色，授予不同的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)權(quán)限的差異化、精細(xì)化管理。

動(dòng)態(tài)訪問(wèn)控制：在訪問(wèn)控制上，提供多種風(fēng)險(xiǎn)策略模型，企業(yè)能夠根據(jù)自身需求靈活定義模型，綜合設(shè)備、IP、時(shí)間、行為、賬號(hào)、位置等維度的風(fēng)險(xiǎn)信息，對(duì)每一次訪問(wèn)實(shí)施動(dòng)態(tài)訪問(wèn)控制，實(shí)現(xiàn)“安全訪問(wèn)全程無(wú)感，不確定訪問(wèn)強(qiáng)化認(rèn)證，不安全訪問(wèn)直接拒絕”。

5.數(shù)據(jù)安全防護(hù)：守住最后底線(xiàn)

在數(shù)據(jù)安全上，芯盾時(shí)代SDP具備安全工作空間、數(shù)據(jù)脫敏、Web水印三大功能。

安全工作空間：借助SDP客戶(hù)端，企業(yè)可以在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實(shí)現(xiàn)“數(shù)據(jù)不落地”，并有效管控復(fù)制、截屏、打印、外發(fā)等有可能導(dǎo)致數(shù)據(jù)泄露的行為。

自定義數(shù)據(jù)脫敏：企業(yè)可以對(duì)業(yè)務(wù)應(yīng)用中的手機(jī)號(hào)、銀行卡、身份證號(hào)等敏感數(shù)據(jù)進(jìn)行脫敏，脫敏內(nèi)容、脫敏長(zhǎng)度、面向人群由企業(yè)自定義。

Web水印：可以在無(wú)改造的情況下為Web頁(yè)面添加水印，對(duì)用戶(hù)進(jìn)行安全教育、安全震懾和安全追溯，降低拍照、截屏、外發(fā)風(fēng)險(xiǎn)。

除了接班VPN，搞定遠(yuǎn)程接入，芯盾時(shí)代零信任安全網(wǎng)關(guān)（SDP）還擁有完全自主知識(shí)產(chǎn)權(quán)，滿(mǎn)足等級(jí)保護(hù)和密碼應(yīng)用安全性測(cè)評(píng)要求，全面兼容國(guó)產(chǎn)操作系統(tǒng)、芯片、數(shù)據(jù)庫(kù)和中間件，已廣泛應(yīng)用于金融、政府、運(yùn)營(yíng)商、大型企業(yè)、互聯(lián)網(wǎng)等行業(yè)的頭部客戶(hù)，幫助客戶(hù)在多次攻防演練實(shí)戰(zhàn)中取得優(yōu)異成績(jī)。

因?yàn)閂PN被惡意掃描而提心吊膽的你，要不要了解一下？