零信任攻防实践丨基于零信任理念,助力企业攻防演练
近年来,APT攻击、DDoS攻击等网络安全问题频发。为了筑牢网络安全防线,我国自2016年开始进行实战攻防演练,以此来强化网络安全隐患排查整改,推动以攻促防,查漏补缺。而随着网络环境的改变,攻击手段的提高,基于固定边界的网络安全防御理念已经难以抵挡灵活多变的网络攻击。其“围栏式”的边界防御,通过防火墙隔离企业的内网外网,虽然目前很多企业已经意识到企业的内网也未必安全,但是依然存在“重外敌,轻内鬼”等问题,内部防御能力不足,缺乏全局视角下发现实际环境中安全风险的能力。而零信任理念的出现,也为安全提供了新的建设思路。那么,零信任在实战攻防演练中,又可以提供哪些能力,起到什么作用呢?芯盾时代研发副总裁陈曦将为你盘点攻防演练中的零信任安全问题,解析企业零信任安全建设之道~
Q1:零信任在攻防演练中的防御思路是怎么样的?
虽然我国的网络安全建设经过多年的实践已经逐渐全面,但仍不可避免的会被黑客攻破,其中一个很大的原因就是传统“垒高墙”式“防外不防内”的安全防护理念已经不适应当前网络环境和安全建设的需要了。为了改变攻防不对等的情况,零信任网络安全防护理念应运而生。其解决了区域和信任的绑定关系,用户的访问权限不再受到网络区域的限制,访问前需要经过身份认证和授权,而身份认证不再仅仅针对用户,还将对用户所持客户端进行安全校验,并且在访问过程中进行用户画像和持续性风险评估,对访问进行动态、细粒度的授权,同时采用最小授权原则,可以有效防御黑客的入侵以及0day攻击。落实在具体产品上:零信任实现了资源和SDP网关自身的双重隐藏,基于SPA单包授权的原则,先认证后连接,缓解非法攻击,避免成为恶意流量的黑洞。而实时的风险感知则对每一次访问进行持续的信任评估,动态访问控制引擎根据评估结果实时生成访问控制策略,自动执行细粒度的访问控制策略,避免风险访问造成的数据泄露。还可以通过多因素认证,大幅提升系统认证安全性,可有效避免因弱口令、密码管理不当带来的系统被盗而导致的失分。Q2:面对互联网资产暴露的问题,零信任如何帮助企业收敛资产暴露面?
当前大多数企业都存在对自身企业资产画像不清晰、威胁响应不及时和管理制度不完善等问题,没有真正的将资产和威胁管理起来。在攻防演练中,那些部分被遗漏、未被安全管理、未及时下线的系统,由于存在安全漏洞并缺乏相应的安全防护策略,则很容易被攻击者找到和利用,比如现在企业常用的 VPN,由于它的端口本身是对外开放的,所以通常会成为被攻击的目标。而对于这类资产暴露的问题,芯盾时代零信任业务安全平台SDP可以通过“网络隐身”技术,减少资产的暴露面。而“网络隐身”则是从两方面来实现的:网关隐身:安全应用网关默认关闭所有端口,外部扫描不到任何网关的端口。只有安装安全客户端Agent的终端,能过经过SPA预认证,才能够通过单包敲门的方式,与SDP安全网关建立连接。应用隐身:从外部无法看到业务服务,也无法与业务服务直接建立连接。在与安全应用网关成功连接之后,此时内部的业务应用还是隐身状态。只有通过身份认证的用户,才能看到有访问权限的应用系统。总的来说,通过这种 SPA 预认证的机制,确保我们接入设备的安全性,减少暴露端口。像刚才提到的 VPN 问题,很多企业会用零信任网关去增强或者替代 VPN,从而减少被攻击的可能性,增强安全性。Q3:弱口令是企业安全建设中的老大难问题,零信任如何帮助企业解决这个问题?
弱口令确实是现在企业安全建设中的一大难题。在攻防演练中,很多攻击者会利用企业的应用系统、服务器或网络设备的弱口令、单因素认证、特权账号共享等问题,通过账号密码登录到应用系统、服务器或网络设备,再进一步提权拿下目标系统。针对这些弱口令问题,很好的一个方法就是通过多因素认证去多角度、多方位的保护用户的合法性。零信任强调的是流量身份化,以身份为核心构建安全防护边界。通过结合用户“所知”、“所持”和”所有”的多因素认证方式,如密码、指纹、令牌、短信、移动端扫码等,在客户原有认证流程上增加二次认证流程,保障身份认证的安全性,从而有效的解决暴力破解、拖库/撞库、账号冒用等一系列安全问题。还有一点值得注意,多因素认证也是我们芯盾时代用户身份与访问管理平台(IAM)很重要的功能点之一,IAM更是零信任理念的重要架构,目前我们已经完成了SDP和IAM的融合,实现强强联动。Q4:在传统架构下,攻击者一旦攻入内网就能造成巨大破坏。零信任能够防范攻击者在内网的横向移动,减少攻击者带来的损失?
相比传统架构,零信任架构有一个很重要的安全价值,就是体现在防止横向移动上。在网络安全领域,“横向移动”是指攻击者进入网络后在该网络内移动。即使攻击者的进入点被发现,横向移动也难以检测到,因为攻击者会继续入侵网络的其他部分。还是以传统架构中的 VPN 为例,VPN 是一次认证、全网通行的,它一旦被攻破,就会进入到内网畅通无阻,这就是所谓的横向移动。而零信任旨在遏制攻击者,使他们无法横向移动。其核心是零信任“永不信任,始终验证”的原则。每个访问请求在授予访问之前都会进行完全身份验证,同时给予最小的访问授权,并且利用丰富的智能和分析进行检测并及时响应异常情况,一旦检测到攻击者的存在,就可以隔离遭入侵的设备或用户帐户,切断进一步的访问,或者拉起二次认证,最大限度地减少横向迁移。除此之外,作为零信任架构下最早的概念之一的微隔离也主要是防止横向移动。从数据中心捕获关键资产信息的横向移动是几种攻击的关键组成部分,微隔离的目的在于如果这些工作负载之间没有可操作的理由则限制他们之间未经批准的通信,从而最大限度地减少破坏的影响。与防火墙提供的典型南北向流量保护不同,微隔离着眼于工作负载的东西向流量安全。芯盾时代的零信任产品可以有效阻止横向移动的问题。首先,芯盾时代SDP通过规则引擎对前端采集的信息进行不间断的风险评估。持续身份认证对账户持有者采取“零信任”的态度,在用户操作系统的全周期内,持续性和周期性的通过规则引擎从设备、身份、行为、环境、资源、网络等各个维度进行持续的风险和信任计算,在用户访问应用资源时识别用户风险信息,评估风险得分。其次,可以根据持续的信任评估结果进行动态访问控制。基于风险评估结果,访问策略可以对用户的访问行为进行拦截,根据风险等级下发处置策略,包括阻断、放行、二次认证、隧道控制、动态权限伸缩、会话退出等。这样,通过持续的安全评估即便在安全措施失效、终端失陷的情况下,也能避免整个内网的进一步失陷。Q5:零信任在攻防演练中有这么多优势,企业是不是应该放弃原有的纵深防御架构,全面转入零信任?
这样说是有失偏颇的,转向零信任架构并不意味着完全舍弃传统安全架构,这只是网络安全策略的调整。无论是过去还是现在,基于边界的防护理念始终保持着防护效果,零信任也并不能完全覆盖传统安全架构的能力和使用。存在即合理,不要因为上了零信任而将边界防护体系完全抛弃,反而要常态化保持零信任和边界防御兼具的安全架构。
往期 · 推荐
攻防演练宝典丨进攻方的身份攻击三板斧,企业怎样才能防得住?
基于零信任安全理念的攻防演练方案
实践案例丨政务系统如何“零信任”?某党政机关给出标准答案
远程办公“芯”方案丨零信任替换VPN,远程访问更安全
原文标题:零信任攻防实践丨基于零信任理念,助力企业攻防演练
文章出处:【微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
芯盾时代
+关注
关注
0文章
158浏览量
1732
原文标题:零信任攻防实践丨基于零信任理念,助力企业攻防演练
文章出处:【微信号:trusfort,微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
什么是零信任?零信任的应用场景和部署模式
零信任是新一代网络安全理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。 一、零信任
5G双域专网+零信任的神奇魔法
双域专网为企业提供了更快速、更可靠的连接,同时具备更高级别的安全保障。它将公共网络与私有网络结合,为企业打造了一个安全、高效的通信环境。而零信任模型则从根本上颠覆了传统的网络安全理念,
芯盾时代中标正川股份 零信任替换VPN更安全更便捷
芯盾时代中标重庆正川医药包装材料股份有限公司(简称:正川股份),基于零信任安全理念,重构企业远程接入系统,替代客户采用VPN接入办公的方案,保障企业在远程办公等场景中的业务安全。
网络攻防模拟与城市安全演练 | 数字孪生
在数字化浪潮的推动下,网络攻防模拟和城市安全演练成为维护社会稳定的不可或缺的环节。基于数字孪生技术我们能够在虚拟环境中进行高度真实的网络攻防模拟,为安全专业人员提供实战经验,从而提升应对网络威胁的能力。同时,在城市安全
芯盾时代参与编写《零信任数据安全白皮书》 给出数据安全“芯”方案
了组织/企业面临的数据安全挑战,详解了零信任数据安全建设之道,并结合具体场景介绍了零信任数据安全解决方案的落地方式,为组织/企业的数据安全建设提供新思路、新方案。 零
《零信任发展研究报告(2023年)》发布丨零信任蓬勃发展,多场景加速落地
近日,中国信息通信研究院在“2023 SecGo云和软件安全大会”上发布了 《零信任发展研究报告(2023年)》 (以下简称“报告”),全面介绍了在数字化转型深化背景下,零信任如何解决企业面临的安全
零信任体系化能力建设(4):应用安全与开发部署
前言:应用和工作负载是企业资产的重要组成部分,也是用户访问企业数据的主要手段和攻击者关注的首要目标,因此,强化对IT栈内软件部分的安全控制是企业推进零信任成熟度的必由之路。 通常,零
零信任体系化能力建设(3):网络弹性与隔离边界
网络是现代企业数字基础设施的核心。零信任理念致力于构建一个以身份(而非网络)为中心的网络安全架构,引发了企业网络安全架构的变革。在零信任体系
华为安全大咖谈 | 论道攻防第3期:远程控制之暗度陈仓
本期讲解嘉宾 卷首语 示之以动,利其静而有主,益动而巽。 ——《三十六计·敌战计·暗度陈仓》 本文以楚汉名帅韩信“暗度陈仓”之计为切入点,深入剖析攻防演练中攻击者“以奇隐正,以迂蔽直”的远控攻击
攻防演练宝典丨进攻方的身份攻击三板斧,企业怎样才能防得住?
的第一道防线。在攻防演练中,身份信息必然成为攻击方的首要目标,遭受各种形式的攻击。攻击方有哪些围绕“身份”展开的攻击手段,企业应该如何防范这些攻击、提升自身的身份安全水平? 芯盾时代产品副总裁杜旭 将为你盘点攻
华为安全大咖谈 | 论道攻防第2期:边界突破之瞒天过海
·薛仁贵征辽事略》 本文以三十六计胜战计中的第一计“瞒天过海”为切入点,深入剖析了攻击者在现网环境和攻防演练中,如何运用出奇制胜的伪装攻击手段突破Web边界。 攻击之势 “兵无常势,水无常形,能因敌变化而取胜者,谓之神”
华为安全大咖谈 | 论道攻防第1期:攻防演练之三十六计——开篇
本期讲解嘉宾 凡战者,以正合,以奇胜 国家级网络攻防演练已经进行了七年,攻防双方的对抗日益激烈,技战术水平也得到了极大的提升。 除了“正”面常规技战术对抗之外,攻击队还采用了各种新颖的变形绕过攻击
零信任体系化能力建设(1):身份可信与访问管理
、网络、应用与工作负载、数据等不同领域分析零信任能力建设的内容、方法和趋势,讨论零信任的安全能力组成和最佳实践,帮助企业规划、构建和实施零信任
中标喜讯 | 芯盾时代中标哈尔滨医科大学附属第二医院 零信任替换VPN更安全更便捷
“ 星标 ”芯盾时代可以第一时间接收我们的新鲜推文 芯盾时代中标哈尔滨医科大学附属第二医院,基于零信任安全理念,重构企业远程接入系统,替代客户采用VPN接入办公的方案,保障企业在远程办
零信任标杆丨芯盾时代入选IDC《中国零信任网络访问解决方案技术评估,2023》报告
访问解决方案技术服务提供商时提供参考。 芯盾时代零 信任业务安全解决方案凭借在产品性能、技术水平、服务支撑以及市场表现上的综合优势, 成功入选本次报告 。 本次报告中,IDC将零信任网络访问(ZTNA)解决方案视为全球企业数字化
工商网监
评论