桂林同城网站,门户网站设计要点,wordpress会被黑吗,开放平台作用发挥明显近日#xff0c;在ISC 2023第十一届互联网安全大会上#xff0c;持安科技联合创始人孙维伯作为零信任办公安全赛道代表#xff0c;亮相数字小镇New50#xff0c;并发表《全方位防御#xff1a;零信任理念下的实战攻防》主题演讲。 以下是本次演讲实录#xff1a;
这几年…近日在ISC 2023第十一届互联网安全大会上持安科技联合创始人孙维伯作为零信任办公安全赛道代表亮相数字小镇New50并发表《全方位防御零信任理念下的实战攻防》主题演讲。 以下是本次演讲实录
这几年网络安全已经从监管合规趋向于实战化网络诈骗、黑产越发猖獗企业面临的安全挑战愈加严峻。
在实战攻防的场景下攻防双方不对等。攻击者找到任意漏洞即可攻破防守方但是防守方却需要做全方位的防御不能出任何差错。 当前常见的边界攻击对防守方构成了巨大挑战防守方很难全面了解企业的所有边界资产这限制了他们针对易受攻击的资产采取有效的防御手段。此外在面对黑客定向攻击时防守方只能防御已知的攻击手段而每年都会发现大量0day漏洞甚至一些一线安全产品也容易出现0day问题传统的安全手段已无法满足防御需求。
此外防守方的溯源能力也至关重要。企业遭遇安全事件后能够追踪攻击的来源和路径并完整保留相关证据这是安全建设中的一个关键因素。
综合来讲目前实战攻防中主要存在以下几类攻击场景
外网各类应用漏洞、弱口令突破
弱密码可分为两类。第一类是过于简单的密码例如123456。另一类是攻击者通过搜索社交工程库和数据库在互联网上暴露的信息中搜索目标人员使用的密码信息。许多人习惯使用同一个密码登录所有系统而在公司关键职位的人员也存在难以管理复杂密码的问题同时安全团队也难以要求领导设定过于复杂的密码。 在外部网络攻击中一旦存在0day漏洞的VPN设备、OA等办公系统被入侵其中存储的账号和密码可能会被泄露。此外面对一些未知的风险例如业务人员在企业管理员或安全人员不知情的情况下突然上线一个资产而这些新上线的业务系统可能存在0day漏洞这也是每年大型攻防演练中的一个攻破点。
内网各类办公系统突破
随着外部攻击的不断增加防守方已经意识到这一点并加强了对外部网络的防御。攻击者们发现企业办公网络内部的系统通常存在漏洞很多企业的办公网络对员工访问没有设立防护措施员工可以直接通过办公网络访问内部的各种应用和业务系统。一旦攻击者成功入侵办公网络就相当于直接进入了企业的内部网络。 对外进行网络攻击时特别需要着重强调一种攻击方式即钓鱼攻击。根据上图所示的攻击场景攻击者只需控制内网中的任意一台设备并通过VPN或SDP连接办公网络中的办公电脑这台电脑就能够直接连入企业内网。如果企业内部的办公系统之间没有设置防护措施攻击者将能在企业内部自由行动。
我们总结了过去一年中的攻击手法前十名。左侧列出的是攻击队伍最喜欢的常见漏洞和风险右侧则是企业安全部门的管理成本。 如果攻击者已经穿透边界进到企业内部防守方如何应对
以最佳实践方式落地的零信任可有效抵御未知人员发起的未知攻击。
业务隐身
无论是在内部还是外部员工在访问业务系统之前都必须通过零信任的认证。零信任认证将根据访问者的业务身份、访问系统是否在权限范围内以及是否存在危险行为等因素对其访问行为进行实时验证和授权。 企业采用零信任网关对内部员工和合作伙伴的访问进行防护使其在访问业务系统时必须经过零信任的持续验证。即使攻击者伪装成可信人员并通过了身份认证如果他试图进行不合规的恶意行为零信任机制也能够动态地检测并阻止他。
防止办公网钓鱼攻击
在边界防御模式下一旦攻击者成功钓鱼并控制了内部办公网上的个人电脑他们会通过外部公网上的主机建立一个反向连接从而直接将其与企业内网连接起来。 持安科技以最佳实践方式落地的零信任将身份认证和网络访问实时动态验证过程深入应用层零信任网关会判断访问者的身份是否有关键设备证书并验证证书是否与当前设备匹配而非仅仅通过设备进行代理网络授权接入。
由于仅仅代理形式的网络授权接入过程只能看到网络授权信息并不能获得当前设备的真实身份信息。通过更严格的零信任策略可以防止内网钓鱼攻击。在这种情况下攻击者只能获取到办公网一台设备终端的网络接入权限而无法获得该设备的业务身份权限。即使攻击者使用该设备发起代理网络隧道连接也无法发起对业务系统的访问请求和攻击。
这是我们零信任最佳实践与普通的SDP、VPN替代解决方案之间本质区别。
弱口令攻击防护
为了防范弱口令的风险先前常用的手段是对口令进行统一修改和强化。然而对于某些老旧系统而言它们无法与内部身份中心进行连接并且我们也缺乏关于使用这些老旧业务系统的用户的清晰认知。 在接入零信任平台后当用户访问老旧业务系统时必须先通过零信任认证才能够获得访问权限利用零信任分析平台将员工的身份与老旧系统用户的真实身份进行关联和分析建立完整的身份识别通道。在不对老旧系统业务进行改造的情况下加强口令的安全性和防护能力。
此外零信任在保护业务系统时会进行精细化授权。当内部某个办公应用程序存在漏洞时将相关的漏洞敏感访问URL或对应链接纳入零信任防护流程中。只允许通过零信任动态验证的用户进行访问及时阻止攻击者的攻击行为。
防止员工泄密
很多企业对于如何准确地分析和识别员工的行为感到头疼。过去我们常常从终端角度入手但是员工会抵触覆盖范围有限。
零信任解决方案将用户的真实身份与其访问的应用数据和文件进行关联会为用户访问的页面、转发或下载的文件内容添加水印并设置敏感文件的身份标签进行跟踪。一旦发现用户通过网关访问的文件泄露我们只需在网关上查询相关泄露文件便可查清是哪些用户在什么时间访问了哪个文件。 此外零信任解决方案还可以记录和学习员工的日常访问行为并将其与文件访问频率和数据相关联。一旦发现有用户的行为与平时差别巨大例如突然集中大量下载文件我们将加强认证或阻断该次访问。
零信任是否存在周期长落地难等问题
一些零信任实施以终端为推广入口对安全团队或运营团队来说是一项艰巨的任务。他们需要推动成千上万甚至数十万人使用终端而当终端出现稳定性问题时对推广团队将是重大打击。其次终端的易用性和实用性很难掌握有些员工不知道如何安装终端。即使成功安装完毕电脑上的杀毒软件自动卸载终端后他们也不知道如何重新安装并可能出现各种兼容性和稳定性的问题。
因此持安零信任方案的第一步是推广网关。先将应用层网关与企业身份融合打通并将其放置在应用的前方。用户无需改变过去的访问行为和习惯零信任的能力将融入到员工日常的办公中。
然后逐步通过终端来扩大推广范围。最后我们将与企业威胁情报等已有的安全系统进行打通融合实现安全一体化。 这五个步骤是大型攻防演练中我们保卫成功所需关键点而且这五个步骤可以与零信任原则一一对应。例如在过去的应急响应中一旦某台办公设备受到攻击现场就会变得非常紧张。由于只能看到IP地址而IP地址可能代表一台设备也可能是一个办公区的总出口因此运维人员很难将IP地址与具体人员关联起来工作量十分庞大。
零信任原则可以将每个设备的访问情况、流量情况、请求域名情况以及用户的每一步操作都打上身份标签并与企业现有的威胁情报相结合。在应急响应时可以直接定位到具体的用户、设备、访问行为的开始和结束时间快速采取应对措施。同时还能对访问过程进行取证和分析以便日后溯源、取证和固定证据。
零信任防护价值
持安科技零信任团队已经建立了完备的安全体系。首先在平台搭建阶段我们对业务和身份进行了全面的梳理以强化资产管理能力并实现对暴露面的全面管控。
其次在业务发布过程中我们将企业业务系统与零信任原则相融合实现了对未知人员发起的未知攻击的有效抵御同时在关键时刻提供相关的分析和判断以及溯源总结的支持确保用户在无感知的情况下得到办公安全保障。 零信任实施部署架构
持安零信任产品已支持全网、全行业覆盖在互联网、金融、能源、科技、高端制造、游戏、新零售等领域落地单一客户接入规模超20万总接入用户数超100万接入业务系统20000。 持安零信任采用分布式部署以用户的业务为核心在业务系统附近进行部署。以微服务方式构建在用户访问过程中实现无感知同时具备极强的稳定性和高可用性。
零信任安全服务流程
持安零信任产品在实施时以防守有效性为目的提供相关的验证服务。 持安科技推出了基于零信任的安全服务和验证的一整套流程为企业提供红蓝对抗、安全评估、现场值守和溯源分析等相关服务。将零信任的落地视为一个动态持续运营的过程并围绕运营提出了关键的服务点和思路旨在通过应用层零信任的真正落地使其在用户端产生真正的安全价值。
