0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

零信任攻防实践丨基于零信任理念,助力企业攻防演练

芯盾时代 来源:未知 2023-08-17 10:05 次阅读
近年来,APT攻击、DDoS攻击等网络安全问题频发。为了筑牢网络安全防线,我国自2016年开始进行实战攻防演练,以此来强化网络安全隐患排查整改,推动以攻促防,查漏补缺。而随着网络环境的改变,攻击手段的提高,基于固定边界的网络安全防御理念已经难以抵挡灵活多变的网络攻击。其“围栏式”的边界防御,通过防火墙隔离企业的内网外网,虽然目前很多企业已经意识到企业的内网也未必安全,但是依然存在“重外敌,轻内鬼”等问题,内部防御能力不足,缺乏全局视角下发现实际环境中安全风险的能力。而零信任理念的出现,也为安全提供了新的建设思路。那么,零信任在实战攻防演练中,又可以提供哪些能力,起到什么作用呢?芯盾时代研发副总裁陈曦将为你盘点攻防演练中的零信任安全问题,解析企业零信任安全建设之道~

Q1:零信任在攻防演练中的防御思路是怎么样的?

虽然我国的网络安全建设经过多年的实践已经逐渐全面,但仍不可避免的会被黑客攻破,其中一个很大的原因就是传统“垒高墙”式“防外不防内”的安全防护理念已经不适应当前网络环境和安全建设的需要了。为了改变攻防不对等的情况,零信任网络安全防护理念应运而生。其解决了区域和信任的绑定关系,用户的访问权限不再受到网络区域的限制,访问前需要经过身份认证和授权,而身份认证不再仅仅针对用户,还将对用户所持客户端进行安全校验,并且在访问过程中进行用户画像和持续性风险评估,对访问进行动态、细粒度的授权,同时采用最小授权原则,可以有效防御黑客的入侵以及0day攻击。落实在具体产品上:零信任实现了资源和SDP网关自身的双重隐藏,基于SPA单包授权的原则,先认证后连接,缓解非法攻击,避免成为恶意流量的黑洞。而实时的风险感知则对每一次访问进行持续的信任评估,动态访问控制引擎根据评估结果实时生成访问控制策略,自动执行细粒度的访问控制策略,避免风险访问造成的数据泄露。还可以通过多因素认证,大幅提升系统认证安全性,可有效避免因弱口令、密码管理不当带来的系统被盗而导致的失分。

Q2:面对互联网资产暴露的问题,零信任如何帮助企业收敛资产暴露面

当前大多数企业都存在对自身企业资产画像不清晰、威胁响应不及时和管理制度不完善等问题,没有真正的将资产和威胁管理起来。在攻防演练中,那些部分被遗漏、未被安全管理、未及时下线的系统,由于存在安全漏洞并缺乏相应的安全防护策略,则很容易被攻击者找到和利用,比如现在企业常用的 VPN,由于它的端口本身是对外开放的,所以通常会成为被攻击的目标。而对于这类资产暴露的问题,芯盾时代零信任业务安全平台SDP可以通过“网络隐身”技术,减少资产的暴露面。而“网络隐身”则是从两方面来实现的:网关隐身:安全应用网关默认关闭所有端口,外部扫描不到任何网关的端口。只有安装安全客户端Agent的终端,能过经过SPA预认证,才能够通过单包敲门的方式,与SDP安全网关建立连接。应用隐身:从外部无法看到业务服务,也无法与业务服务直接建立连接。在与安全应用网关成功连接之后,此时内部的业务应用还是隐身状态。只有通过身份认证的用户,才能看到有访问权限的应用系统。总的来说,通过这种 SPA 预认证的机制,确保我们接入设备的安全性,减少暴露端口。像刚才提到的 VPN 问题,很多企业会用零信任网关去增强或者替代 VPN,从而减少被攻击的可能性,增强安全性。

Q3:弱口令是企业安全建设中的老大难问题,零信任如何帮助企业解决这个问题?

弱口令确实是现在企业安全建设中的一大难题。在攻防演练中,很多攻击者会利用企业的应用系统、服务器或网络设备的弱口令、单因素认证、特权账号共享等问题,通过账号密码登录到应用系统、服务器或网络设备,再进一步提权拿下目标系统。针对这些弱口令问题,很好的一个方法就是通过多因素认证去多角度、多方位的保护用户的合法性。零信任强调的是流量身份化,以身份为核心构建安全防护边界。通过结合用户“所知”、“所持”和”所有”的多因素认证方式,如密码、指纹、令牌、短信、移动端扫码等,在客户原有认证流程上增加二次认证流程,保障身份认证的安全性,从而有效的解决暴力破解、拖库/撞库、账号冒用等一系列安全问题。还有一点值得注意,多因素认证也是我们芯盾时代用户身份与访问管理平台(IAM)很重要的功能点之一,IAM更是零信任理念的重要架构,目前我们已经完成了SDP和IAM的融合,实现强强联动。

Q4:在传统架构下,攻击者一旦攻入内网就能造成巨大破坏。零信任能够防范攻击者在内网的横向移动,减少攻击者带来的损失?

相比传统架构,零信任架构有一个很重要的安全价值,就是体现在防止横向移动上。在网络安全领域,“横向移动”是指攻击者进入网络后在该网络内移动。即使攻击者的进入点被发现,横向移动也难以检测到,因为攻击者会继续入侵网络的其他部分。还是以传统架构中的 VPN 为例,VPN 是一次认证、全网通行的,它一旦被攻破,就会进入到内网畅通无阻,这就是所谓的横向移动。而零信任旨在遏制攻击者,使他们无法横向移动。其核心是零信任“永不信任,始终验证”的原则。每个访问请求在授予访问之前都会进行完全身份验证,同时给予最小的访问授权,并且利用丰富的智能和分析进行检测并及时响应异常情况,一旦检测到攻击者的存在,就可以隔离遭入侵的设备或用户帐户,切断进一步的访问,或者拉起二次认证,最大限度地减少横向迁移。除此之外,作为零信任架构下最早的概念之一的微隔离也主要是防止横向移动。从数据中心捕获关键资产信息的横向移动是几种攻击的关键组成部分,微隔离的目的在于如果这些工作负载之间没有可操作的理由则限制他们之间未经批准的通信,从而最大限度地减少破坏的影响。与防火墙提供的典型南北向流量保护不同,微隔离着眼于工作负载的东西向流量安全。芯盾时代的零信任产品可以有效阻止横向移动的问题。首先,芯盾时代SDP通过规则引擎对前端采集的信息进行不间断的风险评估。持续身份认证对账户持有者采取“零信任”的态度,在用户操作系统的全周期内,持续性和周期性的通过规则引擎从设备、身份、行为、环境、资源、网络等各个维度进行持续的风险和信任计算,在用户访问应用资源时识别用户风险信息,评估风险得分。其次,可以根据持续的信任评估结果进行动态访问控制。基于风险评估结果,访问策略可以对用户的访问行为进行拦截,根据风险等级下发处置策略,包括阻断、放行、二次认证、隧道控制、动态权限伸缩、会话退出等。这样,通过持续的安全评估即便在安全措施失效、终端失陷的情况下,也能避免整个内网的进一步失陷。

Q5:零信任在攻防演练中有这么多优势,企业是不是应该放弃原有的纵深防御架构,全面转入零信任?

这样说是有失偏颇的,转向零信任架构并不意味着完全舍弃传统安全架构,这只是网络安全策略的调整。无论是过去还是现在,基于边界的防护理念始终保持着防护效果,零信任也并不能完全覆盖传统安全架构的能力和使用。存在即合理,不要因为上了零信任而将边界防护体系完全抛弃,反而要常态化保持零信任和边界防御兼具的安全架构。

往期 · 推荐

攻防演练宝典丨进攻方的身份攻击三板斧,企业怎样才能防得住?

基于零信任安全理念的攻防演练方案

实践案例丨政务系统如何“零信任”?某党政机关给出标准答案

远程办公“芯”方案丨零信任替换VPN,远程访问更安全


原文标题:零信任攻防实践丨基于零信任理念,助力企业攻防演练

文章出处:【微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 芯盾时代
    +关注

    关注

    0

    文章

    184

    浏览量

    1804

原文标题:零信任攻防实践丨基于零信任理念,助力企业攻防演练

文章出处:【微信号:trusfort,微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    芯盾时代参与编写信任相关标准

    近日,《信任体系身份认证与访问控制技术规范》标准(以下简称《标准》)第三次编写工作会议在北京成功举办。来自芯盾时代、中国电子科技集团公司第十五研究所、北京邮电大学等牵头单位和参编单位的专家代表
    的头像 发表于 11-05 11:07 310次阅读

    简单认识芯盾时代信任业务安全平台

    近年来,我国信任网络访问市场保持高速增长态势。IDC报告显示,2023年中国信任网络访问解决方案市场的规模达23.3亿元,同比增长25.5%。
    的头像 发表于 11-01 16:28 152次阅读

    “新一代”漏洞扫描管理系统:攻防演练不可或缺

    于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安自主研发出“新一代”漏洞扫描管理系统:国联统一系统脆弱性管理平台。平台在网络安全攻防演练
    的头像 发表于 09-18 17:21 262次阅读

    芯盾时代入选《现代企业信任网络建设应用指南》

    近日,国内知名网络安全媒体安全牛重磅发布了《现代企业信任网络建设应用指南(2024版)》报告(以下简称“报告”)。芯盾时代凭借在信任市场
    的头像 发表于 08-28 09:45 410次阅读

    Akamai将生成式AI嵌入信任安全解决方案

    近日,全球领先的云服务提供商Akamai宣布,其信任平台Akamai Guardicore Platform已成功集成了生成式AI技术。这一创新举措主要体现在Guardicore助手和AI Labeling两大功能的推出,为企业
    的头像 发表于 06-13 09:17 513次阅读

    红队攻防之快速打点

    导读: 在整个红队攻防体系中,打点是最基础也是最重要的一步。它对于红队在攻防比赛中取得快速和高效的进展至关重要。然而,在实际的攻防比赛中,由于资产数量庞大、红队人员稀缺以及时间紧迫等各种因素,导致
    的头像 发表于 05-27 10:20 214次阅读
    红队<b class='flag-5'>攻防</b>之快速打点

    以守为攻,信任安全防护能力的新范式

    引言 在当今的数字化时代,网络安全已成为各个组织面临的一项重大挑战。随着技术的快速发展,攻击手段也在不断演变和升级,传统的安全防御策略已经无法完全应对新兴的安全威胁。在这种背景下,信任安全
    的头像 发表于 05-27 10:18 890次阅读
    以守为攻,<b class='flag-5'>零</b><b class='flag-5'>信任</b>安全防护能力的新范式

    红队攻防之JS攻防

    前言: 随着当前攻防水平的不断提高,实战攻防过程中,经常能遇到前端的参数被各种各样的方式加密的情况。毫无疑问,这种方式能够防止很多脚本小子的脚步,但是很多网站就存在“金玉其外,败絮其内“的情况,将
    的头像 发表于 05-27 10:16 185次阅读
    红队<b class='flag-5'>攻防</b>之JS<b class='flag-5'>攻防</b>

    芯盾时代中标中国联通某省分公司 以信任赋能远程访问安全

    芯盾时代中标中国联通某省分公司信任远程访问安全,实现数据访问最小化授权、网络暴露面收敛、细粒度动态访问控制等功能,为客户建立内外网一体的信任远程办公体系。
    的头像 发表于 04-16 11:32 489次阅读
    芯盾时代中标中国联通某省分公司 以<b class='flag-5'>零</b><b class='flag-5'>信任</b>赋能远程访问安全

    什么是信任信任的应用场景和部署模式

      信任是新一代网络安全理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。 一
    的头像 发表于 03-28 10:44 2255次阅读

    5G双域专网+信任的神奇魔法

    企业提供了更快速、更可靠的连接,同时具备更高级别的安全保障。它将公共网络与私有网络结合,为企业打造了一个安全、高效的通信环境。而信任模型则从根本上颠覆了传统的网络安全
    的头像 发表于 03-25 11:04 498次阅读
    5G双域专网+<b class='flag-5'>零</b><b class='flag-5'>信任</b>的神奇魔法

    芯盾时代中标正川股份 信任替换VPN更安全更便捷

    芯盾时代中标重庆正川医药包装材料股份有限公司(简称:正川股份),基于信任安全理念,重构企业远程接入系统,替代客户采用VPN接入办公的方案,保障企业
    的头像 发表于 03-19 11:26 510次阅读
    芯盾时代中标正川股份 <b class='flag-5'>零</b><b class='flag-5'>信任</b>替换VPN更安全更便捷

    网络攻防模拟与城市安全演练 | 数字孪生

    在数字化浪潮的推动下,网络攻防模拟和城市安全演练成为维护社会稳定的不可或缺的环节。基于数字孪生技术我们能够在虚拟环境中进行高度真实的网络攻防模拟,为安全专业人员提供实战经验,从而提升应对网络威胁的能力。同时,在城市安全
    的头像 发表于 02-04 10:48 626次阅读
    网络<b class='flag-5'>攻防</b>模拟与城市安全<b class='flag-5'>演练</b> | 数字孪生

    信任网络:工业4.0时代的网络安全基石

    为什么信任是应对这些问题的好办法?Agrawal说,当他与电信公司合作时,突然想到了一个问题,“为什么没有在手机等终端上看到此类的漏洞?
    的头像 发表于 01-12 14:57 773次阅读

    中山市政务服务数据管理局联合华为发布《中山市终端信任实践白皮书》

    [中国,广州,2023年12月8日] 第二届广东数字政府峰会期间,“网络与信息安全”专题论坛成功举办。会上,中山市政务服务数据管理局联合华为正式发布《中山市终端信任实践白皮书》(以下简称白皮书
    的头像 发表于 12-08 19:45 655次阅读