芯盾时代零信任安全落地案例:HW行动
星期二, 四月 20, 2021
公安部研究制定的《贯彻落实网络安全等保制度和关保制度的指导意见》,明确指出网络安全工作“三化六防”的措施,即实战化、体系化、常态化的思路,以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的措施。经实践证明,网络安全保护已全面进入实战化阶段。
经过多年建设的网络安全,HW期间仍不可避免的被攻击队打穿,主要是因为用户仍然采用传统边界防护理念,即垒高墙和区域隔离的模式,因各区域的安全级别不同,需要在安全区域之间部署防火墙、IPS、防毒墙、WAF等安全防护设备,以此应对外界攻击。而传统边界防护理念最大的弊端是防外不防内,用户通过账号登陆即默认可信,对边界内用户的操作不做过多的行为监测,造成安全区域内部过度信任的问题。假设账号是攻击者通过口令爆破或者社工获取,即可通过合理的身份进行非法操作;同时因为缺少来自客户端的安全信息,对威胁的安全分析不够全面,所以成了边界安全理念的脆弱点。
随着云应用、移动互联网、物联网、5G 等技术的兴起及应用,IT 环境呈现多样化趋势,同时也带来了更多的新型安全风险。基于目前网络发展的需求,零信任将成为未来网络安全的主流架构,企业 IT 安全建设的必然选择。零信任安全理念解决了区域和信任的绑定关系,用户的访问权限不再受到网络区域的限制,访问前需要经过身份认证和授权,而身份认证不再仅仅针对用户,还将对用户所持客户端进行安全校验,并且在访问过程中进行用户画像和持续性风险评估,对访问进行动态、细粒度的授权,同时采用最小授权原则,可以有效防御攻击队的入侵以及0day攻击。
芯盾时代解决方案打破传统以网络边界为信任的条件,以零信任安全理念出发,从身份、设备、行为等维度展开全方位防护,对企业内、外部的所有访问重新进行信任评估和动态访问控制,针对所有访问企业资源的请求,进行认证、授权和加密,对用户和使用设备进行全面验证,同时可以对每一次访问请求进行实时的风险评估。
芯盾时代HW解决方案基于零信任安全理念,提供覆盖事前、事中、事后的场景化全流程业务安全防护。
参与HW行动,首先要做的是对企业的硬件及网络资产进行盘查,清查全量资产定级备案,进而对资产配备相应的防护手段。而当前绝大多数企业存在对自身企业资产的画像不清晰、威胁响应应对不及时和管理制度的不完善等问题,没有能够真正将资产和威胁管理起来。在HW行动中,部分遗漏、未被安全管理、未及时下线的系统由于存在安全漏洞并缺乏相应的安全防护策略,而被攻破导致失分。
数字资产在线发现系统
芯盾时代数字资产在线发现系统以数字资产(IT资产、应用资产、数据资产、代码资产等数字资产)为核心,帮助用户梳理企业内外网的数字资产情况,并对企业数字资产主动威胁检测,结合威胁情报对企业威胁(主机漏洞、web漏洞、0day漏洞、弱口令、代码泄露、APP威胁)进行跟踪和管理,将威胁和业务以及负责人关联起来,并在长期威胁检测和复查的基础上,对威胁的解决时间和结果进行跟踪,真正起到资产盘查和威胁发现的作用。
攻击方利用当前大部分单位应用系统、服务器或网络设备等弱口令、单因素认证、特权账号共享等问题,通过风险漏洞登录应用系统、服务器或网络设备,获取更高权限的账户从而进行提权。
双因素认证
芯盾时代的双因素认证产品通过移动双因素认证技术和认证代理技术,在原系统用户名密码认证基础上,快捷实现二次认证、双因素认证、认证策略控制,对业务系统、服务器、网络设备的访问登录进行二次认证,大幅提升系统认证安全性,可有效避免因弱口令、密码管理不当、源代码管理不当(源代码中含有系统管理员账户密码)带来的系统被盗,而导致的失分。
芯盾时代零信任业务网关SDP是零信任体系的重要组成部分,具有安全客户端、安全应用网关、安全API网关、动态访问控制平台、智能安全大脑、安全运营中心等功能模块。
零信任业务网关
SDP的核心功能是基于SPA协议的隐藏,能够实现后端业务以及网关自身的隐藏,使攻击者获取不到后端服务器的信息,有效减少暴露面,使攻击队失去攻击方向。
同时芯盾时代采用UDP建立连接的方式,非授权客户端无响应,只对授权客户端进行响应,可以有效阻止攻击和扫描,待通信成功建立后再采用TCP协议通信,确保用户身份的安全性。
用户在连接后端服务时,SDP会对收集的终端信息进行安全性分析,只有终端没有安全问题时才能连接SDP,进行服务请求、转发;SDP通过安全应用网关和安全API网关对请求进行访问控制策略匹配;智能安全大脑会对访问进行持续性评估,将评估结果同步到动态访问控制平台,对账户持有者采取“最小化授权策略”,根据风险评估登记,通过持续自适应的匹配认证方式完成动态授权,应对、处置随时会出现的安全风险。同时,安全运营中心提供可视化平台,对安全态势进行全方位展示。
演习的结束也是防护工作改进的开始。在实战工作完成后,芯盾时代帮助用户进行充分、全面复盘分析,总结经验、教训,包括工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练和注意事项等方面。
芯盾时代针对复盘中的不足,为用户提供合理可行的安全整改建议,如管理层面的不完善、技术层面需优化的安全措施和策略、协调处置工作层面上的不足、人员队伍需要提高的技术能力等方面,达到整改安全漏洞隐患,完善安全防护措施,优化安全策略,强化人员队伍技术能力,有效提升整体网络安全防护水平的目的。
采用UDP协议建立连接,TCP协议进行通信的方式保障访问的安全性:芯盾时代在服务隐藏的基础上,还做到了网关隐藏,使攻击者扫描不到SDP网关,从而失去方向性。
提供全链路API的安全保障:API网关提供了API认证、参数过滤、访问控制、流量控制、内网访问等多种安全机制,并且可以与WAF、DDoS高防IP、IDaaS等结合使用,形成全链路API安全保障方案,具备不同角色对数据访问的控制、服务降级能力、熔断/流量控制、免改造,快速实施的优势。
某股份制银行测试环境对外开放了大量的服务和API接口,为100多个服务商提供访问接口,存在暴露面过大的风险。为应对HW期间测试环境的安全,该行通过采购芯盾时代零信任业务网关,实现服务和端口隐藏、减少业务系统服务暴露、提供二次安全认证、用户访问事件监控、异常访问监控、风险访问及时熔断等功能,可大幅减少攻击方到达应用系统的几率,并对风险访问及时熔断,避免因非法访问和越权访问而失分。
芯盾时代为xx银行、xx统计局、xx服务局、xx考试中心等在内的数十个用户提供了双因素认证,解决了攻方通过各种方法拿到用户名和密码,进行系统登陆获取提权的问题,有效保护了业务系统、服务器、网络设备的登陆安全。
目前,芯盾时代已获得500+家头部标杆客户的高度认可,为民生银行、北京银行、恒丰银行、华夏银行、兰州银行、银河证券、华夏基金、华泰证券、安信证券、泰康人寿等300+家金融机构,提供业务安全整体防护体系;与中央网信办、公安部、水利部、中共中央党校、北京市政府、中国移动、中国联通、中煤集团、永辉超市、清华大学等数百家客户通力合作,以零信任安全体系,应对来自外部身份欺诈和内部信息泄露的风险。
芯盾时代是业务安全产品和服务提供商,率先提出“以人为核心的业务安全”理念的公司。芯盾时代持续引领业务安全技术发展方向,以人工智能赋能信息安全,为客户提供场景化全生命周期业务安全防护方案,助力客户打造安全、智能、可信的业务体系。