持安科技孙维伯:零信任在攻防演练下的最佳实践|DISCConf 2023

近日,在2023数字身份安全技术大会上,持安科技联合创始人孙维伯应主办方的特别邀请,发表了主题为“零信任在攻防演练下的最佳实践”的演讲。

孙维伯在2023数字身份安全技术大会上发表演讲

以下为本次演讲实录:

我是持安科技的联合创始人孙维伯,本次为大家带来的是零信任在攻防演练下的最佳实践,本次分享将围绕这三个方面:

1. 安全需求转变

2. 战技分析和防守挑战

3. 零信任防护场景和价值

安全需求的转变

近年来,网络安全需求已经发生本质行的改变。

从前企业安全建设主要以合规为主,但是近些年,安全法律法规在完善,大型攻防演练在普及,企业数据泄露、勒索事件发生也在逐年增加。

如今企业的安全建设不仅需要满足安全合规需求,还要保障企业的网络安全建设禁得住实战的考验。

那么,目前的网络安全态势下,哪些是传统的安全手段无法解决的问题?

· 隔离失效:在面临钓鱼攻击、近源攻击时,边界隔离手段容易被攻击者突破。

· 特征未包含:未知的0day漏洞层出不穷,传统的黑名单防护模式无法基于特征做有效防护。

· 漏洞修复难:修复周期长,需要一定时间,期间企业时刻有被攻击的风险。

· IP不可追溯:传统安全手段IP无法定位到具体的人员身份,不可有效溯源。

图中展示了在大型攻防演练中,容易导致出局的攻击路径,例如边界漏洞被打穿、钓鱼攻击等。下面我们对一些常见的突破场景做分析。

战技分析和防守挑战

根据近几年的攻防演练分析,主要存在以下三大主要的攻击场景:

1)外网应用漏洞突破

大型攻防演练期间,防火墙、VPN设备、扫描器等边网络联通性的设施成了攻击者主要攻击入侵的对象。这些设备中如果存在漏洞,被攻击者利用后可以在防守方毫无知觉的情况下,直接进入企业内网。

另外,近两年来,移动办公设备也成为了漏洞突破的重灾区,比如企业为了工作方便,将企业工作台和企业微信、飞书等打通,手机可一键审批。但是此时,OA、CRM等系统中一旦存在漏洞非常容易被黑客利用。

这类安全问题往往会导致业务停滞,会给安全部门和业务部门的沟通带来很大的问题。

2)办公内网失陷

办公网失陷的两个大家比较熟知的重要路径是口令失陷和钓鱼攻击,但是今天我主要想提一下SDP场景下攻击路径。

SDP是零信任理念的一个落地场景,起到的是四层网络接入和连接的作用。而在攻击者发起攻击时,假如受攻击用户的客户端,已经通过SDP或VPN连接到办公内网,客户端被钓鱼之后,会直接构建一个网络隧道打到内网,此时SDP无法感知与拦截。甚至使用SDP后,会使攻击者以更隐蔽、更快地速度在内网横向移动。

3)弱口令攻击

弱口令这么多年来一直是困扰防守方的难题之一,其中一个原因是老旧系统无法与IAM或IDAAS系统对接;另一个原因是,企业认为的已经设置的强口令,其实在暗网已经被泄露了。

尤其是公司里面管理层,容易成为攻击者抓取数据的主要目标,很难有效防护。

防守痛点top10

近年来,长居每年防守难点弱口令、0day或1day、钓鱼攻击等等。

我们知道安全往往无法做到100%防护,那么我们在进行安全的防护工作时,就要考虑一个问题:

如果攻击者已经进入了企业内网,员工的终端已经被攻击者控制了,企业安全部门该怎么办?

零信任防护场景和价值

零信任是一种理念,我们基于这个理念建立起一个一体化的办公安全平台,可有效抵御未知人员发起的攻击,保障企业大型攻防演练期间不丢分。

暴露面收敛-零信任应用网关

应用网关部署在企业的应用系统之前,无论是在内部还是外部,员工在访问业务系统之前都必须通过零信任的认证。

零信任认证将根据访问者的业务身份、访问系统是否在权限范围内以及是否存在危险行为等因素,对其访问行为进行实时验证和授权。即使攻击者伪装成可信人员,并通过了身份认证,如果他试图进行不合规的恶意行为,零信任机制也能够动态地检测并阻止他。

防止办公网钓鱼攻击

钓鱼攻击的一个比较常见的控制思路是,攻击者先控制一台终端,然后基于终端建立一个隧道,通过云上的控制机来控制终端,再继续链接内网。

持安科技以最佳实践方式落地的零信任,将身份认证和网络访问实时动态验证过程深入应用层,零信任网关会判断访问者的身份是否有关键设备证书,并验证证书是否与当前设备匹配,而非仅仅通过设备进行代理网络授权接入。

在这种情况下,攻击者只能获取到办公网一台设备终端的网络接入权限,而无法获得该设备的业务身份权限。即使攻击者使用该设备发起代理网络隧道连接,也无法发起对业务系统的访问请求和攻击。这是我们零信任最佳实践与普通的SDP、VPN替代解决方案之间本质区别。

弱口令攻击防护

在弱口令防护时,持安科技自建了身份源,此外持安也和身份安全公司合作打通,第三方身份安全公司可做初次认证,持安负责挑战认证。例如访问者需要访问高敏数据时,持安会对其身份、行为、设备、上下文数据等做综合认证,只有经验证可信后,访问才可连接。

老旧系统防护

对于某些老旧系统而言,它们无法与内部身份中心进行连接,并且企业也缺乏关于使用这些老旧业务系统的用户的清晰认知。

在接入零信任平台后,当用户访问老旧业务系统时,必须先通过零信任认证,才能够获得访问权限,利用零信任分析平台,将员工的身份与老旧系统用户的真实身份进行关联和分析,建立完整的身份识别通道。在不对老旧系统业务进行改造的情况下,加强口令的安全性和防护能力。此外,安全人员也能够通过零信任平台的接入,加强对老旧系统使用情况的了解。

防止员工泄密

很多企业需要准确地分析和识别员工的行为。过去企业常常从终端角度入手,但是员工会抵触,覆盖范围有限。

持安实现了无端水印和无端的文件追踪技术,并且对文件内容进行追踪,以及文件特定特征的追踪技术,一旦企业发生文件数据泄露事件,结合持安科技终端的能力,站在上帝视角审视数据的分布、使用、流转情况,

零信任解决方案将用户的真实身份与其访问的应用数据和文件进行关联,会为用户访问的页面、转发或下载的文件内容添加水印,并设置敏感文件的身份标签进行跟踪。一旦发现用户通过网关访问的文件泄露,我们只需在网关上查询相关泄露文件,便可查清是哪些用户在什么时间访问了哪个文件。

此外,零信任解决方案还可以记录和学习员工的日常访问行为,并将其与文件访问频率和数据相关联。一旦发现有用户的行为与平时差别巨大,例如突然集中大量下载文件,我们将加强认证或阻断该次访问。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/713668.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【c++】 STL的组件简介与容器的使用时机

STL六大组件简介 STL提供了六大组件,彼此之间可以组合套用,这六大组件分别是:容器、算法、迭代器、仿函数、适配器(配接器)、空间配置器。 容器:各种数据结构,如vector、list、deque、set、map等,用来存放…

微信云开发-- Mac安装 wx-server-sdk依赖

第一次上传部署云函数时,会提示安装依赖wx-server-sdk 一. 判断是否安装wx-server-sdk依赖 先创建一个云函数,然后检查云函数目录。 如果云函数目录下只显示如下图所示三个文件,说明未安装依赖。 如果云函数目录下显示如下图所示四个文件&a…

EdgeX Foundry 边缘物联网中间件平台

文章目录 1.EdgeX Foundry2.平台架构3.平台服务3.1.设备服务3.2.核心服务3.3.支持服务3.4.应用服务3.5.安全服务3.6.管理服务 EdgeX Foundry # EdgeX Foundryhttps://iothub.org.cn/docs/edgex/ https://iothub.org.cn/docs/edgex/edgex-foundry/1.EdgeX Foundry EdgeX Found…

嵌入式 Linux 下的 LVGL 移植

目录 准备创建工程修改配置修改 lv_drv_conf.h修改 lv_conf.h修改 main.c修改 Makefile 编译运行更多内容 LVGL(Light and Versatile Graphics Library)是一个轻量化的、开源的、在嵌入式系统中广泛使用的图形库,它提供了一套丰富的控件和组件…

微软为金融界带来革命性突破——推出Microsoft 365中的下一代AI助手:Microsoft Copilot for Finance

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

雷龙CS SD NAND(贴片式TF卡)测评体验

前段时间有幸免费得到了雷龙出品的贴片式的TF卡的芯片及转接板,两片贴片式nand芯片+一个转接板,一种一个已让官方焊接完好;如下图所示: 正面: 背面: 通过转接板,可以将CS SD NAND(贴…

数电实验之流水灯、序列发生器

最近又用到了数电实验设计的一些操作和设计思想,遂整理之。 广告流水灯 实验内容 用触发器、组合函数器件和门电路设计一个广告流水灯,该流水灯由 8 个 LED 组成,工作时始终为 1 暗 7 亮,且这一个暗灯循环右移。 1) 写出设计过…

关于DisableIEToEdge插件闪退问题的解决方案

关于DisableIEToEdge插件闪退问题.今天终于测试找到最佳解决方案了! 1.管理员权限运行Windows powershell. 2.执行一下两条命令修复系统环境 DISM.exe /Online /Cleanup-image /Restorehealth sfc /scannow 3.关闭Windows安全中心的所有安全选项。 4.管理员权限运行…

【计算机考研择校】四川大学vs电子科技大学哪个难度更大?

川大在文科,经管方面比科大强,医学在国内都很强。但工科方面特别是电子信息领域明显是科大强于川大。毕竟一个是综合大学,一个是工科大学不可同日而语。 就业上,电子科大在IT领域的社会声誉口碑不错。就业一向都很好。这个多问问…

张俊将出席用磁悬浮技术改变生活演讲

演讲嘉宾:张俊 空压机销售总监 亿昇(天津)科技有限公司 演讲题目:用磁悬浮技术改变生活 会议简介 “十四五”规划中提出,提高工业、能源领城智能化与信息化融合,明确“低碳经济”新的战略目标,热能产业是能源产业和…

Python环境下一种改进的基于梯度下降的自适应短时傅里叶变换

在数字信号处理技术中,傅里叶变换及其逆变换是一种信号时频分析方法。该方法将信号的时域描述及频域描述联系在一起,时域信号可通过正变换转变为频域信号,频域信号可通过逆变换转变为时域信号进行分析。但傅里叶变换及其逆变换是一种信号的整…

Linux/Centos 部署静态IP,解决无法访问目标主机、Destination Host Unreachable、无法ping通互联网的问题

Linux/Centos 部署IP,解决无法访问目标主机、Destination Host Unreachable、无法ping通互联网的问题 Linux/Centos 部署静态IP查物理机/自身电脑的IP设置VMware上的虚拟网络编辑器设置网卡IP,激活至此就可访问百度了 Linux/Centos 部署静态IP 需要注意…

软考基础知识2

1.DMA控制方式:直接内存存取。数据在内存与I/O设备间直接成块传送,不需要CPU的任何干涉,由DMA硬件直接执行完成。 例题: 2.程序计数器总是存下一个指令的地址。 例题: 3.可靠度的计算: 例题&#xff1a…

吸猫毛空气净化器哪个好?推荐除猫毛效果好宠物空气净化器品牌

当下有越来越多的家庭选择养宠物!尽管家里变得更加温馨,但养宠可能会带来异味和空气中的毛发增多可能会带来健康问题,这是一个大问题! 不想家里弥漫着异味,特别是来自宠物便便的味道,所以需要一款能够处理…

ABAP - SALV教程02 - 开篇:打开SALV的三种方式之二

全屏模式生成SALV的方式:http://t.csdnimg.cn/CzNLz本文讲解生成可控模式的SALV,该方式需要依赖自己创建屏幕的自定义控件区域(Custom Control)实现步骤:需要注意的点是SALV的实例对象和dispaly方法一定是在屏幕PBO事件…

利用IP地址识别风险用户:保护网络安全的重要手段

随着互联网的发展和普及,网络安全问题日益突出,各种网络诈骗、恶意攻击等风险不断涌现,给个人和企业的财产安全和信息安全带来了严重威胁。在这样的背景下,利用IP地址识别风险用户成为了保护网络安全的重要手段之一。IP数据云探讨…

JVM内存回收算法

1.1 引用计数法 每个对象创建的时候,会分配一个引用计数器,当这个对象被引用的时候计数器就加1,当不被引用或者引用失效的时候计数器就会减1。任何时候,对象的引用计数器值为0就说明这个对象不被使用了,就认为是“垃圾…

奇舞周刊第521期:“一切非 Rust 项目均为非法”

奇舞推荐 ■ ■ ■ 拜登:“一切非 Rust 项目均为非法” 科技巨头要为Coding安全负责。这并不是拜登政府对内存安全语言的首次提倡。“程序员编写代码并非没有后果,他们的⼯作⽅式于国家利益而言至关重要。”白宫国家网络总监办公室(ONCD&…

在idea中用模板骨架初始创建maven管理的web项目时没有src有关的目录的解决方案

一.问题如下 二.解决方法 首先关闭当前项目,接着修改全局设置,重新创建项目 在VM Options中添加"-DarchetypeCataloginternal",点击ok保存 点击创建,如果创建成功没报错且有src,就ok了。 当然如果出现以下…

「媒体宣传」如何写好新闻稿?

传媒如春雨,润物细无声,大家好,我是51媒体网胡老师。 写好新闻稿是媒体宣传的关键环节之一,下面是一些关于如何写好新闻稿的建议: 明确新闻稿的目的和受众:在写新闻稿之前,首先要明确新闻稿的目…