持安科技孙维伯:零信任理念下的实战攻防:ISC2023数字小镇演讲

近日,在ISC 2023第十一届互联网安全大会上,持安科技联合创始人孙维伯作为零信任办公安全赛道代表,亮相数字小镇New50,并发表《全方位防御:零信任理念下的实战攻防》主题演讲。

以下是本次演讲实录:

这几年,网络安全已经从监管合规趋向于实战化,网络诈骗、黑产越发猖獗,企业面临的安全挑战愈加严峻。

在实战攻防的场景下,攻防双方不对等。攻击者找到任意漏洞,即可攻破防守方,但是防守方却需要做全方位的防御,不能出任何差错。

当前常见的边界攻击对防守方构成了巨大挑战,防守方很难全面了解企业的所有边界资产,这限制了他们针对易受攻击的资产采取有效的防御手段。此外,在面对黑客定向攻击时,防守方只能防御已知的攻击手段,而每年都会发现大量0day漏洞,甚至一些一线安全产品也容易出现0day问题,传统的安全手段已无法满足防御需求。

此外,防守方的溯源能力也至关重要。企业遭遇安全事件后,能够追踪攻击的来源和路径,并完整保留相关证据,这是安全建设中的一个关键因素。

综合来讲,目前实战攻防中,主要存在以下几类攻击场景:

外网:各类应用漏洞、弱口令突破

弱密码可分为两类。第一类是过于简单的密码,例如"123456"。另一类是攻击者通过搜索社交工程库和数据库,在互联网上暴露的信息中搜索目标人员使用的密码信息。许多人习惯使用同一个密码登录所有系统,而在公司关键职位的人员也存在难以管理复杂密码的问题,同时安全团队也难以要求领导设定过于复杂的密码。

在外部网络攻击中,一旦存在0day漏洞的VPN设备、OA等办公系统被入侵,其中存储的账号和密码可能会被泄露。此外,面对一些未知的风险,例如业务人员在企业管理员或安全人员不知情的情况下突然上线一个资产,而这些新上线的业务系统可能存在0day漏洞,这也是每年大型攻防演练中的一个攻破点。

内网:各类办公系统突破

随着外部攻击的不断增加,防守方已经意识到这一点,并加强了对外部网络的防御。攻击者们发现企业办公网络内部的系统通常存在漏洞,很多企业的办公网络对员工访问没有设立防护措施,员工可以直接通过办公网络访问内部的各种应用和业务系统。一旦攻击者成功入侵办公网络,就相当于直接进入了企业的内部网络。

对外进行网络攻击时,特别需要着重强调一种攻击方式,即钓鱼攻击。根据上图所示的攻击场景,攻击者只需控制内网中的任意一台设备,并通过VPN或SDP连接办公网络中的办公电脑,这台电脑就能够直接连入企业内网。如果企业内部的办公系统之间没有设置防护措施,攻击者将能在企业内部自由行动。

我们总结了过去一年中的攻击手法前十名。左侧列出的是攻击队伍最喜欢的常见漏洞和风险,右侧则是企业安全部门的管理成本。

如果攻击者已经穿透边界进到企业内部防守方如何应对?

以最佳实践方式落地的零信任,可有效抵御未知人员发起的未知攻击。

业务隐身

无论是在内部还是外部,员工在访问业务系统之前都必须通过零信任的认证。零信任认证将根据访问者的业务身份、访问系统是否在权限范围内以及是否存在危险行为等因素,对其访问行为进行实时验证和授权。

企业采用零信任网关对内部员工和合作伙伴的访问进行防护,使其在访问业务系统时,必须经过零信任的持续验证。即使攻击者伪装成可信人员,并通过了身份认证,如果他试图进行不合规的恶意行为,零信任机制也能够动态地检测并阻止他。

防止办公网钓鱼攻击

在边界防御模式下,一旦攻击者成功钓鱼并控制了内部办公网上的个人电脑,他们会通过外部公网上的主机建立一个反向连接,从而直接将其与企业内网连接起来。

持安科技以最佳实践方式落地的零信任,将身份认证和网络访问实时动态验证过程深入应用层,零信任网关会判断访问者的身份是否有关键设备证书,并验证证书是否与当前设备匹配,而非仅仅通过设备进行代理网络授权接入。

由于仅仅代理形式的网络授权接入过程只能看到网络授权信息,并不能获得当前设备的真实身份信息。通过更严格的零信任策略,可以防止内网钓鱼攻击。在这种情况下,攻击者只能获取到办公网一台设备终端的网络接入权限,而无法获得该设备的业务身份权限。即使攻击者使用该设备发起代理网络隧道连接,也无法发起对业务系统的访问请求和攻击。

这是我们零信任最佳实践与普通的SDP、VPN替代解决方案之间本质区别。

弱口令攻击防护

为了防范弱口令的风险,先前常用的手段是对口令进行统一修改和强化。然而,对于某些老旧系统而言,它们无法与内部身份中心进行连接,并且我们也缺乏关于使用这些老旧业务系统的用户的清晰认知。

在接入零信任平台后,当用户访问老旧业务系统时,必须先通过零信任认证,才能够获得访问权限,利用零信任分析平台,将员工的身份与老旧系统用户的真实身份进行关联和分析,建立完整的身份识别通道。在不对老旧系统业务进行改造的情况下,加强口令的安全性和防护能力。

此外,零信任在保护业务系统时会进行精细化授权。当内部某个办公应用程序存在漏洞时,将相关的漏洞敏感访问URL或对应链接纳入零信任防护流程中。只允许通过零信任动态验证的用户进行访问,及时阻止攻击者的攻击行为。

防止员工泄密

很多企业对于如何准确地分析和识别员工的行为感到头疼。过去,我们常常从终端角度入手,但是员工会抵触,覆盖范围有限。

零信任解决方案将用户的真实身份与其访问的应用数据和文件进行关联,会为用户访问的页面、转发或下载的文件内容添加水印,并设置敏感文件的身份标签进行跟踪。一旦发现用户通过网关访问的文件泄露,我们只需在网关上查询相关泄露文件,便可查清是哪些用户在什么时间访问了哪个文件。

此外,零信任解决方案还可以记录和学习员工的日常访问行为,并将其与文件访问频率和数据相关联。一旦发现有用户的行为与平时差别巨大,例如突然集中大量下载文件,我们将加强认证或阻断该次访问。

零信任是否存在周期长,落地难等问题?

一些零信任实施以终端为推广入口,对安全团队或运营团队来说是一项艰巨的任务。他们需要推动成千上万甚至数十万人使用终端,而当终端出现稳定性问题时,对推广团队将是重大打击。其次,终端的易用性和实用性很难掌握,有些员工不知道如何安装终端。即使成功安装完毕,电脑上的杀毒软件自动卸载终端后,他们也不知道如何重新安装,并可能出现各种兼容性和稳定性的问题。

因此,持安零信任方案的第一步是推广网关。先将应用层网关与企业身份融合打通,并将其放置在应用的前方。用户无需改变过去的访问行为和习惯,零信任的能力将融入到员工日常的办公中。

然后逐步通过终端来扩大推广范围。最后,我们将与企业威胁情报等已有的安全系统进行打通融合,实现安全一体化。

这五个步骤是大型攻防演练中我们保卫成功所需关键点,而且这五个步骤可以与零信任原则一一对应。例如,在过去的应急响应中,一旦某台办公设备受到攻击,现场就会变得非常紧张。由于只能看到IP地址,而IP地址可能代表一台设备,也可能是一个办公区的总出口,因此运维人员很难将IP地址与具体人员关联起来,工作量十分庞大。

零信任原则可以将每个设备的访问情况、流量情况、请求域名情况以及用户的每一步操作都打上身份标签,并与企业现有的威胁情报相结合。在应急响应时,可以直接定位到具体的用户、设备、访问行为的开始和结束时间,快速采取应对措施。同时还能对访问过程进行取证和分析,以便日后溯源、取证和固定证据。

零信任防护价值

持安科技零信任团队已经建立了完备的安全体系。首先,在平台搭建阶段,我们对业务和身份进行了全面的梳理,以强化资产管理能力,并实现对暴露面的全面管控。

其次,在业务发布过程中,我们将企业业务系统与零信任原则相融合,实现了对未知人员发起的未知攻击的有效抵御,同时在关键时刻提供相关的分析和判断,以及溯源总结的支持,确保用户在无感知的情况下得到办公安全保障。

零信任实施部署架构

持安零信任产品已支持全网、全行业覆盖,在互联网、金融、能源、科技、高端制造、游戏、新零售等领域落地,单一客户接入规模超20万,总接入用户数超100万+,接入业务系统20000+。

持安零信任采用分布式部署,以用户的业务为核心,在业务系统附近进行部署。以微服务方式构建,在用户访问过程中实现无感知,同时具备极强的稳定性和高可用性。

零信任安全服务流程

持安零信任产品在实施时以防守有效性为目的,提供相关的验证服务。

持安科技推出了基于零信任的安全服务和验证的一整套流程,为企业提供红蓝对抗、安全评估、现场值守和溯源分析等相关服务。将零信任的落地视为一个动态持续运营的过程,并围绕运营提出了关键的服务点和思路,旨在通过应用层零信任的真正落地,使其在用户端产生真正的安全价值。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/83558.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

系统灰度随笔记

系统灰度随笔记 这段时间系统重构,负责重构的其中一个模块需要与四个上游系统对接进行切换,虽然自己在这个过程中也设计了一套灰度方案来承接,将灰度的主动权控制在下游,但是很难同时应对四个上游系统,因为每个上游系…

Redis的介绍以及简单使用

Redis(Remote Dictionary Server)是一个开源的内存数据存储系统,它以键值对的形式将数据存在内存中,并提供灵活、高性能的数据访问方式。Redis具有高速读写能力和丰富的数据结构支持,可以广泛应用于缓存、消息队列、实…

vue的由来、vue教程和M-V-VM架构思想、vue的使用、nodejs

vue vue的由来 vue教程和M-V-VM架构思想 vue的初步简单使用 nodejs vue的由来 # 1 HTML(5)、CSS(3)、JavaScript(ES5、ES6、ES11):编写一个个的页面 -> 给后端(PHP、Python、Go、Java) -> 后端嵌入模板语法 -> 后端渲染完数据 -> 返回数据给前端 ->…

ATLAS 200通过PCIE 接入RK3588-EP模式

ATLAS 200 作为算理模块,可以作为主/协处理器接入RK3588,有两种模式:RC 模式和EP模式 RC模式:rk3588 和 ATLAS 200 可分别独立处理自身业务数据,不存在业务互相依赖,二者可通过网络等方式进行通信,ATLAS …

【SpringCloud微服务全家桶学习笔记-服务注册zookeeper/consul】

SpringCloud微服务全家桶学习笔记 Eureka服务注册 gitee码云仓库 9.其他服务注册框架 (1)zookeeper安装与使用 zookeeper需安装在虚拟机上,建议使用CentOS,安装地址如下: zookeeper镜像源 选择第一个进入后下载ta…

Unity实战(11):项目非启动状态下使用代码批量替换材质

目录 前言 配置环境 一、场景准备 二、代码演示 三、效果呈现 四、关于Resources.Load()的说明 前言 本文内容为unity在编辑状态(非启动状态)下使用代码批量替换材质,该方法也适用于其他在编辑状态下对物体的操作需求。 配置环境 win1…

ros2与web通信实例

ros2与web通信实例 最近需要进行ros2与web端进行通信操作,目标是ros2发送的消息web端能够显示在界面,并且前端能够发布数据,最终实例如下: 然而网上查的的资料如古月居的: 利用Websocket实现ROS与Web的交互 https:/…

子网掩码的作用

1.子网掩码的作用 子网掩码是用来给ip划分网络位和主机位的。 子网掩码是为了给ip确定谁是网络地址、谁是主机地址的。子网掩码的二进制位是1的对应的是网络地址,子网掩码的二进制位是0的对应的是主机地址。

Ribbon负载均衡器

两种: 1.1 集中式负载均衡,服务端负载均衡 硬件 nginx 轮询、负载、哈希、随机、权重 为什么要做负载均衡? 1.2 客户端负载均衡器 用客户端 负载均衡器 很多机制可以自定义 小知识:不想让别人调自己,只想用别人的…

使用Arduino简单测试HC-08蓝牙模块

目录 模块简介模块测试接线代码测试现象 总结 模块简介 HC-08 蓝牙串口通信模块是新一代的基于 Bluetooth Specification V4.0 BLE 蓝牙协议的数传模块。无线工作频段为 2.4GHz ISM,调制方式是 GFSK。模块最大发射功率为4dBm,接收灵度-93dBm&#xff0c…

51单片机光照强度检测自动路灯开关仿真( proteus仿真+程序+报告+讲解视频)

51单片机光照强度检测自动路灯开关仿真( proteus仿真程序报告讲解视频) 仿真图proteus7.8及以上 程序编译器:keil 4/keil 5 编程语言:C语言 设计编号:S0052 讲解视频 基于51单片机的光照检测自动路灯控制仿真设计( proteus仿…

如何搭建游戏平台?

搭建游戏平台是一个复杂的任务,涉及多个方面的工作。下面是一些关键步骤和注意事项,以帮助您搭建游戏平台: 平台开发:开发游戏平台的关键部分,包括网站或应用程序的开发、数据库设计、用户界面设计、游戏上传和管理工具…

加速新药问世,药企如何利用云+网的优势?

随着计算能力的不断提高和人工智能技术的迅速发展,药物研发领域正迎来一场革命。云端强大的智能算法正成为药物研发企业的得力助手,推动着药物的精确设计和固相筛选。这使得药物设计、固相筛选以及药物制剂开发的时间大幅缩短,有望加速新药物…

MyBatis之增删查改功能

文章目录 一、创建各种类二、MyBatis的各种功能 1、查询<select>2、增加<insert>3、修改<update>4、删除<delete>三、总结 前言 在MyBatis项目中编写代码实现对MySql数据库的增删查改 一、创建各种类 1、在Java包的mapper文件下创建一个接口 我创建…

vmware NAT模式配置方式

VMware在NAT模式下宿主机与多台虚拟机互相访问&#xff0c;可连接外网 虚拟机的网络连接类型的选择&#xff0c;网络连接类型一共有桥接、NAT、仅主机和不联网四种。 桥接&#xff1a;选择桥接模式的话虚拟机和宿主机在网络上就是平级的关系&#xff0c;相当于连接在同一交换机…

滚雪球学Java(25):动态代理

&#x1f3c6;本文收录于「滚雪球学Java」专栏&#xff0c;专业攻坚指数级提升&#xff0c;助你一臂之力&#xff0c;带你早日登顶&#x1f680;&#xff0c;欢迎大家关注&&收藏&#xff01;持续更新中&#xff0c;up&#xff01;up&#xff01;up&#xff01;&#xf…

SpringBoot配置加载优先级

1.SpringBoot配置文件 SpringBoot使用一个以application命名的配置文件作为默认的全局配置文件。支持properties后缀结尾的配置文件或者以yml/yaml后缀结尾的YAML的文件配置。 以设置应用端口为例: properties文件示例(application.properties)&#xff1a; server.port80 Y…

pytorch学习2

分类问题 手写数字数据集 其中&#xff0c;每个数字图片大小是28 x 28&#xff0c;矩阵中每个元素的大小为[0&#xff0c;1]区间的灰度值&#xff0c;将二维矩阵拉平(flat)为一维784&#xff0c;数据量不变&#xff0c;这样能忽略上下位置相关性&#xff0c;甚至左右位置相关性…

编译opencv-3.4.5 [交叉编译]

在unbuntu20.04环境下编译opencv3.4.5&#xff0c; cmake 版本&#xff1a;3.27.4 gcc 版本&#xff1a;11.4.0 g版本&#xff1a;11.4.0 在此环境下编译opencv4.5.4正常。 1. 编译时遇到的问题 &#xff08;1&#xff09; Built target libprotobuf make: *** [Makefile:163…

Linux开发工具之编辑器-vim

vim简单来说就是一款文本编辑器&#xff0c;用于写代码&#xff0c;更是一款多模式编辑器 vim的基本概念 vim有许多种模式&#xff0c;但是铁三角是以下三种模式&#xff1a;命令模式&#xff0c;插入模式&#xff0c;底行模式 1 正常/普通/命令模式&#xff08;默认打开&…