啦啦啦免费高清在线视频3,精品国产福利,456高跟脚交视频

近年來(lái)，APT攻擊、DDoS攻擊等網(wǎng)絡(luò)安全問(wèn)題頻發(fā)。為了筑牢網(wǎng)絡(luò)安全防線，我國(guó)自2016年開(kāi)始進(jìn)行實(shí)戰(zhàn)攻防演練，以此來(lái)強(qiáng)化網(wǎng)絡(luò)安全隱患排查整改，推動(dòng)以攻促防，查漏補(bǔ)缺。而隨著網(wǎng)絡(luò)環(huán)境的改變，攻擊手段的提高，基于固定邊界的網(wǎng)絡(luò)安全防御理念已經(jīng)難以抵擋靈活多變的網(wǎng)絡(luò)攻擊。其“圍欄式”的邊界防御，通過(guò)防火墻隔離企業(yè)的內(nèi)網(wǎng)外網(wǎng)，雖然目前很多企業(yè)已經(jīng)意識(shí)到企業(yè)的內(nèi)網(wǎng)也未必安全，但是依然存在“重外敵，輕內(nèi)鬼”等問(wèn)題，內(nèi)部防御能力不足，缺乏全局視角下發(fā)現(xiàn)實(shí)際環(huán)境中安全風(fēng)險(xiǎn)的能力。而零信任理念的出現(xiàn)，也為安全提供了新的建設(shè)思路。那么，零信任在實(shí)戰(zhàn)攻防演練中，又可以提供哪些能力，起到什么作用呢？芯盾時(shí)代研發(fā)副總裁陳曦將為你盤(pán)點(diǎn)攻防演練中的零信任安全問(wèn)題，解析企業(yè)零信任安全建設(shè)之道~

Q1：零信任在攻防演練中的防御思路是怎么樣的？

雖然我國(guó)的網(wǎng)絡(luò)安全建設(shè)經(jīng)過(guò)多年的實(shí)踐已經(jīng)逐漸全面，但仍不可避免的會(huì)被黑客攻破，其中一個(gè)很大的原因就是傳統(tǒng)“壘高墻”式“防外不防內(nèi)”的安全防護(hù)理念已經(jīng)不適應(yīng)當(dāng)前網(wǎng)絡(luò)環(huán)境和安全建設(shè)的需要了。為了改變攻防不對(duì)等的情況，零信任網(wǎng)絡(luò)安全防護(hù)理念應(yīng)運(yùn)而生。其解決了區(qū)域和信任的綁定關(guān)系，用戶的訪問(wèn)權(quán)限不再受到網(wǎng)絡(luò)區(qū)域的限制，訪問(wèn)前需要經(jīng)過(guò)身份認(rèn)證和授權(quán)，而身份認(rèn)證不再僅僅針對(duì)用戶，還將對(duì)用戶所持客戶端進(jìn)行安全校驗(yàn)，并且在訪問(wèn)過(guò)程中進(jìn)行用戶畫(huà)像和持續(xù)性風(fēng)險(xiǎn)評(píng)估，對(duì)訪問(wèn)進(jìn)行動(dòng)態(tài)、細(xì)粒度的授權(quán)，同時(shí)采用最小授權(quán)原則，可以有效防御黑客的入侵以及0day攻擊。落實(shí)在具體產(chǎn)品上：零信任實(shí)現(xiàn)了資源和SDP網(wǎng)關(guān)自身的雙重隱藏，基于SPA單包授權(quán)的原則，先認(rèn)證后連接，緩解非法攻擊，避免成為惡意流量的黑洞。而實(shí)時(shí)的風(fēng)險(xiǎn)感知?jiǎng)t對(duì)每一次訪問(wèn)進(jìn)行持續(xù)的信任評(píng)估，動(dòng)態(tài)訪問(wèn)控制引擎根據(jù)評(píng)估結(jié)果實(shí)時(shí)生成訪問(wèn)控制策略，自動(dòng)執(zhí)行細(xì)粒度的訪問(wèn)控制策略，避免風(fēng)險(xiǎn)訪問(wèn)造成的數(shù)據(jù)泄露。還可以通過(guò)多因素認(rèn)證，大幅提升系統(tǒng)認(rèn)證安全性，可有效避免因弱口令、密碼管理不當(dāng)帶來(lái)的系統(tǒng)被盜而導(dǎo)致的失分。

Q2：面對(duì)互聯(lián)網(wǎng)資產(chǎn)暴露的問(wèn)題，零信任如何幫助企業(yè)收斂資產(chǎn)暴露面？

當(dāng)前大多數(shù)企業(yè)都存在對(duì)自身企業(yè)資產(chǎn)畫(huà)像不清晰、威脅響應(yīng)不及時(shí)和管理制度不完善等問(wèn)題，沒(méi)有真正的將資產(chǎn)和威脅管理起來(lái)。在攻防演練中，那些部分被遺漏、未被安全管理、未及時(shí)下線的系統(tǒng)，由于存在安全漏洞并缺乏相應(yīng)的安全防護(hù)策略，則很容易被攻擊者找到和利用，比如現(xiàn)在企業(yè)常用的 VPN，由于它的端口本身是對(duì)外開(kāi)放的，所以通常會(huì)成為被攻擊的目標(biāo)。而對(duì)于這類資產(chǎn)暴露的問(wèn)題，芯盾時(shí)代零信任業(yè)務(wù)安全平臺(tái)SDP可以通過(guò)“網(wǎng)絡(luò)隱身”技術(shù)，減少資產(chǎn)的暴露面。而“網(wǎng)絡(luò)隱身”則是從兩方面來(lái)實(shí)現(xiàn)的：網(wǎng)關(guān)隱身：安全應(yīng)用網(wǎng)關(guān)默認(rèn)關(guān)閉所有端口，外部掃描不到任何網(wǎng)關(guān)的端口。只有安裝安全客戶端Agent的終端，能過(guò)經(jīng)過(guò)SPA預(yù)認(rèn)證，才能夠通過(guò)單包敲門(mén)的方式，與SDP安全網(wǎng)關(guān)建立連接。應(yīng)用隱身：從外部無(wú)法看到業(yè)務(wù)服務(wù)，也無(wú)法與業(yè)務(wù)服務(wù)直接建立連接。在與安全應(yīng)用網(wǎng)關(guān)成功連接之后，此時(shí)內(nèi)部的業(yè)務(wù)應(yīng)用還是隱身狀態(tài)。只有通過(guò)身份認(rèn)證的用戶，才能看到有訪問(wèn)權(quán)限的應(yīng)用系統(tǒng)。總的來(lái)說(shuō)，通過(guò)這種 SPA 預(yù)認(rèn)證的機(jī)制，確保我們接入設(shè)備的安全性，減少暴露端口。像剛才提到的 VPN 問(wèn)題，很多企業(yè)會(huì)用零信任網(wǎng)關(guān)去增強(qiáng)或者替代 VPN，從而減少被攻擊的可能性，增強(qiáng)安全性。

Q3：弱口令是企業(yè)安全建設(shè)中的老大難問(wèn)題，零信任如何幫助企業(yè)解決這個(gè)問(wèn)題？

弱口令確實(shí)是現(xiàn)在企業(yè)安全建設(shè)中的一大難題。在攻防演練中，很多攻擊者會(huì)利用企業(yè)的應(yīng)用系統(tǒng)、服務(wù)器或網(wǎng)絡(luò)設(shè)備的弱口令、單因素認(rèn)證、特權(quán)賬號(hào)共享等問(wèn)題，通過(guò)賬號(hào)密碼登錄到應(yīng)用系統(tǒng)、服務(wù)器或網(wǎng)絡(luò)設(shè)備，再進(jìn)一步提權(quán)拿下目標(biāo)系統(tǒng)。針對(duì)這些弱口令問(wèn)題，很好的一個(gè)方法就是通過(guò)多因素認(rèn)證去多角度、多方位的保護(hù)用戶的合法性。零信任強(qiáng)調(diào)的是流量身份化，以身份為核心構(gòu)建安全防護(hù)邊界。通過(guò)結(jié)合用戶“所知”、“所持”和”所有”的多因素認(rèn)證方式，如密碼、指紋、令牌、短信、移動(dòng)端掃碼等，在客戶原有認(rèn)證流程上增加二次認(rèn)證流程，保障身份認(rèn)證的安全性，從而有效的解決暴力破解、拖庫(kù)/撞庫(kù)、賬號(hào)冒用等一系列安全問(wèn)題。還有一點(diǎn)值得注意，多因素認(rèn)證也是我們芯盾時(shí)代用戶身份與訪問(wèn)管理平臺(tái)（IAM）很重要的功能點(diǎn)之一，IAM更是零信任理念的重要架構(gòu)，目前我們已經(jīng)完成了SDP和IAM的融合，實(shí)現(xiàn)強(qiáng)強(qiáng)聯(lián)動(dòng)。

Q4：在傳統(tǒng)架構(gòu)下，攻擊者一旦攻入內(nèi)網(wǎng)就能造成巨大破壞。零信任能夠防范攻擊者在內(nèi)網(wǎng)的橫向移動(dòng)，減少攻擊者帶來(lái)的損失？

相比傳統(tǒng)架構(gòu)，零信任架構(gòu)有一個(gè)很重要的安全價(jià)值，就是體現(xiàn)在防止橫向移動(dòng)上。在網(wǎng)絡(luò)安全領(lǐng)域，“橫向移動(dòng)”是指攻擊者進(jìn)入網(wǎng)絡(luò)后在該網(wǎng)絡(luò)內(nèi)移動(dòng)。即使攻擊者的進(jìn)入點(diǎn)被發(fā)現(xiàn)，橫向移動(dòng)也難以檢測(cè)到，因?yàn)楣粽邥?huì)繼續(xù)入侵網(wǎng)絡(luò)的其他部分。還是以傳統(tǒng)架構(gòu)中的 VPN 為例，VPN 是一次認(rèn)證、全網(wǎng)通行的，它一旦被攻破，就會(huì)進(jìn)入到內(nèi)網(wǎng)暢通無(wú)阻，這就是所謂的橫向移動(dòng)。而零信任旨在遏制攻擊者，使他們無(wú)法橫向移動(dòng)。其核心是零信任“永不信任，始終驗(yàn)證”的原則。每個(gè)訪問(wèn)請(qǐng)求在授予訪問(wèn)之前都會(huì)進(jìn)行完全身份驗(yàn)證，同時(shí)給予最小的訪問(wèn)授權(quán)，并且利用豐富的智能和分析進(jìn)行檢測(cè)并及時(shí)響應(yīng)異常情況，一旦檢測(cè)到攻擊者的存在，就可以隔離遭入侵的設(shè)備或用戶帳戶，切斷進(jìn)一步的訪問(wèn)，或者拉起二次認(rèn)證，最大限度地減少橫向遷移。除此之外，作為零信任架構(gòu)下最早的概念之一的微隔離也主要是防止橫向移動(dòng)。從數(shù)據(jù)中心捕獲關(guān)鍵資產(chǎn)信息的橫向移動(dòng)是幾種攻擊的關(guān)鍵組成部分，微隔離的目的在于如果這些工作負(fù)載之間沒(méi)有可操作的理由則限制他們之間未經(jīng)批準(zhǔn)的通信，從而最大限度地減少破壞的影響。與防火墻提供的典型南北向流量保護(hù)不同，微隔離著眼于工作負(fù)載的東西向流量安全。芯盾時(shí)代的零信任產(chǎn)品可以有效阻止橫向移動(dòng)的問(wèn)題。首先，芯盾時(shí)代SDP通過(guò)規(guī)則引擎對(duì)前端采集的信息進(jìn)行不間斷的風(fēng)險(xiǎn)評(píng)估。持續(xù)身份認(rèn)證對(duì)賬戶持有者采取“零信任”的態(tài)度，在用戶操作系統(tǒng)的全周期內(nèi)，持續(xù)性和周期性的通過(guò)規(guī)則引擎從設(shè)備、身份、行為、環(huán)境、資源、網(wǎng)絡(luò)等各個(gè)維度進(jìn)行持續(xù)的風(fēng)險(xiǎn)和信任計(jì)算，在用戶訪問(wèn)應(yīng)用資源時(shí)識(shí)別用戶風(fēng)險(xiǎn)信息，評(píng)估風(fēng)險(xiǎn)得分。其次，可以根據(jù)持續(xù)的信任評(píng)估結(jié)果進(jìn)行動(dòng)態(tài)訪問(wèn)控制。基于風(fēng)險(xiǎn)評(píng)估結(jié)果，訪問(wèn)策略可以對(duì)用戶的訪問(wèn)行為進(jìn)行攔截，根據(jù)風(fēng)險(xiǎn)等級(jí)下發(fā)處置策略，包括阻斷、放行、二次認(rèn)證、隧道控制、動(dòng)態(tài)權(quán)限伸縮、會(huì)話退出等。這樣，通過(guò)持續(xù)的安全評(píng)估即便在安全措施失效、終端失陷的情況下，也能避免整個(gè)內(nèi)網(wǎng)的進(jìn)一步失陷。

Q5：零信任在攻防演練中有這么多優(yōu)勢(shì)，企業(yè)是不是應(yīng)該放棄原有的縱深防御架構(gòu)，全面轉(zhuǎn)入零信任？

這樣說(shuō)是有失偏頗的，轉(zhuǎn)向零信任架構(gòu)并不意味著完全舍棄傳統(tǒng)安全架構(gòu)，這只是網(wǎng)絡(luò)安全策略的調(diào)整。無(wú)論是過(guò)去還是現(xiàn)在，基于邊界的防護(hù)理念始終保持著防護(hù)效果，零信任也并不能完全覆蓋傳統(tǒng)安全架構(gòu)的能力和使用。存在即合理，不要因?yàn)樯狭肆阈湃味鴮⑦吔绶雷o(hù)體系完全拋棄，反而要常態(tài)化保持零信任和邊界防御兼具的安全架構(gòu)。

往期 · 推薦

攻防演練寶典丨進(jìn)攻方的身份攻擊三板斧，企業(yè)怎樣才能防得??？

基于零信任安全理念的攻防演練方案

實(shí)踐案例丨政務(wù)系統(tǒng)如何“零信任”？某黨政機(jī)關(guān)給出標(biāo)準(zhǔn)答案

遠(yuǎn)程辦公“芯”方案丨零信任替換VPN，遠(yuǎn)程訪問(wèn)更安全

原文標(biāo)題：零信任攻防實(shí)踐丨基于零信任理念，助力企業(yè)攻防演練

文章出處：【微信公眾號(hào)：芯盾時(shí)代】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

聲明：本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴