扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
10月25日,「落地有声」零信任主动防御新范式暨第三届用户分享大会顺利举办。大会邀请到权威指导单位国家互联网应急中心、国家信息中心的领导出席,以及金融、能源行业头部用户分享,从攻防视角出发,探讨零信任助力实战攻防的全新范式。
会上,深信服科技零信任业务总经理郭炳梁正式发布了深信服零信任X-SDP主动防御能力,并介绍了创新的设计思路、展示了实战效果。
权威机构解读零信任应用新范式
国家互联网应急中心副处长高强围绕“零信任可以针对攻击的不同阶段实现全程防护”进行分享。他表示,CNCERT是网络应急“国家队”,每年支撑应急处置事件超10万起,今年网络安全形势依旧不容乐观。零信任的理念与网络攻防非常贴切,可以帮助防守方应对愈演愈烈的网络攻击。零信任可以针对攻击的不同阶段进行防守,比如,在侦查阶段,零信任可以隐藏服务器、应用信息,减少暴露面;在投放武器阶段,零信任可以对设备进行可信等级的检测,及时隔离威胁;在植入后门阶段,零信任可以对终端行为进行检测等。
国家信息中心信息与网络安全部办公信息化安全处处长刘蓓作“应对移动办公安全风险,积极探索零信任技术应用”主题分享。她表示,目前全国已经有20多个省发布了统一移动办公平台App。移动办公是信息化发展的必然趋势,也要关注带来的安全风险。国家标准也在积极的融入最新的安全技术,不断完善安全的发展方向,助力数字政府建设取得新的成效。基于零信任理念,实现移动终端安全,主要有以下模式:一是对于终端运行安全的评估,二是对可信终端应用程序的持续评估,三是提供相对隔离的安全的工作空间。
用户分享零信任落地经验
从零开始建设零信任,要找准亟需建设的场景:
正式员工访问办公类的场景——方案设计了7层应用代理和4层有端网络接入相结合,通过部署深信服零信任aTrust,与企业统一认证平台、通讯软件打通认证机制,采用无端方式,通过代理访问收敛后的目标应用,最大程度兼顾安全效果与访问体验。同时保留已有使用VPN有端方式访问的应用系统和基础设施资源,将资源访问逐步由VPN切换至零信任aTrust。
第三方人员通过BYOD设备接入公司内网的场景——方案保证了第三方人员全部通过零信任客户端+沙箱进行内网资源访问,外包人员终端需要始终满足安全基线准入,以最小权限访问企业资源,并通过部署沙箱,保护企业敏感数据。
深信服于业界率先发布X-SDP主动防御能力
当前,零信任在各行各业广泛落地,最常见的是远程接入场景。但据深信服介绍,零信任不止于远程办公,应逐步向更广泛的场景进发,以不断沉淀的技术实力与不断增强的产品能力,诠释安全接入的全新范式。但这个过程中遇到了两大挑战:①零信任SDP无法缓解人的脆弱性带来的安全风险;②零信任SDP所设想的最小权限过于理想,落地障碍巨大。
面对这些挑战,零信任SDP能否在不依赖权限最小化的前提下,让安全效果再上一个台阶?提升“鉴黑”能力是关键。安全技术手段本质是鉴白或鉴黑的逻辑,深信服零信任aTrust需要不断强化已有的鉴白能力,也必须扩展鉴黑的能力。
在被动防御层面,基于账号、终端、设备三道防线持续增强防线内纵深防护。 在主动防御层面,基于正确的数据(Right Data)理念构建原生零误报鉴黑能力,并持续构建主动威胁预警能力。
黑白并举,攻守兼备,谓之业务安全接入防护之“道”,由此构建零信任全新范式。
大咖对话零信任助力实战攻防领先一步
Q1:如何看待当前的实战攻防态势?安全建设面临着哪些严峻挑战?
某证券公司信息安全团队负责人:从多年参加国家级网络安全攻防演习的经验,我印象最深的一点,是攻防不对等,体现在三个方面:第一,互联网应用存在暴露面,并在进行漏洞处理时,存在情报预警分析处置的滞后性。第二,钓鱼社工的攻击手段,永远没有办法通过管理的方式解决,还是需要依靠技术手段。第三,供应链管理困难,容易造成防守单位的失陷。
银联商务办公系统服务室负责人 姚佶思:我们公司有1万多名员工,攻击方想钓鱼的话太容易了,之前无论上什么技术手段都难以实现零失误。举个例子来说,大概有3000多个地市员工平时都是通过SDP访问内网,有一次一位同事被钓鱼了,攻击队已经控制终端,一直在等他通过SDP设备连接,但他因为在外出差,一直没有登陆连接,后面攻击队多次电话催他上线,引发员工警惕,攻击行为才被暴露。其实这个也引发了我们思考:全网零信任是否可行?这也促使我们更加关注零信任拓展更多场景的应用,思考零信任在实战攻防的价值。
Q2:实战攻防场景下,零信任给用户带来了哪些价值?
某证券公司信息安全团队负责人:通过落地零信任,我们收敛了20多个高风险互联网应用,就能够比较从容、有序应对漏洞的处置。同时我们发现零信任+沙箱的机制,在实战攻防演练期间发挥了非常重要的作用,多家厂商的技术人员通过统一授权访问安全工具,包括态势感知平台、流量监控工具,有效顺利开展了防守工作,并且保证了安全数据隔离在本地。
深信服科技CISO 沙明:在体验层面,过去我们落地50多台防火墙的策略,需要拉通安全部和运维部的大量人员。现在安全部其实只需要投入一个人维护用户访问关系,并且权限动态可调整,大大提高了运维效率,让安全真正可落地。在效果层面,过去我们需要时刻防守13条攻击路径,落地零信任后,我们只需要关注用户PC到Server和Server到Server两类攻击路径。不管是近源还是钓鱼攻击,只要是从PC到Server的攻击路径,我们统一在PC侧与SDP侧进行监测,大幅收敛了PC到Server的攻击路径。
《中国安全信息》杂志倾力推荐
“企业成长计划”
点击下图 了解详情
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...