持安科技孙维伯:零信任理念下的实战攻防:ISC2023数字小镇演讲

news2024/11/24 7:49:58

近日,在ISC 2023第十一届互联网安全大会上,持安科技联合创始人孙维伯作为零信任办公安全赛道代表,亮相数字小镇New50,并发表《全方位防御:零信任理念下的实战攻防》主题演讲。

以下是本次演讲实录:

这几年,网络安全已经从监管合规趋向于实战化,网络诈骗、黑产越发猖獗,企业面临的安全挑战愈加严峻。

在实战攻防的场景下,攻防双方不对等。攻击者找到任意漏洞,即可攻破防守方,但是防守方却需要做全方位的防御,不能出任何差错。

当前常见的边界攻击对防守方构成了巨大挑战,防守方很难全面了解企业的所有边界资产,这限制了他们针对易受攻击的资产采取有效的防御手段。此外,在面对黑客定向攻击时,防守方只能防御已知的攻击手段,而每年都会发现大量0day漏洞,甚至一些一线安全产品也容易出现0day问题,传统的安全手段已无法满足防御需求。

此外,防守方的溯源能力也至关重要。企业遭遇安全事件后,能够追踪攻击的来源和路径,并完整保留相关证据,这是安全建设中的一个关键因素。

综合来讲,目前实战攻防中,主要存在以下几类攻击场景:

外网:各类应用漏洞、弱口令突破

弱密码可分为两类。第一类是过于简单的密码,例如"123456"。另一类是攻击者通过搜索社交工程库和数据库,在互联网上暴露的信息中搜索目标人员使用的密码信息。许多人习惯使用同一个密码登录所有系统,而在公司关键职位的人员也存在难以管理复杂密码的问题,同时安全团队也难以要求领导设定过于复杂的密码。

在外部网络攻击中,一旦存在0day漏洞的VPN设备、OA等办公系统被入侵,其中存储的账号和密码可能会被泄露。此外,面对一些未知的风险,例如业务人员在企业管理员或安全人员不知情的情况下突然上线一个资产,而这些新上线的业务系统可能存在0day漏洞,这也是每年大型攻防演练中的一个攻破点。

内网:各类办公系统突破

随着外部攻击的不断增加,防守方已经意识到这一点,并加强了对外部网络的防御。攻击者们发现企业办公网络内部的系统通常存在漏洞,很多企业的办公网络对员工访问没有设立防护措施,员工可以直接通过办公网络访问内部的各种应用和业务系统。一旦攻击者成功入侵办公网络,就相当于直接进入了企业的内部网络。

对外进行网络攻击时,特别需要着重强调一种攻击方式,即钓鱼攻击。根据上图所示的攻击场景,攻击者只需控制内网中的任意一台设备,并通过VPN或SDP连接办公网络中的办公电脑,这台电脑就能够直接连入企业内网。如果企业内部的办公系统之间没有设置防护措施,攻击者将能在企业内部自由行动。

我们总结了过去一年中的攻击手法前十名。左侧列出的是攻击队伍最喜欢的常见漏洞和风险,右侧则是企业安全部门的管理成本。

如果攻击者已经穿透边界进到企业内部防守方如何应对?

以最佳实践方式落地的零信任,可有效抵御未知人员发起的未知攻击。

业务隐身

无论是在内部还是外部,员工在访问业务系统之前都必须通过零信任的认证。零信任认证将根据访问者的业务身份、访问系统是否在权限范围内以及是否存在危险行为等因素,对其访问行为进行实时验证和授权。

企业采用零信任网关对内部员工和合作伙伴的访问进行防护,使其在访问业务系统时,必须经过零信任的持续验证。即使攻击者伪装成可信人员,并通过了身份认证,如果他试图进行不合规的恶意行为,零信任机制也能够动态地检测并阻止他。

防止办公网钓鱼攻击

在边界防御模式下,一旦攻击者成功钓鱼并控制了内部办公网上的个人电脑,他们会通过外部公网上的主机建立一个反向连接,从而直接将其与企业内网连接起来。

持安科技以最佳实践方式落地的零信任,将身份认证和网络访问实时动态验证过程深入应用层,零信任网关会判断访问者的身份是否有关键设备证书,并验证证书是否与当前设备匹配,而非仅仅通过设备进行代理网络授权接入。

由于仅仅代理形式的网络授权接入过程只能看到网络授权信息,并不能获得当前设备的真实身份信息。通过更严格的零信任策略,可以防止内网钓鱼攻击。在这种情况下,攻击者只能获取到办公网一台设备终端的网络接入权限,而无法获得该设备的业务身份权限。即使攻击者使用该设备发起代理网络隧道连接,也无法发起对业务系统的访问请求和攻击。

这是我们零信任最佳实践与普通的SDP、VPN替代解决方案之间本质区别。

弱口令攻击防护

为了防范弱口令的风险,先前常用的手段是对口令进行统一修改和强化。然而,对于某些老旧系统而言,它们无法与内部身份中心进行连接,并且我们也缺乏关于使用这些老旧业务系统的用户的清晰认知。

在接入零信任平台后,当用户访问老旧业务系统时,必须先通过零信任认证,才能够获得访问权限,利用零信任分析平台,将员工的身份与老旧系统用户的真实身份进行关联和分析,建立完整的身份识别通道。在不对老旧系统业务进行改造的情况下,加强口令的安全性和防护能力。

此外,零信任在保护业务系统时会进行精细化授权。当内部某个办公应用程序存在漏洞时,将相关的漏洞敏感访问URL或对应链接纳入零信任防护流程中。只允许通过零信任动态验证的用户进行访问,及时阻止攻击者的攻击行为。

防止员工泄密

很多企业对于如何准确地分析和识别员工的行为感到头疼。过去,我们常常从终端角度入手,但是员工会抵触,覆盖范围有限。

零信任解决方案将用户的真实身份与其访问的应用数据和文件进行关联,会为用户访问的页面、转发或下载的文件内容添加水印,并设置敏感文件的身份标签进行跟踪。一旦发现用户通过网关访问的文件泄露,我们只需在网关上查询相关泄露文件,便可查清是哪些用户在什么时间访问了哪个文件。

此外,零信任解决方案还可以记录和学习员工的日常访问行为,并将其与文件访问频率和数据相关联。一旦发现有用户的行为与平时差别巨大,例如突然集中大量下载文件,我们将加强认证或阻断该次访问。

零信任是否存在周期长,落地难等问题?

一些零信任实施以终端为推广入口,对安全团队或运营团队来说是一项艰巨的任务。他们需要推动成千上万甚至数十万人使用终端,而当终端出现稳定性问题时,对推广团队将是重大打击。其次,终端的易用性和实用性很难掌握,有些员工不知道如何安装终端。即使成功安装完毕,电脑上的杀毒软件自动卸载终端后,他们也不知道如何重新安装,并可能出现各种兼容性和稳定性的问题。

因此,持安零信任方案的第一步是推广网关。先将应用层网关与企业身份融合打通,并将其放置在应用的前方。用户无需改变过去的访问行为和习惯,零信任的能力将融入到员工日常的办公中。

然后逐步通过终端来扩大推广范围。最后,我们将与企业威胁情报等已有的安全系统进行打通融合,实现安全一体化。

这五个步骤是大型攻防演练中我们保卫成功所需关键点,而且这五个步骤可以与零信任原则一一对应。例如,在过去的应急响应中,一旦某台办公设备受到攻击,现场就会变得非常紧张。由于只能看到IP地址,而IP地址可能代表一台设备,也可能是一个办公区的总出口,因此运维人员很难将IP地址与具体人员关联起来,工作量十分庞大。

零信任原则可以将每个设备的访问情况、流量情况、请求域名情况以及用户的每一步操作都打上身份标签,并与企业现有的威胁情报相结合。在应急响应时,可以直接定位到具体的用户、设备、访问行为的开始和结束时间,快速采取应对措施。同时还能对访问过程进行取证和分析,以便日后溯源、取证和固定证据。

零信任防护价值

持安科技零信任团队已经建立了完备的安全体系。首先,在平台搭建阶段,我们对业务和身份进行了全面的梳理,以强化资产管理能力,并实现对暴露面的全面管控。

其次,在业务发布过程中,我们将企业业务系统与零信任原则相融合,实现了对未知人员发起的未知攻击的有效抵御,同时在关键时刻提供相关的分析和判断,以及溯源总结的支持,确保用户在无感知的情况下得到办公安全保障。

零信任实施部署架构

持安零信任产品已支持全网、全行业覆盖,在互联网、金融、能源、科技、高端制造、游戏、新零售等领域落地,单一客户接入规模超20万,总接入用户数超100万+,接入业务系统20000+。

持安零信任采用分布式部署,以用户的业务为核心,在业务系统附近进行部署。以微服务方式构建,在用户访问过程中实现无感知,同时具备极强的稳定性和高可用性。

零信任安全服务流程

持安零信任产品在实施时以防守有效性为目的,提供相关的验证服务。

持安科技推出了基于零信任的安全服务和验证的一整套流程,为企业提供红蓝对抗、安全评估、现场值守和溯源分析等相关服务。将零信任的落地视为一个动态持续运营的过程,并围绕运营提出了关键的服务点和思路,旨在通过应用层零信任的真正落地,使其在用户端产生真正的安全价值。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1005849.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第9章_freeRTOS入门与工程实践之任务管理

本教程基于韦东山百问网出的 DShanMCU-F103开发板 进行编写,需要的同学可以在这里获取: https://item.taobao.com/item.htm?id724601559592 配套资料获取:https://rtos.100ask.net/zh/freeRTOS/DShanMCU-F103 freeRTOS系列教程之freeRTOS入…

考虑负荷满意度的微电网运行多目标优化方法研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

基本Dos命令

1.打开cmd的方式 (1)winR,输入cmd即可 (2)在任意文件夹下面,按住shift键后点击鼠标右键,即可在此文件夹目录下打开命令行窗口。 (3)资源管理器的地址栏前面加上 cmd…

云原生Kubernetes:K8S实用插件和工具

目录 一、理论 1.Kubectl插件 2.kubens 3.krew 二、实验 1.kubectl插件 2.kubens 3.krew 一、理论 1.kubectl插件 (1)概念 kubectl插件其实就是以kubectl-为前缀的任意可执行文件,比如执行: ln -s /bin/echo /usr/local/bin/ku…

Mybatis-plus 自动生成代码

Mybatis-plus 自动生成代码 这里主要是介绍 Mybatis-plus 自动生成代码操作流程,方便以后查阅!!! 一、简介 MyBatis-Plus (opens new window)(简称 MP)是一个 MyBatis 的增强工具,在 MyBatis …

一点整理

(1) 美国在2010年以后开始流行数字化转型的。 在2010年以前, 2006年社交网络FB “YOU”:在2004-2006 Web2.0热之前,企业是无法直接触达到每个消费者的2006年Amazon电子商务:这个是我瞎凑的,但因…

js中如何实现一个简单的防抖函数?

聚沙成塔每天进步一点点 ⭐ 专栏简介⭐ 防抖函数⭐ 使用示例⭐ 写在最后 ⭐ 专栏简介 前端入门之旅:探索Web开发的奇妙世界 记得点击上方或者右侧链接订阅本专栏哦 几何带你启航前端之旅 欢迎来到前端入门之旅!这个专栏是为那些对Web开发感兴趣、刚刚踏…

第一颗国产 单/双端口 MIPI CSI/DSI 至 HDMI 1.4 发射器 芯片LT9611

1. 描述 LT9611 MIPI DSI/CSI 至 HDMI1.4 桥接器具有双端口 MIPI D-PHY 接收器前端配置,每个端口有 4 个数据通道,每个数据通道以 2Gbps 的速度工作,最大输入带宽为 16Gbps。 该桥接器提供一个 HDMI 数据输出,具有可选的 …

(面试经典刷题)挑战一周刷完150道-Python版本-第1天(11个题)

一、合并数组 给你两个按 非递减顺序 排列的整数数组 nums1 和 nums2,另有两个整数 m 和 n ,分别表示 nums1 和 nums2 中的元素数目。 请你 合并 nums2 到 nums1 中,使合并后的数组同样按 非递减顺序 排列。 注意:最终&#xff0…

Multisim14.0仿真(十一)差分放大器

一、仿真原理图: 二、仿真效果图:

c++仿照string类,完成myString 类

#include <iostream> #include <cstring>using namespace std;class myString {private:char *str; //记录c风格的字符串int size; //记录字符串的实际长度public://无参构造myString():size(10){str new char[size1]; //构造出一个长…

Java“牵手”1688商品详情数据,1688商品详情接口,1688API接口申请指南

1688商品详情API接口的作用是获取1688平台上某个商品的详细信息&#xff0c;包括商品标题、价格、图片、规格、参数、店铺信息等。 开发者可以通过该接口获取到商品的原始数据&#xff0c;方便进行数据分析、价格比较、爬取等操作。通过该接口获取到的商品详情数据可以结合其他…

tkintter四大按钮:Button,Checkbutton, Radiobutton, Menubutton

文章目录 四大按钮Button连击MenubuttonCheckbuttonRadiobutton tkinter系列&#xff1a; GUI初步&#x1f48e;布局&#x1f48e;绑定变量&#x1f48e;绑定事件&#x1f48e;消息框&#x1f48e;文件对话框控件样式扫雷小游戏&#x1f48e;强行表白神器 四大按钮 tkinter中…

有哪些常用的压力测试工具,移动网站压力测试流程有哪些内容?

压力测试工具 在移动网络飞速发展的今天&#xff0c;移动网站成为企业对外宣传、开展业务的重要窗口&#xff0c; 对于访客量大的网站来说&#xff0c;一旦其无法承受过于巨大的流量&#xff0c;就会使网站崩溃&#xff0c;进而影响公司正常的业务。与之相对应的&#xff0c;…

故障排除指南:解决 Kibana Discover 加载中的 6 个常见问题

作者&#xff1a;Steffanie Nestor Discover 是 Elastic 的核心 Kibana UI&#xff0c;用于搜索、过滤和检查&#xff08;时间序列&#xff09;数据。 可视化用于数据聚合/摘要。 Discover UI 对于大数据 Elasticsearch 响应具有弹性&#xff0c;但有时会因&#xff08;未压缩的…

VRTK4⭐一.VRTK4和VRTK的区别 , 及VRTK4简介

文章目录 &#x1f7e5; VRTK4和VRTK的区别1️⃣ 版本区别2️⃣安装方式区别 &#x1f7e7; 安装VRTK41️⃣ AssetStore网址2️⃣安装不同功能的包 &#x1f7e9;Tilia的独立功能包介绍及配置方法&#x1f381;Tilia.CameraRigs.SpatialSimulator.Unity [重要]&#x1f381;Til…

济南市图书馆《乡村振兴战略下传统村落文化旅游设计》许少辉八一新著

济南市图书馆《乡村振兴战略下传统村落文化旅游设计》许少辉八一新著

ASP.NET+sqlserver通用电子病历管理系统

一、源码描述 这是一款简洁十分美观的ASP.NETsqlserver源码&#xff0c;界面十分美观&#xff0c;功能也比较全面&#xff0c;比较适合 作为毕业设计、课程设计、使用&#xff0c;感兴趣的朋友可以下载看看哦 二、功能介绍 该源码功能十分的全面&#xff0c;具体介绍如下&…

【Java 基础篇】Java TreeSet 详解:红黑树实现的有序集合

Java 集合框架提供了多种数据结构&#xff0c;用于存储和操作数据。其中&#xff0c;TreeSet 是一种特殊类型的集合&#xff0c;它通过红黑树&#xff08;Red-Black Tree&#xff09;数据结构实现了有序的、唯一元素存储。本篇博客将深入探讨 TreeSet&#xff0c;包括其概念、特…

【C++技能树】手撕AVL树 --插入与旋转详解

Halo&#xff0c;这里是Ppeua。平时主要更新C&#xff0c;数据结构算法&#xff0c;Linux与ROS…感兴趣就关注我bua&#xff01; 文章目录 0.平衡搜索二叉树概念0.1 平衡因子 1.插入1.1 普通插入操作1.2更新平衡因子 2.旋转2.1 左单旋2.2 右单旋2.3 右左双旋2.4 左右双旋 3. 旋…