持安科技孙维伯:零信任在攻防演练下的最佳实践|DISCConf 2023

news2024/12/28 4:21:32

近日,在2023数字身份安全技术大会上,持安科技联合创始人孙维伯应主办方的特别邀请,发表了主题为“零信任在攻防演练下的最佳实践”的演讲。

孙维伯在2023数字身份安全技术大会上发表演讲

以下为本次演讲实录:

我是持安科技的联合创始人孙维伯,本次为大家带来的是零信任在攻防演练下的最佳实践,本次分享将围绕这三个方面:

1. 安全需求转变

2. 战技分析和防守挑战

3. 零信任防护场景和价值

安全需求的转变

近年来,网络安全需求已经发生本质行的改变。

从前企业安全建设主要以合规为主,但是近些年,安全法律法规在完善,大型攻防演练在普及,企业数据泄露、勒索事件发生也在逐年增加。

如今企业的安全建设不仅需要满足安全合规需求,还要保障企业的网络安全建设禁得住实战的考验。

那么,目前的网络安全态势下,哪些是传统的安全手段无法解决的问题?

· 隔离失效:在面临钓鱼攻击、近源攻击时,边界隔离手段容易被攻击者突破。

· 特征未包含:未知的0day漏洞层出不穷,传统的黑名单防护模式无法基于特征做有效防护。

· 漏洞修复难:修复周期长,需要一定时间,期间企业时刻有被攻击的风险。

· IP不可追溯:传统安全手段IP无法定位到具体的人员身份,不可有效溯源。

图中展示了在大型攻防演练中,容易导致出局的攻击路径,例如边界漏洞被打穿、钓鱼攻击等。下面我们对一些常见的突破场景做分析。

战技分析和防守挑战

根据近几年的攻防演练分析,主要存在以下三大主要的攻击场景:

1)外网应用漏洞突破

大型攻防演练期间,防火墙、VPN设备、扫描器等边网络联通性的设施成了攻击者主要攻击入侵的对象。这些设备中如果存在漏洞,被攻击者利用后可以在防守方毫无知觉的情况下,直接进入企业内网。

另外,近两年来,移动办公设备也成为了漏洞突破的重灾区,比如企业为了工作方便,将企业工作台和企业微信、飞书等打通,手机可一键审批。但是此时,OA、CRM等系统中一旦存在漏洞非常容易被黑客利用。

这类安全问题往往会导致业务停滞,会给安全部门和业务部门的沟通带来很大的问题。

2)办公内网失陷

办公网失陷的两个大家比较熟知的重要路径是口令失陷和钓鱼攻击,但是今天我主要想提一下SDP场景下攻击路径。

SDP是零信任理念的一个落地场景,起到的是四层网络接入和连接的作用。而在攻击者发起攻击时,假如受攻击用户的客户端,已经通过SDP或VPN连接到办公内网,客户端被钓鱼之后,会直接构建一个网络隧道打到内网,此时SDP无法感知与拦截。甚至使用SDP后,会使攻击者以更隐蔽、更快地速度在内网横向移动。

3)弱口令攻击

弱口令这么多年来一直是困扰防守方的难题之一,其中一个原因是老旧系统无法与IAM或IDAAS系统对接;另一个原因是,企业认为的已经设置的强口令,其实在暗网已经被泄露了。

尤其是公司里面管理层,容易成为攻击者抓取数据的主要目标,很难有效防护。

防守痛点top10

近年来,长居每年防守难点弱口令、0day或1day、钓鱼攻击等等。

我们知道安全往往无法做到100%防护,那么我们在进行安全的防护工作时,就要考虑一个问题:

如果攻击者已经进入了企业内网,员工的终端已经被攻击者控制了,企业安全部门该怎么办?

零信任防护场景和价值

零信任是一种理念,我们基于这个理念建立起一个一体化的办公安全平台,可有效抵御未知人员发起的攻击,保障企业大型攻防演练期间不丢分。

暴露面收敛-零信任应用网关

应用网关部署在企业的应用系统之前,无论是在内部还是外部,员工在访问业务系统之前都必须通过零信任的认证。

零信任认证将根据访问者的业务身份、访问系统是否在权限范围内以及是否存在危险行为等因素,对其访问行为进行实时验证和授权。即使攻击者伪装成可信人员,并通过了身份认证,如果他试图进行不合规的恶意行为,零信任机制也能够动态地检测并阻止他。

防止办公网钓鱼攻击

钓鱼攻击的一个比较常见的控制思路是,攻击者先控制一台终端,然后基于终端建立一个隧道,通过云上的控制机来控制终端,再继续链接内网。

持安科技以最佳实践方式落地的零信任,将身份认证和网络访问实时动态验证过程深入应用层,零信任网关会判断访问者的身份是否有关键设备证书,并验证证书是否与当前设备匹配,而非仅仅通过设备进行代理网络授权接入。

在这种情况下,攻击者只能获取到办公网一台设备终端的网络接入权限,而无法获得该设备的业务身份权限。即使攻击者使用该设备发起代理网络隧道连接,也无法发起对业务系统的访问请求和攻击。这是我们零信任最佳实践与普通的SDP、VPN替代解决方案之间本质区别。

弱口令攻击防护

在弱口令防护时,持安科技自建了身份源,此外持安也和身份安全公司合作打通,第三方身份安全公司可做初次认证,持安负责挑战认证。例如访问者需要访问高敏数据时,持安会对其身份、行为、设备、上下文数据等做综合认证,只有经验证可信后,访问才可连接。

老旧系统防护

对于某些老旧系统而言,它们无法与内部身份中心进行连接,并且企业也缺乏关于使用这些老旧业务系统的用户的清晰认知。

在接入零信任平台后,当用户访问老旧业务系统时,必须先通过零信任认证,才能够获得访问权限,利用零信任分析平台,将员工的身份与老旧系统用户的真实身份进行关联和分析,建立完整的身份识别通道。在不对老旧系统业务进行改造的情况下,加强口令的安全性和防护能力。此外,安全人员也能够通过零信任平台的接入,加强对老旧系统使用情况的了解。

防止员工泄密

很多企业需要准确地分析和识别员工的行为。过去企业常常从终端角度入手,但是员工会抵触,覆盖范围有限。

持安实现了无端水印和无端的文件追踪技术,并且对文件内容进行追踪,以及文件特定特征的追踪技术,一旦企业发生文件数据泄露事件,结合持安科技终端的能力,站在上帝视角审视数据的分布、使用、流转情况,

零信任解决方案将用户的真实身份与其访问的应用数据和文件进行关联,会为用户访问的页面、转发或下载的文件内容添加水印,并设置敏感文件的身份标签进行跟踪。一旦发现用户通过网关访问的文件泄露,我们只需在网关上查询相关泄露文件,便可查清是哪些用户在什么时间访问了哪个文件。

此外,零信任解决方案还可以记录和学习员工的日常访问行为,并将其与文件访问频率和数据相关联。一旦发现有用户的行为与平时差别巨大,例如突然集中大量下载文件,我们将加强认证或阻断该次访问。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1482424.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Leetcode 第 386 场周赛题解

Leetcode 第 386 场周赛题解 Leetcode 第 386 场周赛题解题目1:3046. 分割数组思路代码复杂度分析 题目2:3047. 求交集区域内的最大正方形面积思路代码复杂度分析 题目3:3048. 标记所有下标的最早秒数 I思路代码复杂度分析 题目4:…

网站添加pwa操作和配置manifest.json后,没有效果排查问题

pwa技术官网:https://web.dev/learn/pwa 应用清单manifest.json文件字段说明:https://web.dev/articles/add-manifest?hlzh-cn Web App Manifest:Web App Manifest | MDN 当网站添加了manifest.json文件后,也引入到html中了&a…

决定西弗吉尼亚州地区版图的关键历史事件

决定西弗吉尼亚州地区版图的关键历史事件: 1. 内部分裂与美国内战: - 在1861年美国内战爆发时,弗吉尼亚州作为南方邦联的一员宣布退出美利坚合众国。然而,弗吉尼亚州西部的一些县由于经济结构(主要是农业非依赖奴隶制…

小程序事件处理

事件处理 一个应用仅仅只有界面展示是不够的,还需要和用户做交互,例如:响应用户的点击、获取用户输入的值等等,在小程序里边,我们就通过编写 JS 脚本文件来处理用户的操作 1. 事件绑定和事件对象 小程序中绑定事件与…

学习:GPT-4技术报告2023.3

原文链接:GPT-4的 (openai.com) 摘要: 我们创建了 GPT-4,这是 OpenAI 在扩展深度学习方面的最新里程碑。GPT-4 是一个大型多模态模型(接受图像和文本输入,发出文本输出),虽然在许多现实世界场…

SpringBoot之Actuator的两种监控模式

SpringBoot之Actuator的两种监控模式 springboot提供了很多的检测端点(Endpoint),但是默认值开启了shutdown的Endpoint&#xff0c;其他默认都是关闭的,可根据需要自行开启 文章目录 SpringBoot之Actuator的两种监控模式1. pom.xml2. 监控模式1. HTTP2. JMX 1. pom.xml <de…

XSS初级漏洞靶场

一、环境的搭建 可以在githb上找靶机包&#xff0c;使用小皮面板搭建在自己本机 与此文章类似&#xff08;放在www目录下&#xff09; 二、XSS漏洞简介 1、什么是xss漏洞 当用户访问被xss注入的网页&#xff0c;xss代码就会被提取出来。用户浏览器就会解析这段xss代码&…

网络防御第6次作业

防病毒网关 按照传播方式分类 病毒 病毒是一种基于硬件和操作系统的程序&#xff0c;具有感染和破坏能力&#xff0c;这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地&#xff0c;它是病毒传播的目的地&#xff0c;又是下一次感染的出发点。计算机病毒感染的一般过…

会声会影使用教程:5分钟学会会声会影

工具材料&#xff1a; 工具材料&#xff1a; 会声会影软件 会声会影2023下载地址 https://souurl.cn/gbXy1d 会声会影2022下载地址 https://souurl.cn/2KpINh 会声会影2021下载地址 https://souurl.cn/jd1HOr 会声会影2020下载地址 https://souurl.cn/3EJxdZ 使用方法&am…

进制算法题(进制转换、Alice和Bob的爱恨情仇)

进制的本质 对于一个十进制数字&#xff0c;比如说153&#xff0c;其本质是每一个数位上的数字乘上这一位上的权重&#xff0c;即:153(1x)(5x)(3 x)而二进制&#xff0c;只不过是把10换成了2&#xff0c;任意一个非负整数都有唯一的一个二进制表示: 在计算机中&#xff0c;数字…

助力智能化农田作物除草,基于YOLOv5全系列【n/s/m/l/x】参数模型开发构建农田作物场景下玉米苗、杂草检测识别分析系统

在我们前面的系列博文中&#xff0c;关于田间作物场景下的作物、杂草检测已经有过相关的开发实践了&#xff0c;结合智能化的设备可以实现只能除草等操作&#xff0c;玉米作物场景下的杂草检测我们则少有涉及&#xff0c;这里本文的主要目的就是想要基于DETR模型来开发构建玉米…

YUNBEE-【技术分析】postgres中B-tree 索引结构深度解析

注: 本文为云贝教育 刘峰 原创&#xff0c;请尊重知识产权&#xff0c;转发请注明出处&#xff0c;不接受任何抄袭、演绎和未经注明出处的转载。 一、B-tree索引的结构 在PostgreSQL中&#xff0c;B-tree索引的结构包括几种类型的页面&#xff1a;meta page、root page、bran…

C语言学生成绩信息管理系统【结构体+文本】

功能描述&#xff1a; 1、录入成绩 2、显示不及格学生信息 3、统计每档学生数量 4、总成绩统计 代码&#xff1a; #include<stdio.h>#define N 30//结构体&#xff1a;typedef struct STUDENT{char id[10];//学号char name[20];//姓名float score[3];//三门成绩,分别代…

张俊将出席用磁悬浮技术改变生活演讲

演讲嘉宾&#xff1a;张俊 空压机销售总监 亿昇(天津)科技有限公司 演讲题目&#xff1a;用磁悬浮技术改变生活 会议简介 “十四五”规划中提出&#xff0c;提高工业、能源领城智能化与信息化融合&#xff0c;明确“低碳经济”新的战略目标&#xff0c;热能产业是能源产业和…

vite打包构建时环境变量(env)生成可配置的js文件

现实需求 在vite开发过程中&#xff0c;一些变量可以放在.env&#xff08;基础公共部分变量&#xff09;.env.dev&#xff08;开发环境&#xff09;、.env.production&#xff08;生产环境&#xff09;中管理&#xff0c;通常分成开发和生产两个不同的配置文件管理&#xff0c…

AcWing 787. 归并排序 解题思路及代码

先贴个题目&#xff1a; 以及原题链接&#xff1a;787. 归并排序 - AcWing题库https://www.acwing.com/problem/content/789/纯板子题&#xff0c;先贴代码吧&#xff0c;根据代码讲思路&#xff1a; #include <iostream> using namespace std;const int N 1e5 10; in…

备战蓝桥杯---状态压缩DP基础1之棋盘问题

它只是一种手段&#xff0c;一种直观而高效地表示复杂状态的手段。 我们先来看一道比较基础的&#xff1a; 直接DFS是肯定不行&#xff0c;我们发现对某一行&#xff0c;只要它前面放的位置都一样&#xff0c;那么后面的结果也一样。 因此我们考虑用DP&#xff0c;并且只有0/…

【three.js】搭建本地静态服务器 查询API文档使用

目录 一、为什么要搭建本地静态服务器呢&#xff1f; 二、下载three.js文件包 三、vscode配置live-server插件 一、为什么要搭建本地静态服务器呢&#xff1f; 平时学习Three.js&#xff0c;如果你想预览代码3D效果、查询API文档等&#xff0c;咱们需要提供一个本地静态服务…

(每日持续更新)信息系统项目管理(第四版)(高级项目管理)考试重点整理第12章 项目质量管理(五)

博主2023年11月通过了信息系统项目管理的考试&#xff0c;考试过程中发现考试的内容全部是教材中的内容&#xff0c;非常符合我学习的思路&#xff0c;因此博主想通过该平台把自己学习过程中的经验和教材博主认为重要的知识点分享给大家&#xff0c;希望更多的人能够通过考试&a…

​​Procedural Sky - Builtin LWRP URP - Jupiter

Jupiter是一个轻量级的单通道着色器,可帮助您立即创建动态天空盒,深度关注低多边形和风格化场景,可在桌面、移动和VR应用程序上运行良好,为您节省大量时间和精力! Jupiter完全支持轻量级、通用和内置渲染管道,并提供各种设置供您自定义。这些功能可以通过简单的切换轻松打…