威斯尼斯人(wns2299cn·China认证)官网-Make Life Better

长扬零信任身份安全解决方案在重保中的实践

2022-08-02 来源:威斯尼斯人wns2299cn

当前,我国云计算、移动互联网、物联网、人工智能等技术快速普及运用,IT 环境呈现多样化趋势,也带来了更多的新型安全风险。同时,随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。

一、企业防护中遇到的问题

1. 外网突破口较多

企业入口存在较多的安全隐患:Web及其组件漏洞、邮件系统安全认证缺陷、组件漏洞、HTTP/HTTPS/SSH/FTP等服务漏洞、应用系统及其组件的设计缺陷和配置缺陷等。


2. 攻击手段层出不穷,边界防线易于突破

近年来攻击手段不断提升,0day漏洞、免杀技术、钓鱼邮件等成为演练中的“常客”,导致尽管边界重兵把守,攻击者仍然可以进入内网。而目前多数用户数据中心内部未进行较细的安全域划分,以及没有充分的访问控制手段,一旦进入内网,攻击者即可自由地横移和渗透,很难被发现和被阻止。                        


3. 低级别资产到高级别资产的横移

从内网安全事件来看,由于未将重要资产及次要资产进行合理划分,内部安全存在两大“短板”:一是各地分支机构被入侵后往往可直接攻击总部,二是一台边缘系统被入侵后,可做为跳板攻击一个区域其它主机甚至攻击核心业务系统。


4. 内部攻击面过大

内部服务器存在较多无用端口开放(Windows默认开放端口、开发不规范等)、内部较大的安全域划分以及网段式的访问控制策略,均导致了内部攻击面过大。


二、重保新思路,查隐患、藏系统

长扬零信任身份安全解决方案以零信任安全理念出发,从暴露面检测、边界安全、可信身份认证、生产网防御等维度展开全方位防护,对企业内、外部的所有访问重新进行信任评估和动态访问控制,针对所有访问企业资源的请求,进行认证、授权和加密,对用户和使用设备进行全面验证,同时可以对每一次访问请求进行实时的风险评估。


长扬零信任身份安全解决方案基于零信任安全理念,提供事前查隐患、事中隐身防护、事后总结的场景化全流程业务安全防护。


1.  全网资产洞悉,掌握资产台账

在进行重保防护之前,首先要做的是对企业的网络设备及资产进行盘查,统计全量资产数据,同时对资产中存在哪些风险、漏洞进行排查,进而对关键资产流量进行监控及防护。通过威斯尼斯人wns2299cn的工业互联网测绘平台,可实现网络设备无损、快速扫描,扫描过程中进行探测设备端口存活状态、判别服务类型、识别设备型号、发现漏洞版本等流程,以达到对互联网、生产网暴露的资产进行风险排查的目的。


a)  互联网和生产网暴露面梳理

微信图片_20220802141729.png

图1:暴露面梳理流程


b)  长扬工业互联网测绘平台高效资产梳理利器

微信图片_20220802141840.png

图2:测绘平台产品特性


c)  易操作,覆盖面广

微信图片_20220802141948.png

图3:测绘平台检测范围


2.  藏系统,非可见不攻击

无法攻击看不见的东西。在攻防过程中,长扬零信任访问控制系统, 隐藏代理的业务系统。在网络中,客户的业务系统无法被探测到,从而减小了攻击面。


a)  业务系统无法被攻击

核心业务系统网络隐身

基于用户的业务系统授权控制

网络通信安全防护

持续风险评估

动态访问控制


b)  重新定义新边界

我司零信任相关产品体系包括零信任访问控制系统、零信任应用安全网关、零信任安全客户端、零信任安全连接器,通过网络隐身、不断验证访问的安全性、身份验证和授权来最大程度地减少被攻击的可能性。

微信图片_20220802142050.png

图4:业务系统网络隐身


c)  方案优势

基于软件定义边界构建的应用安全网关,实现对业务系统的网络隐藏

全向防攻击,防恶意探测和恶意攻击

针对管理和运维用的特权账号,强化安全监管,如运维终端专用、双因子认证、特权会话时长管理、异常账号分析等

持续信任评估,终端感知、网络感知和威胁情报实时分析

动态访问控制,智能决策研判,动态安全策略调整

高可靠、高稳定、高性能


微信图片_20220802142138.png

图5:网络部署图


三、零信任技术在重保实战中效果

1、反信息收集

利用零信任SDP隐身网关、提高账号安全、弱密码扫描、API网关黑白名单减少暴露面,导致暴露面越少越难受到攻击,对攻击方来说越难攻击。


2、防止边界越权、进行反渗透

利用零信任SPA单包授权、SDP网关应用代理访问、双因素认证、服务之间微隔离、IAM异常登录行为分析进行边界划分,进行权限获取,防止越权访问等操作。


3、权限提升及时发现

基于上下文的动态自适应认证策略,对异常行为进行分析,进行微隔离+异常连接可视化展示,对异常权限管控。


4、构建加密隧道

对企业内数据交互进行加密隧道数据保护,防止流量管控、劫持,同时也对内网建立的异常加密隧道进行权限管控,阻止异常加密隧道蔓延到内网。


5、持续权限维持

权限维持也是后渗透的持续工作,边界权限、后门的维持是对数据的持久保护,永不松懈。


6、内网渗透、层层限制

对关键服务端口、密码权限认证、信息收集、典型漏洞等内容重点关注,进行防御,防止攻击方对敏感端口、敏感服务重点发起攻击,保护重要资产运行正常不受干扰。


7、痕迹留存保存证据

有效阻止攻击方对攻击行为进行痕迹擦除,保存访问痕迹、访问记录、异常操作均记录日志,有效留存历史记录。


四、小结

在重保工作完成后,威斯尼斯人wns2299cn帮助用户进行全面复盘分析。

通过工业互联网测绘平台帮助客户建立资产台账,摸清安全隐患;通过零信任访问控制系统,帮助客户隐藏核心业务系统,实现重保期间不断网,保障客户业务的安全、连续访问。



ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质