1.傳統(tǒng)網(wǎng)絡(luò)建設(shè)防守局限
傳統(tǒng)網(wǎng)絡(luò)建設(shè)主要以防火墻作為主要的網(wǎng)絡(luò)安全防護(hù)措施�,該解決方案提供了南北向網(wǎng)絡(luò)邊界的有效防控,但對(duì)東西向流量防控卻遺留空白�����。面對(duì)高級(jí)或未知威脅����,攻擊者往往能夠通過(guò)社會(huì)工程或企業(yè)未知風(fēng)險(xiǎn)滲透企業(yè)防守薄弱的主機(jī),在網(wǎng)絡(luò)邊界之內(nèi)橫向傳播��。
2.伙伴入網(wǎng)權(quán)限失控
企業(yè)為營(yíng)造便捷���、高效的發(fā)展目標(biāo)����,伴隨著“數(shù)字政府”的建設(shè)加快����,政務(wù)系統(tǒng)的使用者身份也錯(cuò)綜復(fù)雜。其中包括政務(wù)系統(tǒng)開(kāi)發(fā)���、運(yùn)維���、廠商、公務(wù)員等多種人員�����,其中不乏有“無(wú)意泄密者”�,因非授權(quán)的肆意訪問(wèn)、無(wú)意犯錯(cuò)造成的數(shù)據(jù)泄漏和系統(tǒng)性災(zāi)難的案例比比皆是��。
3.單點(diǎn)失守全盤(pán)皆輸
傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)出入流量實(shí)行控制���。當(dāng)前VLAN技術(shù)是限制網(wǎng)絡(luò)訪問(wèn)的小最單元�����,但無(wú)法限制端與端間的網(wǎng)絡(luò)通訊�。另外,一旦黑客突破重重防護(hù)潛入了內(nèi)網(wǎng)�����,東西向流量尚未得到有效控制�����。即可以肆無(wú)忌憚地在內(nèi)網(wǎng)主機(jī)之間橫向擴(kuò)散��,借助資產(chǎn)共性弱點(diǎn)���,惡意行為不易被發(fā)現(xiàn)�����,繼而導(dǎo)致單臺(tái)失陷感染全網(wǎng)的慘狀�����。
二����、淺談微隔離技術(shù)
1.微隔離技術(shù)談古論今
在網(wǎng)絡(luò)應(yīng)用的初期,網(wǎng)絡(luò)上的主機(jī)彼此之間通訊是自由的���,正常流量與惡意流量混雜在一起����,給個(gè)人和企業(yè)帶來(lái)了巨大的安全隱患��。第一代網(wǎng)絡(luò)安全解決方案“防火墻”為企業(yè)設(shè)置了網(wǎng)絡(luò)邊界���,有效阻斷了惡意流量所帶來(lái)的網(wǎng)絡(luò)攻擊。
隨著企業(yè)信息化的發(fā)展�,企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)變得越來(lái)越復(fù)雜,而防火墻作為硬件產(chǎn)品在這復(fù)雜的網(wǎng)絡(luò)環(huán)境下實(shí)施變得愈加困難�����。因此�����,Gartner在2015年首次提出微隔離的前身—軟件定義隔離(software-defined segmentation)�,通過(guò)構(gòu)建網(wǎng)絡(luò)的軟件定義分段實(shí)現(xiàn)了細(xì)粒度的流量管控。
而到了2018年,Gartner修改了更新了微隔離的定義����,將流量可視化作為微隔離的起點(diǎn),對(duì)當(dāng)今企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境提供了顆?;L問(wèn)控制,限制網(wǎng)絡(luò)攻擊在數(shù)據(jù)中心內(nèi)部的橫向移動(dòng)�����。
2.彌補(bǔ)企業(yè)東西向流量防護(hù)空白
過(guò)去企業(yè)往往將網(wǎng)絡(luò)安全的防護(hù)集中在網(wǎng)絡(luò)邊界�,包括防火墻、網(wǎng)關(guān)�����、堡壘機(jī)����、WAF等等,但對(duì)網(wǎng)絡(luò)內(nèi)部通訊的防護(hù)比較匱乏���,致使惡意程序一旦進(jìn)入內(nèi)網(wǎng)�����,便可在網(wǎng)內(nèi)主機(jī)之間任意穿梭�。而微隔離技術(shù),通過(guò)對(duì)安全域與安全域之間���、主機(jī)與主機(jī)之間的通信進(jìn)行管控���,填補(bǔ)了企業(yè)東西向流量防護(hù)的空白。
3.提供了顆?���;瘎澐志W(wǎng)絡(luò)資源
現(xiàn)如今多數(shù)企業(yè)已針對(duì)網(wǎng)絡(luò)邊界層層防護(hù)����。包括對(duì)網(wǎng)絡(luò)流量的協(xié)議、端口����、IP地址、域名服務(wù)等均做了全面的管控�����,但對(duì)內(nèi)網(wǎng)主機(jī)間的網(wǎng)絡(luò)防護(hù)仍是管理空白���。北信源通過(guò)微隔離技術(shù)手段��,實(shí)現(xiàn)對(duì)主機(jī)間網(wǎng)絡(luò)的顆?���;芾恚瑢?shí)現(xiàn)工作負(fù)載的動(dòng)態(tài)防護(hù)���。
4.阻止風(fēng)險(xiǎn)橫向蔓延擴(kuò)大影響面
高級(jí)威脅如今往往會(huì)在攻陷一臺(tái)主機(jī)后長(zhǎng)期潛伏��,伺機(jī)占領(lǐng)全網(wǎng)��。而微隔離技術(shù)可以學(xué)習(xí)企業(yè)的正常流量�,對(duì)異常流量進(jìn)行告警和控制����,最大程度的減少未知威脅對(duì)企業(yè)造成的影響。
5.較少網(wǎng)絡(luò)安全方案實(shí)施成本
傳統(tǒng)防火墻需要在業(yè)務(wù)與業(yè)務(wù)之間的網(wǎng)絡(luò)邊界配置硬件設(shè)施���,同時(shí)也會(huì)改變企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����。而微隔離技術(shù)可以在不改變企業(yè)網(wǎng)絡(luò)拓?fù)湟膊恍枰砑佑布O(shè)備的前提下���,實(shí)現(xiàn)網(wǎng)絡(luò)安全的顆?��;L問(wèn)控制����,節(jié)約成本的同時(shí)提高了網(wǎng)絡(luò)環(huán)境整體的安全性�。
三、北信源微隔離解決方案
北信源作為國(guó)內(nèi)終端安全領(lǐng)導(dǎo)者��,憑借20余年的終端安全沉淀�,通過(guò)北信源終端檢測(cè)與響應(yīng)系統(tǒng)(EDR)提供企業(yè)級(jí)微隔離解決方案。按照業(yè)務(wù)分析����、學(xué)習(xí)適應(yīng)���、漸進(jìn)實(shí)施和持續(xù)優(yōu)化四步完成北信源微隔離解決方案的實(shí)施:
1.按需劃區(qū)緊貼企業(yè)
與客戶溝通網(wǎng)絡(luò)安全需求���,分析企業(yè)信息資產(chǎn)各業(yè)務(wù)之間的關(guān)系。通過(guò)明確企業(yè)各業(yè)務(wù)的關(guān)聯(lián)關(guān)系和優(yōu)先級(jí)�,建立業(yè)務(wù)圖譜,明確保障重點(diǎn)���。梳理企業(yè)網(wǎng)絡(luò)環(huán)境中的終端����,根據(jù)業(yè)務(wù)關(guān)系和優(yōu)先級(jí)為資產(chǎn)分區(qū)分域,為企業(yè)工作負(fù)載分組�。識(shí)別未注冊(cè)資產(chǎn),豐富資產(chǎn)信息��,將業(yè)務(wù)圖譜映射到資產(chǎn)分組中�����。
2.有效隔離關(guān)鍵位置
將企業(yè)內(nèi)的資產(chǎn)按需劃分終端���、服務(wù)器和共享資源三類角色����,根據(jù)用途分類隔離���。終端指用戶端���,主要是供用戶使用的PC機(jī)。服務(wù)器指提供服務(wù)的業(yè)務(wù)系統(tǒng)�����,主要對(duì)外對(duì)內(nèi)提供信息化服務(wù)。共享資源指打印機(jī)��、攝像頭����、共享存儲(chǔ)等共享設(shè)備,可為終端和服務(wù)器提供公共資源�����。企業(yè)可根據(jù)資產(chǎn)角色設(shè)計(jì)隔離管控策略����。當(dāng)PC端某一資產(chǎn)失陷,可最大程度的保護(hù)共享資源及業(yè)務(wù)域安全運(yùn)轉(zhuǎn)���,降低了核心資源的影響面��。
3.動(dòng)態(tài)流量可視化呈現(xiàn)
北信源微隔離技術(shù)支持配置流量學(xué)習(xí)模型,根據(jù)資產(chǎn)分組學(xué)習(xí)業(yè)務(wù)正常流量����,并通過(guò)流量可視化幫助管理員對(duì)現(xiàn)有的網(wǎng)絡(luò)協(xié)議和流量的識(shí)別�,提高管控策略的配置的效率�����。學(xué)習(xí)資產(chǎn)分域和分組間流量的協(xié)議�、端口和網(wǎng)絡(luò)地址,標(biāo)記未注冊(cè)資產(chǎn)和學(xué)習(xí)模型之外的流量��,在不斷學(xué)習(xí)中補(bǔ)完識(shí)別模型�,最終實(shí)現(xiàn)對(duì)企業(yè)正常流量的全量識(shí)別。
4.多重模式降低影響
制定異常流量的阻斷策略往往容易影響隨業(yè)務(wù)需要變化的正常流量�����,所以需要漸進(jìn)式的實(shí)施方式以求將不良影響控制到最小�。通過(guò)學(xué)習(xí)模式、審計(jì)模式和工作模式的多模式切換���,逐步驗(yàn)證策略的可行性��。先通過(guò)學(xué)習(xí)模式識(shí)別正常流量���,不斷優(yōu)化學(xué)習(xí)模型;再通過(guò)審計(jì)模式配置告警策略����,告警但不阻斷模型外流量����;待告警策略驗(yàn)證一段時(shí)間無(wú)誤后���,最終將告警策略變更為阻斷策略更新到工作模式�����,實(shí)現(xiàn)真正異常流量的有效阻斷�。
5.隔離規(guī)則持久優(yōu)化
由于企業(yè)的業(yè)務(wù)變化����,企業(yè)的信息資產(chǎn)、網(wǎng)絡(luò)拓?fù)浜屯ㄓ嵙髁恳苍诎l(fā)生變化��,因此��,安全管理者對(duì)流量的管控策略也需要進(jìn)行持續(xù)優(yōu)化�����。用戶可以通過(guò)流量可視化實(shí)時(shí)監(jiān)測(cè)當(dāng)前流量管控實(shí)施成效��,及時(shí)發(fā)現(xiàn)被意外阻斷的正常流量和未識(shí)別的異常流量�����,最小化對(duì)正常業(yè)務(wù)的影響���,避免異常流量所帶來(lái)的惡意攻擊�。同時(shí)���,用戶也可以跟蹤業(yè)務(wù)變化�,及時(shí)調(diào)整流量管控策略���,使其符合當(dāng)前業(yè)務(wù)的需要��。
北信源EDR目前已經(jīng)通過(guò)了中國(guó)信通院的測(cè)評(píng)�,是第一批入圍的廠家�。公司將繼續(xù)開(kāi)拓創(chuàng)新、自主研發(fā)���,刻苦鉆研��,提供更安全����、更科學(xué)、更便捷的安全產(chǎn)品����。
四、北信源深耕行業(yè) 銳意創(chuàng)新
北信源作為中國(guó)首批信息安全領(lǐng)域A股上市公司�����,中國(guó)信息安全龍頭企業(yè)����,作為國(guó)家規(guī)劃布局內(nèi)的重點(diǎn)軟件企業(yè),北信源多年來(lái)持續(xù)深耕網(wǎng)絡(luò)安全和終端安全����,使公司從傳統(tǒng)的終端安全領(lǐng)導(dǎo)者逐步成為萬(wàn)物互聯(lián)時(shí)代下智慧安全的全面解決方案提供商。經(jīng)過(guò)20多年的積累和沉淀��,不斷創(chuàng)新與實(shí)踐��,擁有自主知識(shí)產(chǎn)權(quán)的核心專利技術(shù)��,產(chǎn)品和解決方案廣泛深入到各行業(yè),同時(shí)加快培育新業(yè)態(tài)和新模式����,形成“平臺(tái)����、數(shù)據(jù)、應(yīng)用�、服務(wù)、安全”協(xié)同發(fā)展的格局����。已獲業(yè)界和國(guó)家相關(guān)單位認(rèn)可,成為國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心技術(shù)支持單位���、國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的核心承擔(dān)單位之一��。
據(jù)公開(kāi)資料顯示���,2021年,北信源入選第九屆CNCERT網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位�,為國(guó)家互聯(lián)網(wǎng)應(yīng)急中心提供安全漏洞信息報(bào)送、網(wǎng)絡(luò)安全事件報(bào)送�、重大安全事件響應(yīng)、專項(xiàng)支撐、交流培訓(xùn)等多個(gè)維度的應(yīng)急服務(wù)支撐���。同年�����,北信源率先參與加入“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)風(fēng)險(xiǎn)治理框架體系”���,并受邀入駐國(guó)家等級(jí)保護(hù)2.0與可信計(jì)算3.0攻關(guān)示范基地。
網(wǎng)絡(luò)安全關(guān)乎國(guó)家安全和公眾社會(huì)利益�����,未來(lái)���,北信源將繼續(xù)加大技術(shù)投入�����,完善網(wǎng)絡(luò)安全防護(hù)體系��,全面落實(shí)保護(hù)信息安全責(zé)任�����,為國(guó)家網(wǎng)絡(luò)安全護(hù)航�����!
作者:趙勇
