近年来,数字化转型和疫情防控的刚需催生了远程办公新常态,远程接入场景下业务系统暴露面不断扩大,而攻击方式更加专业和系统化,我们不得不重新审视远程接入安全,将安全建设思路从“安全功能”向常态化“攻防对抗”转变。
一、常态化攻防对抗下, 现有远程接入方式有哪些不足?
如果打通网络,将业务系统直接发布到互联网,安全风险极高,若通过防火墙等设备进行源IP地址接入限制,运维难度极大,因此,大部分单位采用VPN/SDP代理访问方式,虽提高了业务系统的接入安全性,但在常态化的攻防对抗下,安全效果仍存在很多不足:
1. 不法分子冒用身份接入内网。普通VPN/SDP通常仅支持双因素认证,无法识别和阻断不法分子利用合法账号进行异常登录的行为,如非常用地点登录、账号在新终端登录等异常情形。
2. 终端威胁易扩散至内网。接入终端多种多样,尤其是BYOD终端难以保障其安全性,若终端失陷便可以随意借助普通VPN/SDP接入通道,对内网进行攻击,难防护、难溯源。
3. 设备易成为攻击对象。VPN/SDP属于边界入口产品,本身会暴露在互联网,任何人均可以访问,容易成为恶意攻击对象。
不法分子突破边界入侵内网。传统VPN/SDP产品对终端到设备的流量会进行SSL加密,但不具备安全检测能力,边界被入侵后很难发现异常行为,导致不法分子突破边界后,在内网肆意破坏或窃取数据。
因此,作为关键边界入口产品,VPN/SDP需要具备常态化攻防对抗的能力。
二、攻防实战中,“零信任”安全如何构筑防线?
针对实战攻防常见场景,深信服提出了安全接入的“3+4”安全防护思路并应用在零信任SDP产品上。“3+4”安全防护思路即:三道防线和四大闭环能力。用户在终端上登录账号,通过SDP设备访问业务系统,在这个过程中,账号、终端、SDP设备是三大主要攻击对象。
1.基于账号、终端、设备构建三道安全防线
① 确保账号安全
很多企业账号设置为工号、手机号、姓名拼音等,并且经常多个系统采用相同的账号,用户经常会将密码设置为生日、手机号等简单的组合。攻击者很容易通过猜解、社工、钓鱼、撞库等多种手段获取账号信息,并通过弱口令爆破等方式破解密码。
假设“账号泄露难以避免”,基于攻防视角,深信服零信任aTrust从“多因素认证+密码安全防护+防爆破+行为安全(基于终端、地点、时间、访问行为等)”多个方面来进行防护,确保用户身份的合法性。
② 提升终端安全
员工接入终端多种多样,尤其大量员工采用BYOD终端访问业务系统,终端可能存在操作系统补丁未及时更新、未安装杀毒软件、未开启系统防火墙、被钓鱼挂马等情形,导致终端成为业务访问中较为薄弱的一环,一旦终端失陷,攻击者很容易横向迁移,攻击内网业务系统。
假设“远程办公的终端已经失陷”,深信服零信任aTrust从攻防视角出发,从“基础终端安全(准入/桌管/杀毒等)+进程安全+网络隔离+终端数据防泄露”多个方面进行保护,提升在业务访问过程中终端的安全性。
③ 保障设备安全
业务系统被收缩到内网后,攻击难度增加,因此零信任SDP设备本身就成为远程接入场景被攻击的主要目标。攻击者通常针对设备对外暴露的业务端口、运维端口、中间件/框架漏洞、API接口、逻辑越权漏洞、认证绕过漏洞,甚至是对设备源码分析等方式进行攻击。
假设“攻防演练中设备一定会被攻击”,基于攻防视角,深信服零信任aTrust从以下多个方面来提升,全方位保障设备安全。
2.基于加固、运营、溯源、补丁更新构建四大闭环
除了加强接入过程的防护以外,深信服零信任aTrust还提供了“加固、运营、溯源和补丁更新”四大闭环能力,能够针对攻击链,在事前进行安全加固、在事中持续进行检测响应、在事后进行溯源,并针对遇到的问题快速进行补丁修复,这样才能真正做好有效防御,构建攻防对抗中的安全防护闭环。
年度网络攻防实战即将到来,守护好安全的最后一公里,是各政企事业单位及组织的防御之道。深信服助力企业网络安全体系向零信任架构迁移,以更安全、体验更好、适应性更强的远程办公网络,增强企业在实战中的攻防对抗能力。
目前,深信服零信任在金融、运营商、互联网企业、教育、政府科研等各行各业落地实施,服务上千家客户,其轻量级、易落地、高安全性的优势受到越来越多的用户认可。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )