為進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全隱患排查整改，推動(dòng)以攻促防，查漏補(bǔ)缺，筑牢網(wǎng)絡(luò)安全防線建設(shè)，開展攻防演習(xí)專項(xiàng)工作無論是對(duì)國(guó)家、社會(huì)和企業(yè)，都會(huì)有效提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力。

雖然網(wǎng)絡(luò)安全經(jīng)過多年的建設(shè)已逐漸全面，但仍不可避免的會(huì)被黑客攻破，主要是因?yàn)橛脩羧匀徊捎脗鹘y(tǒng)邊界防護(hù)理念，即壘高墻和區(qū)域隔離的模式，根據(jù)各區(qū)域的安全級(jí)別不同，在安全區(qū)域之間部署防火墻、IPS、防毒墻、WAF等安全防護(hù)設(shè)備，以此應(yīng)對(duì)外界攻擊。而傳統(tǒng)邊界防護(hù)理念最大的弊端是防外不防內(nèi)，用戶通過賬號(hào)登陸即默認(rèn)可信，對(duì)邊界內(nèi)用戶的操作不做過多的異常行為監(jiān)測(cè)，造成安全區(qū)域內(nèi)部過度信任的問題。假設(shè)賬號(hào)是攻擊者通過口令爆破或者社工獲取，即可通過合理的身份進(jìn)行非法操作；同時(shí)因?yàn)槿鄙賮碜钥蛻舳说陌踩畔ⅲ瑢?duì)威脅的安全分析不夠全面，所以成了邊界安全理念的脆弱點(diǎn)。

隨著云應(yīng)用、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G 等技術(shù)的興起及應(yīng)用，IT 環(huán)境呈現(xiàn)多樣化趨勢(shì)，同時(shí)也帶來了更多的新型安全風(fēng)險(xiǎn)?；谀壳熬W(wǎng)絡(luò)發(fā)展的需求，零信任將成為未來網(wǎng)絡(luò)安全的主流架構(gòu)，企業(yè) IT 安全建設(shè)的必然選擇。零信任安全理念解決了區(qū)域和信任的綁定關(guān)系，用戶的訪問權(quán)限不再受到網(wǎng)絡(luò)區(qū)域的限制，訪問前需要經(jīng)過身份認(rèn)證和授權(quán)，而身份認(rèn)證不再僅僅針對(duì)用戶，還將對(duì)用戶所持客戶端進(jìn)行安全校驗(yàn)，并且在訪問過程中進(jìn)行用戶畫像和持續(xù)性風(fēng)險(xiǎn)評(píng)估，對(duì)訪問進(jìn)行動(dòng)態(tài)、細(xì)粒度的授權(quán)，同時(shí)采用最小授權(quán)原則，可以有效防御黑客的入侵以及0day攻擊。

芯盾時(shí)代攻防演練方案

芯盾時(shí)代解決方案打破傳統(tǒng)以網(wǎng)絡(luò)邊界為信任的條件，以零信任安全理念出發(fā)，從身份、設(shè)備、行為等維度展開全方位防護(hù)，對(duì)企業(yè)內(nèi)、外部的所有訪問重新進(jìn)行信任評(píng)估和動(dòng)態(tài)訪問控制，針對(duì)所有訪問企業(yè)資源的請(qǐng)求，進(jìn)行認(rèn)證、授權(quán)和加密，對(duì)用戶和使用設(shè)備進(jìn)行全面驗(yàn)證，同時(shí)可以對(duì)每一次訪問請(qǐng)求進(jìn)行實(shí)時(shí)的風(fēng)險(xiǎn)評(píng)估。

芯盾時(shí)代攻防演練方案基于零信任安全理念，提供覆蓋事前、事中、事后的場(chǎng)景化全流程業(yè)務(wù)安全防護(hù)。

事前檢測(cè)

攻防演練中首先要對(duì)企業(yè)資產(chǎn)進(jìn)行盤查，建立完善的資產(chǎn)臺(tái)賬，進(jìn)而對(duì)資產(chǎn)配備相應(yīng)的防護(hù)手段。而當(dāng)前絕大多數(shù)企業(yè)存在對(duì)自身企業(yè)資產(chǎn)畫像不清晰、威脅響應(yīng)不及時(shí)和管理制度不完善等問題，沒有能夠真正將資產(chǎn)和威脅管理起來。在攻防演練中，部分遺漏、未被安全管理、未及時(shí)下線的系統(tǒng)，由于存在安全漏洞并缺乏相應(yīng)的安全防護(hù)策略會(huì)被攻擊者找到和利用。

芯盾時(shí)代數(shù)字資產(chǎn)在線發(fā)現(xiàn)系統(tǒng)以數(shù)字資產(chǎn)（IT資產(chǎn)、應(yīng)用資產(chǎn)、數(shù)據(jù)資產(chǎn)、代碼資產(chǎn)等數(shù)字資產(chǎn)）為核心，幫助用戶梳理企業(yè)內(nèi)外網(wǎng)的數(shù)字資產(chǎn)情況，并對(duì)企業(yè)數(shù)字資產(chǎn)主動(dòng)威脅檢測(cè)，結(jié)合威脅情報(bào)對(duì)企業(yè)威脅（主機(jī)漏洞、web漏洞、0day漏洞、弱口令、代碼泄露、APP威脅）進(jìn)行跟蹤和管理，將威脅和業(yè)務(wù)以及負(fù)責(zé)人關(guān)聯(lián)起來，并在長(zhǎng)期威脅檢測(cè)和復(fù)查的基礎(chǔ)上，對(duì)威脅的解決時(shí)間和結(jié)果進(jìn)行跟蹤，真正起到資產(chǎn)盤查和威脅發(fā)現(xiàn)的作用。

事中防護(hù)

雙因素認(rèn)證

攻擊者在攻擊過程中利用當(dāng)前大部分單位應(yīng)用系統(tǒng)、服務(wù)器或網(wǎng)絡(luò)設(shè)備的弱口令、單因素認(rèn)證、特權(quán)賬號(hào)共享等問題，通過賬號(hào)密碼登錄應(yīng)用系統(tǒng)、服務(wù)器或網(wǎng)絡(luò)設(shè)備，再進(jìn)一步提權(quán)拿下目標(biāo)系統(tǒng)。

雙因素認(rèn)證

芯盾時(shí)代雙因素認(rèn)證產(chǎn)品通過移動(dòng)雙因素認(rèn)證技術(shù)和認(rèn)證代理技術(shù)，在原系統(tǒng)用戶名密碼認(rèn)證基礎(chǔ)上，快捷實(shí)現(xiàn)二次認(rèn)證、雙因素認(rèn)證、認(rèn)證策略控制，對(duì)業(yè)務(wù)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備的訪問登錄進(jìn)行二次認(rèn)證，大幅提升系統(tǒng)認(rèn)證安全性，可有效避免因弱口令、密碼管理不當(dāng)、源代碼管理不當(dāng)（源代碼中含有系統(tǒng)管理員賬戶密碼）帶來的系統(tǒng)被盜而導(dǎo)致的失分。

資源隱藏

對(duì)于各類數(shù)字資產(chǎn)的管理方面，芯盾時(shí)代零信任業(yè)務(wù)安全平臺(tái)SDP能夠?qū)崿F(xiàn)后端業(yè)務(wù)以及網(wǎng)關(guān)自身的隱藏，使攻擊者獲取不到后端服務(wù)器的信息，失去攻擊方向，有效減少暴露面并且削弱DDoS攻擊；采用UDP建立連接的方式，只對(duì)授權(quán)客戶端進(jìn)行響應(yīng)，可以有效阻止攻擊和掃描，待通信成功建立后再采用TCP協(xié)議通信，確保用戶身份的安全性，實(shí)現(xiàn)網(wǎng)關(guān)、業(yè)務(wù)的隱身，解決TCP連接時(shí)存在的攻擊風(fēng)險(xiǎn)。

零信任業(yè)務(wù)安全平臺(tái)

芯盾時(shí)代SDP分為三大平面：

管理平面：對(duì)零信任安全網(wǎng)關(guān)進(jìn)行配置管理及可視化展示；

數(shù)據(jù)平面：通過各類安全組件對(duì)訪問主體與客體的身份和環(huán)境進(jìn)行管控；

控制平面：將風(fēng)險(xiǎn)信息輸入到控制平面，為持續(xù)信任計(jì)算引擎和動(dòng)態(tài)訪問控制引擎提供依據(jù)。

目前芯盾時(shí)代零信任產(chǎn)品已經(jīng)集成了SDP和增強(qiáng)型IAM兩大技術(shù)，并且和微隔離可以進(jìn)行很好地互動(dòng)，感知東西向流量的風(fēng)險(xiǎn)，主要呈現(xiàn)：全平臺(tái)覆蓋、全架構(gòu)應(yīng)用支持、全協(xié)議代理、全鏈路安全、全流量解析等功能特點(diǎn)。

數(shù)據(jù)安全管控

芯盾時(shí)代數(shù)據(jù)安全管控系統(tǒng)通過對(duì)數(shù)據(jù)庫(kù)的操作行為和數(shù)據(jù)庫(kù)輸出內(nèi)容進(jìn)行管控，從而滿足攻防演練期間數(shù)據(jù)交互過程中越權(quán)訪問、違規(guī)請(qǐng)求、超頻使用、數(shù)據(jù)泄露等風(fēng)險(xiǎn)的識(shí)別、控制和追責(zé)的需求。

系統(tǒng)支持根據(jù)不同身份進(jìn)行個(gè)性化數(shù)據(jù)庫(kù)訪問控制，并對(duì)用戶訪問的靜態(tài)數(shù)據(jù)、動(dòng)態(tài)數(shù)據(jù)進(jìn)行即時(shí)動(dòng)態(tài)脫敏，以及根據(jù)業(yè)務(wù)系統(tǒng)需求，批量進(jìn)行數(shù)據(jù)靜態(tài)脫敏，滿足企業(yè)攻防演練、安全運(yùn)維、數(shù)據(jù)分析、系統(tǒng)測(cè)試、數(shù)據(jù)交換、機(jī)器學(xué)習(xí)等不同需求場(chǎng)景下的數(shù)據(jù)安全需求。

事后總結(jié)

攻防演練是為了更好的進(jìn)行安全防護(hù)。在實(shí)戰(zhàn)工作完成后，芯盾時(shí)代協(xié)助用戶進(jìn)行充分、全面的復(fù)盤分析，總結(jié)經(jīng)驗(yàn)、教訓(xùn)，包括工作方案、組織管理、工作啟動(dòng)會(huì)、系統(tǒng)資產(chǎn)梳理、安全自查及優(yōu)化、基礎(chǔ)安全監(jiān)測(cè)與防護(hù)設(shè)備的部署、安全意識(shí)、應(yīng)急預(yù)案及演練和注意事項(xiàng)等方面。

芯盾時(shí)代可為用戶提供合理可行的安全整改建議，達(dá)到整改安全漏洞隱患，完善安全防護(hù)措施，優(yōu)化安全策略，強(qiáng)化人員隊(duì)伍技術(shù)能力，有效提升整體網(wǎng)絡(luò)安全防護(hù)水平的目的。

芯盾時(shí)代攻防演練方案優(yōu)勢(shì)

加強(qiáng)網(wǎng)絡(luò)縱深防護(hù)能力，有效解決因弱口令、賬號(hào)泄露導(dǎo)致的入侵行為；

通過SPA協(xié)議將網(wǎng)關(guān)和業(yè)務(wù)服務(wù)及端口實(shí)現(xiàn)隱身，對(duì)暴露的API接口進(jìn)行管理，有效收斂暴露面，避免遭受DDoS攻擊；

關(guān)聯(lián)態(tài)勢(shì)感知、UEBA、威脅情報(bào)等安全數(shù)據(jù)源進(jìn)行大數(shù)據(jù)分析，洞察風(fēng)險(xiǎn)態(tài)勢(shì)，根據(jù)態(tài)勢(shì)變化動(dòng)態(tài)調(diào)整安全策略，支撐持續(xù)運(yùn)營(yíng)。

提供應(yīng)用級(jí)/功能級(jí)/數(shù)據(jù)級(jí)/API級(jí)的訪問控制，授予訪問主體最小訪問權(quán)限，防止權(quán)限過大造成的安全風(fēng)險(xiǎn)。

芯盾時(shí)代已為多行業(yè)頭部客戶在攻防演練中提供方案和服務(wù)支持，均獲得良好效果，取得0失分的好成績(jī)。

審核編輯 ：李倩