王丽芳 中国电信股份有限公司江西分公司网络与信息安全部 南昌市 330046
韩晓颖 熊光丽 中国电信股份有限公司江西分公司无线网络优化中心 南昌市330046
随着工业互联网时代的到来,万物互联成为人们生活的常态,远程办公、客户访问、海量的信息共享等都为企业发展带来新的活力。同时,企业网络与平台受到的攻击越来越多,个人信息泄露的事件屡见不鲜。如何构建企业网络安全防御体系高效抵御网络安全威胁?成为亟需解决的问题。
纵深防御通常是指一套安全防御体系中同时运行多个安全控制,没有任何安全控制能防范所有可能的威胁,通过多层防护方案的并联运行可以抵御多重外来威胁,同时实现安全冗余。在分层防护安全解决方案中,一个安全控制失效不会导致系统或数据暴露。安全控制、控制措施和防护措施可以是管理性、逻辑性/技术性或物理性的。这三种安全机制应以纵深防御方式实现,以实现最大的安全收益,使资产得到更有效的防护,如图1所示。
图1 纵深防御中实施的安全控制分类
(1)物理性控制措施
物理性控制措施是可实际接触到的措施,包括阻止、监测或检测对基础设施内直接接触的物理性控制措施。物理性控制措施的例子包括保安、锁和报警器等。
(2)逻辑性/技术性控制措施
逻辑性/技术性控制措施既包括硬件也包括软件机制,可用于管理访问权限用于为系统和资源提供安全保护。顾名思义,就是使用技术。逻辑性或技术性控制措施的例子包括身份验证方法、加密、访问控制列表、协议、防火墙、路由器、IPS等。
(3)管理性控制措施
管理性控制措施是依企业的安全策略和其他法规或要求而规定的策略和程序。这些控制集中于人员和业务实践。管理性控制措施的例子包括背景调查、安全意识培训、报告和审查等。
企业使用纵深防御体系后,攻击者需要克服多层防御才能到达这些受保护的资产。要保护企业的资产不能仅靠技术来提供安全性,还必须使用物理访问控制和管理访问控制。例如,服务器使用了强身份验证机制,但身份验证信息存储在无人看守的桌面上,则攻击者可以通过窥视轻松窃取它攻入系统,还可以使用社会工程学通过欺骗未受过安全意识教育的用户交出密码,从而轻松攻入系统。从这些例子看出攻击手段的多样性,那应如何构建企业网络安全纵深防御体系。结合笔者的工作经验,本文从边界防御、监测响应、访问控制、端点安全及人的防线五个方面阐述纵深防御体系的建设,如图2所示。
图2 纵深防御框架
在企业网络安全纵深防御体系中,网络边界防御是指企业网络边界层面的防御,是网络防护的重要前沿。主要作用是拒绝非授权的非法访问、实现对外部攻击的主动防御阻断,筑起网络安全纵深防御的第一道“墙”。
在众多网络边界防御安全设备中,边界防御首先考虑的防火墙、IPS、WAF安全三件套。安全三件套中防火墙是边界防御中首选的安全防护设施,实现最基本和最有效的攻击拦截。通过防火墙,企业仅仅对外暴露必要的IP和服务端口,最大程度减少网络、系统和平台的暴露面。下一代防火墙已集成了防病毒、入侵检测、“僵木蠕”识别等多种检测和防御功能。
安全三件套中的IPS、WAF也是边界防御的不二之选设备,IPS基于特征和上下文对网络攻击行为进行判断,如果是旁路部署通过发阻断包来实现阻断,如果是窜接则通过控制转发的流量来实现阻断。WAF是对HTTP流量进行检测,确保HTTP请求包合规,对疑似的Web攻击行为进行阻断或隔离或告警。
“Web动态安全防御”“Web隔离防护”这类产品也能在边界防御中起到非常好的作用,特别在平台或系统是BS架构的边界防御效果尤其明显,其通过对HTTP响应的Html内容进行混淆或对Url,Cookie等元素做动态验证隐藏攻击入口,大幅提升攻击入侵难度,有效防范重放攻击、注入攻击等各类自动化攻击行为。
此外,抗DDoS平台、“僵木蠕”平台等安全平台,也可以对边界防御起到作用,提升资产的可用性和健壮性。但攻击者的手段层出不穷,不能寄希望在边界防御中阻断或隔离所有可能的攻击。因此,监测响应是必须的。
在边界防御里提到的不管是FW、IPS、WAF还是动态防御产品,均都是防护外部的攻击源,如FW,典型的防外不防内。此外这些产品对攻击流量的关联不够,比如IPS就只看攻击的请求报文,不关注这个请求报文的回包内容,导致大量的误报和漏报。那如何解决这些既防外也防内,同时减少误报和漏报,就需要在企业关键网络节点部署全流量分析监测平台,在内网部署蜜网蜜罐,使用行为分析、威胁情报、大数据分析、人工智能等分析技术,在交互的流量中,及时发现攻击并响应处置。
深度威胁检测平台、态势感知平台、大数据日志平台是监测威胁的重要平台,深度威胁检测平台、态势感知平台汇聚了网络关键节点流量,大数据日志平台收集了各类应用系统的日志,通过与威胁情报、蜜网蜜罐等产品威胁检测分析结果的关联,结合企业资产平台信息,可视化地感知、溯源并处置响应攻击事件。监测响应其本质是“事后”的检测手段,若要做到“事前”的技术防御,需采取访问控制。
参照零信任思想,通过访问控制可做到“事前”防御。在企业实际的生产环境中,访问控制可以从多个维度开展实施,可以是网络、应用访问控制,也可以是资源访问控制。
网络访问控制,是指在网络设备上配置访问控制有效切断依赖于网络的攻击。通过网络准入系统,能有效防御入侵者在内网横向渗透。通过监测资产违规外联行为,及时发现网络访问控制存在的漏洞并处置,提升网络防护水平。
应用访问控制,主要是通过身份认证管理、角色管理、权限管理等能力,实现对应用系统访问的控制保护,有效减少应用系统风险的暴露面。
资源访问控制,可通过4A、特权账号管理等能力,有效解决资源的管控问题。资源授权访问可以通过4A解决,4A可以实现网络设备、服务器、数据库等资源的访问控制。
多个访问控制,有效降低企业受攻击时带来的风险和损失。但攻击者的最终是希望能获取服务器与终端的相关权限,因此需要用端点安全来解决服务器与终端安全。
服务器和操作终端,作为最主要的计算端点,存放着大量的企业核心价值数据,是网络攻击的目标。为了提高服务器和操作终端的安全性,可以在这些端点上安装EDR、防病毒等防御手段。
EDR/XDR端点安全检测响应系统通常是端点安装Agent、服务端集中部署。通过端点Agent主动和被动方式将端点的信息及时同步至服务端。其系统主要功能包括:一是端点安装的各类资产收集;
二是端点威胁检测及处置。
端点的防病毒系统可以防御端点恶意程序,可以减少端点违规外联行为。
从边界防护、监测响应、访问控制、端点防御四个方面从技术的角度构建起网络安全纵深防御体系,每一个技术每一个实施每一个处置都需要人参与,因此人员防御毋庸置疑非常重要。
人员是防御的关键组成部分。企业员工安全意识教育和培训是至关重要的工作。网络攻击技术层出不穷,但基于人的社会工程学攻击在攻击体系中占据重要地位。常见做法如开展覆盖全员的网络安全意识教育、企业内部模拟攻击测试等,培养全员正确响应攻击尝试的能力。
通过对上面五个方面的阐述,纵深防御体系的本质是多层防御,使得入侵者必须突破层层堡垒才能接触到核心数据资产。企业构建纵深防御体系后,增加了攻击方的入侵难度和入侵成本将大幅度提高,从以前相对被动转为相对主动。纵深防御结合知其所需和最小特权原则有助于提高整个企业的防护水平,使资产得到更好保护。随着安全攻防双方技术的不断发展,企业网络安全纵深防御体系将在技术和能力上会上升到一个全新高度。
猜你喜欢访问控制端点控制措施非特征端点条件下PM函数的迭代根数学物理学报(2022年2期)2022-04-26给排水工程招投标阶段中的造价控制措施建材发展导向(2022年2期)2022-03-08建筑安装工程预结算造价控制措施建材发展导向(2021年22期)2022-01-18大型公司财务预算与控制措施探讨大众投资指南(2021年35期)2021-02-16不等式求解过程中端点的确定中学生数理化·教与学(2019年8期)2019-09-18ONVIF的全新主张:一致性及最访问控制的Profile A中国公共安全(2017年11期)2017-02-06动态自适应访问控制模型通信学报(2016年11期)2016-08-16浅析云计算环境下等级保护访问控制测评技术现代工业经济和信息化(2016年19期)2016-05-17浅析土建工程造价控制措施中国房地产业(2016年2期)2016-03-01大数据平台访问控制方法的设计与实现信息安全研究(2016年10期)2016-02-28