攻防实战下,如何解决远程接入风险?
消息来源:baojiabao.com 作者: 发布时间:2024-05-15
近年来,数字化转型和疫情防控的刚需催生了远程办公新常态,远程接入场景下业务系统暴露面不断扩大,而攻击方式更加专业和系统化,我们不得不重新审视远程接入安全,将安全建设思路从"安全功能"向常态化"攻防对抗"转变。
一、常态化攻防对抗下, 现有远程接入方式有哪些不足?
如果打通网络,将业务系统直接发布到互联网,安全风险极高,若通过防火墙等设备进行源 IP 地址接入限制,运维难度极大,因此,大部分单位采用 VPN / SDP 代理访问方式,虽提高了业务系统的接入安全性,但在常态化的攻防对抗下,安全效果仍存在很多不足:
1.不法分子冒用身份接入内网。普通 VPN / SDP 通常仅支持双因素认证,无法识别和阻断不法分子利用合法账号进行异常登录的行为,如非常用地点登录、账号在新终端登录等异常情形。
2.终端威胁易扩散至内网。接入终端多种多样,尤其是 BYOD 终端难以保障其安全性,若终端失陷便可以随意借助普通 VPN / SDP 接入通道,对内网进行攻击,难防护、难溯源。
3.设备易成为攻击对象。VPN / SDP 属于边界入口产品,本身会暴露在互联网,任何人均可以访问,容易成为恶意攻击对象。
不法分子突破边界入侵内网。传统 VPN / SDP 产品对终端到设备的流量会进行 SSL 加密,但不具备安全检测能力,边界被入侵后很难发现异常行为,导致不法分子突破边界后,在内网肆意破坏或窃取数据。
因此,作为关键边界入口产品,VPN / SDP 需要具备常态化攻防对抗的能力。
二、攻防实战中,"零信任"安全如何构筑防线?
针对实战攻防常见场景,深信服提出了安全接入的"3+4"安全防护思路并应用在零信任 SDP 产品上。"3+4"安全防护思路即:三道防线和四大闭环能力。用户在终端上登录账号,通过 SDP 设备访问业务系统,在这个过程中,账号、终端、SDP 设备是三大主要攻击对象。
1.基于账号、终端、设备构建三道安全防线
①确保账号安全
很多企业账号设置为工号、手机号、姓名拼音等,并且经常多个系统采用相同的账号,用户经常会将密码设置为生日、手机号等简单的组合。攻击者很容易通过猜解、社工、钓鱼、撞库等多种手段获取账号信息,并通过弱口令爆破等方式破解密码。
假设"账号泄露难以避免",基于攻防视角,深信服零信任 aTrust 从"多因素认证 + 密码安全防护 + 防爆破 + 行为安全(基于终端、地点、时间、访问行为等)"多个方面来进行防护,确保用户身份的合法性。
②提升终端安全
员工接入终端多种多样,尤其大量员工采用 BYOD 终端访问业务系统,终端可能存在操作系统补丁未及时更新、未安装杀毒软件、未开启系统防火墙、被钓鱼挂马等情形,导致终端成为业务访问中较为薄弱的一环,一旦终端失陷,攻击者很容易横向迁移,攻击内网业务系统。
假设"远程办公的终端已经失陷",深信服零信任 aTrust 从攻防视角出发,从"基础终端安全(准入 / 桌管 / 杀毒等)+ 进程安全 + 网络隔离 + 终端数据防泄露"多个方面进行保护,提升在业务访问过程中终端的安全性。
③保障设备安全
业务系统被收缩到内网后,攻击难度增加,因此零信任 SDP 设备本身就成为远程接入场景被攻击的主要目标。攻击者通常针对设备对外暴露的业务端口、运维端口、中间件 / 框架漏洞、API 接口、逻辑越权漏洞、认证绕过漏洞,甚至是对设备源码分析等方式进行攻击。
假设"攻防演练中设备一定会被攻击",基于攻防视角,深信服零信任 aTrust 从以下多个方面来提升,全方位保障设备安全。
2.基于加固、运营、溯源、补丁更新构建四大闭环
除了加强接入过程的防护以外,深信服零信任 aTrust 还提供了"加固、运营、溯源和补丁更新"四大闭环能力,能够针对攻击链,在事前进行安全加固、在事中持续进行检测响应、在事后进行溯源,并针对遇到的问题快速进行补丁修复,这样才能真正做好有效防御,构建攻防对抗中的安全防护闭环。
年度网络攻防实战即将到来,守护好安全的最后一公里,是各政企事业单位及组织的防御之道。深信服助力企业网络安全体系向零信任架构迁移,以更安全、体验更好、适应性更强的远程办公网络,增强企业在实战中的攻防对抗能力。
目前,深信服零信任在金融、运营商、互联网企业、教育、政府科研等各行各业落地实施,服务上千家客户,其轻量级、易落地、高安全性的优势受到越来越多的用户认可。
2022-12-19 18:07:48相关文章
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩
2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万9
2023-12-28 19:41:57
- 国家新闻出版署:认真研究《网络游戏管理办法(草桉徵求意见稿)》关切 实行前进一步完善
2023-12-28 19:14:56
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步
2023-12-28 18:57:55
- 印度以打击金融犯罪为由逮捕了两名 vivo 高管
2023-12-26 16:49:01
- 在国外微信收不到国内信息?微信和WeChat将被拆分
2023-12-15 10:40:15
- 苹果iPhone15 系列手机发布最新消息 预计上市发布时间9月
2023-08-06 23:21:02
- 华为将发布鸿蒙HarmonyOS4操作系统 功能五大升级支持设备清单
2023-08-06 23:17:37
- 整治自媒体网红账号 400万粉丝网红发布擦边视频被无限期封禁
2023-07-12 09:56:09
- 网传微信文件传输助手是真人是真的吗?微信官方回应
2023-06-27 15:53:32
- 电信移动送手机成了“信用购”?你上了运营商的贷款套路了吗?
2023-06-12 17:18:55
- 中国电信广东地区崩了无信号 客服回应已在核实处理
2023-06-08 15:39:04
- 消息称小米新能源汽车价格表正讨论定价区间:双版本不同配置,高配或超 35 万元
2023-03-06 12:56:03
- 华为因制裁被传或分拆剥离手机业务? 内部人士回应:可能性不大.
2023-03-05 23:26:41
- OPPO正式发布安第斯智能云,让终端更智能
2023-02-24 16:02:27
- 华为与OPPO签订全球专利交叉许可协议 包括5G蜂窝通信专利
2023-02-24 16:02:26
- 老蛙将推MINI镜头新品:目前未知具体规格 官宣将于12月20日发布
2023-02-24 16:02:26
- 首发全新35mm定制光学系统 努比亚Z50性能同样强悍
2023-02-24 16:02:25
- Redmi K60屏幕细节曝光:全系标配2K护眼柔性直屏+5000mAh大容量电池
2023-02-24 16:02:25
- OPPO Find N2今天发 合金金属折叠屏更轻了
2023-02-24 16:02:24