一、傳統防火墻的網絡安全隱患
隨著網絡技術的發展,互聯網應用在提高了企業業務擴展性的同時也為信息安全管理者帶來了新的挑戰。諸多企業還存在著安全認識的誤區,傳統的老三樣已無法支撐當下企業對安全的要求。勒索病毒日新月異的變種、無文件攻擊等新型攻擊手段的興起,都嚴重危害企業的公共財產安全。當攻擊者有拿到內網一個跳板機時,即可肆無忌憚的橫向傳播。為了應對當下安全局勢,降低影響面,對內網間訪問權限顆粒化是非常必要的。
1.傳統網絡建設防守局限
傳統網絡建設主要以防火墻作為主要的網絡安全防護措施,該解決方案提供了南北向網絡邊界的有效防控,但對東西向流量防控卻遺留空白。面對高級或未知威脅,攻擊者往往能夠通過社會工程或企業未知風險滲透企業防守薄弱的主機,在網絡邊界之內橫向傳播。
2.伙伴入網權限失控
企業為營造便捷、高效的發展目標,伴隨著“數字政府”的建設加快,政務系統的使用者身份也錯綜復雜。其中包括政務系統開發、運維、廠商、公務員等多種人員,其中不乏有“無意泄密者”,因非授權的肆意訪問、無意犯錯造成的數據泄漏和系統性災難的案例比比皆是。
3.單點失守全盤皆輸
傳統防火墻對網絡出入流量實行控制。當前VLAN技術是限制網絡訪問的小最單元,但無法限制端與端間的網絡通訊。另外,一旦黑客突破重重防護潛入了內網,東西向流量尚未得到有效控制。即可以肆無忌憚地在內網主機之間橫向擴散,借助資產共性弱點,惡意行為不易被發現,繼而導致單臺失陷感染全網的慘狀。
二、淺談微隔離技術
1.微隔離技術談古論今
在網絡應用的初期,網絡上的主機彼此之間通訊是自由的,正常流量與惡意流量混雜在一起,給個人和企業帶來了巨大的安全隱患。第一代網絡安全解決方案“防火墻”為企業設置了網絡邊界,有效阻斷了惡意流量所帶來的網絡攻擊。
隨著企業信息化的發展,企業的網絡結構變得越來越復雜,而防火墻作為硬件產品在這復雜的網絡環境下實施變得愈加困難。因此,Gartner在2015年首次提出微隔離的前身—軟件定義隔離(software-defined segmentation),通過構建網絡的軟件定義分段實現了細粒度的流量管控。
而到了2018年,Gartner修改了更新了微隔離的定義,將流量可視化作為微隔離的起點,對當今企業復雜的網絡環境提供了顆粒化訪問控制,限制網絡攻擊在數據中心內部的橫向移動。
2.彌補企業東西向流量防護空白
過去企業往往將網絡安全的防護集中在網絡邊界,包括防火墻、網關、堡壘機、WAF等等,但對網絡內部通訊的防護比較匱乏,致使惡意程序一旦進入內網,便可在網內主機之間任意穿梭。而微隔離技術,通過對安全域與安全域之間、主機與主機之間的通信進行管控,填補了企業東西向流量防護的空白。
3.提供了顆粒化劃分網絡資源
現如今多數企業已針對網絡邊界層層防護。包括對網絡流量的協議、端口、IP地址、域名服務等均做了全面的管控,但對內網主機間的網絡防護仍是管理空白。北信源通過微隔離技術手段,實現對主機間網絡的顆粒化管理,實現工作負載的動態防護。
4.阻止風險橫向蔓延擴大影響面
高級威脅如今往往會在攻陷一臺主機后長期潛伏,伺機占領全網。而微隔離技術可以學習企業的正常流量,對異常流量進行告警和控制,最大程度的減少未知威脅對企業造成的影響。
5.較少網絡安全方案實施成本
傳統防火墻需要在業務與業務之間的網絡邊界配置硬件設施,同時也會改變企業的網絡拓撲結構。而微隔離技術可以在不改變企業網絡拓撲也不需要添加硬件設備的前提下,實現網絡安全的顆粒化訪問控制,節約成本的同時提高了網絡環境整體的安全性。
三、北信源微隔離解決方案
北信源作為國內終端安全領導者,憑借20余年的終端安全沉淀,通過北信源終端檢測與響應系統(EDR)提供企業級微隔離解決方案。按照業務分析、學習適應、漸進實施和持續優化四步完成北信源微隔離解決方案的實施:
1.按需劃區緊貼企業
與客戶溝通網絡安全需求,分析企業信息資產各業務之間的關系。通過明確企業各業務的關聯關系和優先級,建立業務圖譜,明確保障重點。梳理企業網絡環境中的終端,根據業務關系和優先級為資產分區分域,為企業工作負載分組。識別未注冊資產,豐富資產信息,將業務圖譜映射到資產分組中。
2.有效隔離關鍵位置
將企業內的資產按需劃分終端、服務器和共享資源三類角色,根據用途分類隔離。終端指用戶端,主要是供用戶使用的PC機。服務器指提供服務的業務系統,主要對外對內提供信息化服務。共享資源指打印機、攝像頭、共享存儲等共享設備,可為終端和服務器提供公共資源。企業可根據資產角色設計隔離管控策略。當PC端某一資產失陷,可最大程度的保護共享資源及業務域安全運轉,降低了核心資源的影響面。
3.動態流量可視化呈現
北信源微隔離技術支持配置流量學習模型,根據資產分組學習業務正常流量,并通過流量可視化幫助管理員對現有的網絡協議和流量的識別,提高管控策略的配置的效率。學習資產分域和分組間流量的協議、端口和網絡地址,標記未注冊資產和學習模型之外的流量,在不斷學習中補完識別模型,最終實現對企業正常流量的全量識別。
4.多重模式降低影響
制定異常流量的阻斷策略往往容易影響隨業務需要變化的正常流量,所以需要漸進式的實施方式以求將不良影響控制到最小。通過學習模式、審計模式和工作模式的多模式切換,逐步驗證策略的可行性。先通過學習模式識別正常流量,不斷優化學習模型;再通過審計模式配置告警策略,告警但不阻斷模型外流量;待告警策略驗證一段時間無誤后,最終將告警策略變更為阻斷策略更新到工作模式,實現真正異常流量的有效阻斷。
5.隔離規則持久優化
由于企業的業務變化,企業的信息資產、網絡拓撲和通訊流量也在發生變化,因此,安全管理者對流量的管控策略也需要進行持續優化。用戶可以通過流量可視化實時監測當前流量管控實施成效,及時發現被意外阻斷的正常流量和未識別的異常流量,最小化對正常業務的影響,避免異常流量所帶來的惡意攻擊。同時,用戶也可以跟蹤業務變化,及時調整流量管控策略,使其符合當前業務的需要。
北信源EDR目前已經通過了中國信通院的測評,是第一批入圍的廠家。公司將繼續開拓創新、自主研發,刻苦鉆研,提供更安全、更科學、更便捷的安全產品。
四、北信源深耕行業 銳意創新
北信源作為中國首批信息安全領域A股上市公司,中國信息安全龍頭企業,作為國家規劃布局內的重點軟件企業,北信源多年來持續深耕網絡安全和終端安全,使公司從傳統的終端安全領導者逐步成為萬物互聯時代下智慧安全的全面解決方案提供商。經過20多年的積累和沉淀,不斷創新與實踐,擁有自主知識產權的核心專利技術,產品和解決方案廣泛深入到各行業,同時加快培育新業態和新模式,形成“平臺、數據、應用、服務、安全”協同發展的格局。已獲業界和國家相關單位認可,成為國家網絡與信息安全信息通報中心技術支持單位、國家關鍵基礎設施信息安全保護的核心承擔單位之一。
據公開資料顯示,2021年,北信源入選第九屆CNCERT網絡安全應急服務支撐單位,為國家互聯網應急中心提供安全漏洞信息報送、網絡安全事件報送、重大安全事件響應、專項支撐、交流培訓等多個維度的應急服務支撐。同年,北信源率先參與加入“關鍵信息基礎設施安全保護風險治理框架體系”,并受邀入駐國家等級保護2.0與可信計算3.0攻關示范基地。
網絡安全關乎國家安全和公眾社會利益,未來,北信源將繼續加大技術投入,完善網絡安全防護體系,全面落實保護信息安全責任,為國家網絡安全護航!
作者:趙勇
