孫子兵法有云,凡戰者,以正合,以奇勝。
微隔離在內網防護的重要程度不言而喻。然而,網絡架構已經轉為云化、混合化等更復雜的架構,業務愈加復雜,再加上泛終端的出現,讓內部隔離不再是一件輕易就能做到的事情。在大型攻防實戰中,內部隔離也越來越受關注。攻擊者進入內網,拿到一個跳板機的概率較大。如果內網針對橫向移動的防護不夠堅固,甚至是缺失,那攻擊者基本就如入無人之境,暢通無阻。
如何在容納更多終端的基礎上實現細致隔離?
如何與業務更好地銜接,讓隔離不會成為阻隔?
如何在攻防對抗中更大地發揮微隔離的效果?
……
為了更好地適應新IT基礎架構,更好地滿足攻防對抗中對內網隔離的需求,杰思安全打造的新一代主機安全響應系統——杰思獵鷹,創新采用了自適應微隔離架構,基于業務對主機進行細粒度隔離控制,通過對內網的東西向訪問進行持續檢測及響應,有效阻止攻擊者在內網的橫向移動。
泛終端適配,云+端全面防護
基于操作系統設計的杰思獵鷹,廣泛支持多種終端形態。除了傳統的服務器、虛擬機、云主機,還支持云PC、物聯網終端、工控專用主機、移動智能終端等多類設備。其不挑系統、不挑平臺、不挑形態的特性,能在提供主機細粒度的訪問控制基礎上,實現海量泛終端的統一管理。
基于業務,自適應彈性擴展
通過劃分邏輯安全域、定義訪問對象等方式,可基于業務對工作負載進行快速分組、靈活組合,提供最小主機安全域的訪問控制。通過梳理構建業務安全邊界,解決傳統基于IP視角關系不明晰的問題。
基于主機和業務角度的雙向訪問控制,展示不同安全域之間,以及主機間的允許訪問和拒絕訪問流量,快速理清內部主機或安全域之間的訪問關系。再加上自適應策略管理,可靈活配置隔離策略,彈性擴展安全防護,隨著業務的變化快速完成策略遷移,輕松適應工作負載靈活安全防護需求。
深度溯源+微隔離,讓防御更主動
單純的微隔離功能,只能做到基礎的策略配置以及隔離或阻斷。而當它配上杰思獵鷹強大的威脅溯源能力,能發揮出更強大的主動防御效用。在記錄內部橫向移動的方向和動作的基礎上,展示出與此關聯的主機進程,以及詳細路徑的安全分析情況,并對可疑進程文件開展進一步的處置動作。這種方式,不僅能阻斷網絡層的橫向擴散,還能精準找到失陷主機的入侵點。
在某次攻防實戰中,杰思獵鷹管理平臺通過預先配置的微隔離策略,僅通過簡單兩步,便迅速發現并處置了失陷主機。
--杰思獵鷹平臺提示異常訪問告警;
--回溯微隔離訪問日志,迅速定位可疑主機;
--鎖定與之相關的進程PID;(根據進程PID查找相關進程關鍵指標,發現該進程為rundll32,父進程為未簽名的shellcode,子進程為cmd并調用了其他程序)
--通過綜合分析,判斷該進程被植入了后門,存在與遠程C&C服務器通信的風險;
--隨即通過杰思獵鷹遠程阻止該進程。
