芯盾時代攻防演練方案

為進一步強化網(wǎng)絡安全隱患排查整改，推動以攻促防，查漏補缺，筑牢網(wǎng)絡安全防線建設，開展攻防演習專項工作無論是對國家、社會和企業(yè)，都會有效提高應對網(wǎng)絡安全事件的水平和協(xié)同配合能力。

雖然網(wǎng)絡安全經(jīng)過多年的建設已逐漸全面，但仍不可避免的會被黑客攻破，主要是因為用戶仍然采用傳統(tǒng)邊界防護理念，即壘高墻和區(qū)域隔離的模式，根據(jù)各區(qū)域的安全級別不同，在安全區(qū)域之間部署防火墻、IPS、防毒墻、WAF等安全防護設備，以此應對外界攻擊。而傳統(tǒng)邊界防護理念最大的弊端是防外不防內(nèi)，用戶通過賬號登陸即默認可信，對邊界內(nèi)用戶的操作不做過多的異常行為監(jiān)測，造成安全區(qū)域內(nèi)部過度信任的問題。假設賬號是攻擊者通過口令爆破或者社工獲取，即可通過合理的身份進行非法操作；同時因為缺少來自客戶端的安全信息，對威脅的安全分析不夠全面，所以成了邊界安全理念的脆弱點。

隨著云應用、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G 等技術(shù)的興起及應用，IT 環(huán)境呈現(xiàn)多樣化趨勢，同時也帶來了更多的新型安全風險?；谀壳熬W(wǎng)絡發(fā)展的需求，零信任將成為未來網(wǎng)絡安全的主流架構(gòu)，企業(yè) IT 安全建設的必然選擇。零信任安全理念解決了區(qū)域和信任的綁定關(guān)系，用戶的訪問權(quán)限不再受到網(wǎng)絡區(qū)域的限制，訪問前需要經(jīng)過身份認證和授權(quán)，而身份認證不再僅僅針對用戶，還將對用戶所持客戶端進行安全校驗，并且在訪問過程中進行用戶畫像和持續(xù)性風險評估，對訪問進行動態(tài)、細粒度的授權(quán)，同時采用最小授權(quán)原則，可以有效防御黑客的入侵以及0day攻擊。

芯盾時代攻防演練方案

芯盾時代解決方案打破傳統(tǒng)以網(wǎng)絡邊界為信任的條件，以零信任安全理念出發(fā)，從身份、設備、行為等維度展開全方位防護，對企業(yè)內(nèi)、外部的所有訪問重新進行信任評估和動態(tài)訪問控制，針對所有訪問企業(yè)資源的請求，進行認證、授權(quán)和加密，對用戶和使用設備進行全面驗證，同時可以對每一次訪問請求進行實時的風險評估。

芯盾時代攻防演練方案基于零信任安全理念，提供覆蓋事前、事中、事后的場景化全流程業(yè)務安全防護。

事前檢測

攻防演練中首先要對企業(yè)資產(chǎn)進行盤查，建立完善的資產(chǎn)臺賬，進而對資產(chǎn)配備相應的防護手段。而當前絕大多數(shù)企業(yè)存在對自身企業(yè)資產(chǎn)畫像不清晰、威脅響應不及時和管理制度不完善等問題，沒有能夠真正將資產(chǎn)和威脅管理起來。在攻防演練中，部分遺漏、未被安全管理、未及時下線的系統(tǒng)，由于存在安全漏洞并缺乏相應的安全防護策略會被攻擊者找到和利用。

芯盾時代數(shù)字資產(chǎn)在線發(fā)現(xiàn)系統(tǒng)以數(shù)字資產(chǎn)（IT資產(chǎn)、應用資產(chǎn)、數(shù)據(jù)資產(chǎn)、代碼資產(chǎn)等數(shù)字資產(chǎn)）為核心，幫助用戶梳理企業(yè)內(nèi)外網(wǎng)的數(shù)字資產(chǎn)情況，并對企業(yè)數(shù)字資產(chǎn)主動威脅檢測，結(jié)合威脅情報對企業(yè)威脅（主機漏洞、web漏洞、0day漏洞、弱口令、代碼泄露、APP威脅）進行跟蹤和管理，將威脅和業(yè)務以及負責人關(guān)聯(lián)起來，并在長期威脅檢測和復查的基礎上，對威脅的解決時間和結(jié)果進行跟蹤，真正起到資產(chǎn)盤查和威脅發(fā)現(xiàn)的作用。

事中防護

雙因素認證

攻擊者在攻擊過程中利用當前大部分單位應用系統(tǒng)、服務器或網(wǎng)絡設備的弱口令、單因素認證、特權(quán)賬號共享等問題，通過賬號密碼登錄應用系統(tǒng)、服務器或網(wǎng)絡設備，再進一步提權(quán)拿下目標系統(tǒng)。

雙因素認證

芯盾時代雙因素認證產(chǎn)品通過移動雙因素認證技術(shù)和認證代理技術(shù)，在原系統(tǒng)用戶名密碼認證基礎上，快捷實現(xiàn)二次認證、雙因素認證、認證策略控制，對業(yè)務系統(tǒng)、服務器、網(wǎng)絡設備的訪問登錄進行二次認證，大幅提升系統(tǒng)認證安全性，可有效避免因弱口令、密碼管理不當、源代碼管理不當（源代碼中含有系統(tǒng)管理員賬戶密碼）帶來的系統(tǒng)被盜而導致的失分。

資源隱藏

對于各類數(shù)字資產(chǎn)的管理方面，芯盾時代零信任業(yè)務安全平臺SDP能夠?qū)崿F(xiàn)后端業(yè)務以及網(wǎng)關(guān)自身的隱藏，使攻擊者獲取不到后端服務器的信息，失去攻擊方向，有效減少暴露面并且削弱DDoS攻擊；采用UDP建立連接的方式，只對授權(quán)客戶端進行響應，可以有效阻止攻擊和掃描，待通信成功建立后再采用TCP協(xié)議通信，確保用戶身份的安全性，實現(xiàn)網(wǎng)關(guān)、業(yè)務的隱身，解決TCP連接時存在的攻擊風險。

零信任業(yè)務安全平臺

芯盾時代SDP分為三大平面：

管理平面：對零信任安全網(wǎng)關(guān)進行配置管理及可視化展示；

數(shù)據(jù)平面：通過各類安全組件對訪問主體與客體的身份和環(huán)境進行管控；

控制平面：將風險信息輸入到控制平面，為持續(xù)信任計算引擎和動態(tài)訪問控制引擎提供依據(jù)。

目前芯盾時代零信任產(chǎn)品已經(jīng)集成了SDP和增強型IAM兩大技術(shù)，并且和微隔離可以進行很好地互動，感知東西向流量的風險，主要呈現(xiàn)：全平臺覆蓋、全架構(gòu)應用支持、全協(xié)議代理、全鏈路安全、全流量解析等功能特點。

數(shù)據(jù)安全管控

芯盾時代數(shù)據(jù)安全管控系統(tǒng)通過對數(shù)據(jù)庫的操作行為和數(shù)據(jù)庫輸出內(nèi)容進行管控，從而滿足攻防演練期間數(shù)據(jù)交互過程中越權(quán)訪問、違規(guī)請求、超頻使用、數(shù)據(jù)泄露等風險的識別、控制和追責的需求。

系統(tǒng)支持根據(jù)不同身份進行個性化數(shù)據(jù)庫訪問控制，并對用戶訪問的靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)進行即時動態(tài)脫敏，以及根據(jù)業(yè)務系統(tǒng)需求，批量進行數(shù)據(jù)靜態(tài)脫敏，滿足企業(yè)攻防演練、安全運維、數(shù)據(jù)分析、系統(tǒng)測試、數(shù)據(jù)交換、機器學習等不同需求場景下的數(shù)據(jù)安全需求。

事后總結(jié)

攻防演練是為了更好的進行安全防護。在實戰(zhàn)工作完成后，芯盾時代協(xié)助用戶進行充分、全面的復盤分析，總結(jié)經(jīng)驗、教訓，包括工作方案、組織管理、工作啟動會、系統(tǒng)資產(chǎn)梳理、安全自查及優(yōu)化、基礎安全監(jiān)測與防護設備的部署、安全意識、應急預案及演練和注意事項等方面。

芯盾時代可為用戶提供合理可行的安全整改建議，達到整改安全漏洞隱患，完善安全防護措施，優(yōu)化安全策略，強化人員隊伍技術(shù)能力，有效提升整體網(wǎng)絡安全防護水平的目的。

芯盾時代攻防演練方案優(yōu)勢

加強網(wǎng)絡縱深防護能力，有效解決因弱口令、賬號泄露導致的入侵行為；

通過SPA協(xié)議將網(wǎng)關(guān)和業(yè)務服務及端口實現(xiàn)隱身，對暴露的API接口進行管理，有效收斂暴露面，避免遭受DDoS攻擊；

關(guān)聯(lián)態(tài)勢感知、UEBA、威脅情報等安全數(shù)據(jù)源進行大數(shù)據(jù)分析，洞察風險態(tài)勢，根據(jù)態(tài)勢變化動態(tài)調(diào)整安全策略，支撐持續(xù)運營。

提供應用級/功能級/數(shù)據(jù)級/API級的訪問控制，授予訪問主體最小訪問權(quán)限，防止權(quán)限過大造成的安全風險。

芯盾時代已為多行業(yè)頭部客戶在攻防演練中提供方案和服務支持，均獲得良好效果，取得0失分的好成績。

審核編輯 ：李倩