在大規模網路環境中,對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示並據此預測未來的網路安全發展趨勢。簡而言之就是根據網路安全數據,預測未來網路安全的趨勢。
② 網路安全態勢感知做的好的有哪幾家
目前國內廠商做網路安全態勢感知比較大而全的有這么幾家深信服、天融信、奇安信、啟明星辰;但是態勢感知這個產品重點在於交付層面而非標准版產品所能解決的(標准版無法解決用戶的各種細節要求,風險探針各家的又不兼容)。所以綜合還是要看各個廠商在當地的服務能力。
③ 零信任落地實踐方案探討
文 華潤醫葯商業集團有限公司智能與數字化部 孫宏鳴
零信任概念的提出,徹底顛覆了原來基於邊界安全的防護模型,近年來受到了國內外網路安全業界的追捧。
所謂零信任顧名思義就是「從不信任」,那麼企業是否需要摒棄原有已經建立或正在搭建的傳統基於邊界防護的安全模型,而向零信任安全模型進行轉變呢?零信任是企業安全建設中必須經歷的安全防護體系技術革新,但它必然要經歷一個長期 探索 實踐的過程。
一、零信任的主要安全模型分析
雲計算和大數據時代,網路安全邊界泛化,內外部威脅越來越大,傳統的邊界安全架構難以應對,零信任安全架構應運而生。作為企業,該如何選擇「零信任」安全解決方案,為企業解決目前面臨的安全風險?
目前「零信任」安全模型較成熟的包括安全訪問服務邊緣(SASE)模型和零信任邊緣(ZTE)模型等。以這兩種模型為例,首先要先了解目前模型的區別,探討各自的發展趨勢,再選擇適合企業的落地實施方案。
對 SASE 模型,身份驅動、雲架構、支撐所有邊緣以及網路服務提供點(PoP)分布是其主要特徵。SASE 模型擴展了身份的定義,將原有的用戶、組、角色分配擴展到了設備、應用程序、服務、物聯網、網路邊緣位置、網路源頭等,這些要素都被歸納成了身份,所有這些與網路連接相關聯的服務都由身份驅動。與傳統的廣域網不同,SASE 不會強制將流量回傳到數據中心進行檢索,而是將檢查引擎帶到附近的 PoP 點,客戶端將網路流量發到 PoP 點進行檢查,並轉發到互聯網或骨幹網轉發到其他 SASE 客戶端,從而消除網路回傳所造成的延遲。SASE 可提供廣域網和安全即服務(SECaaS),即提供所有雲服務特有的功能,實現最大效率、方便地適應業務需求,並將所有功能都放置在 PoP 點上。
SASE 模型的優點在於能夠提供全面、靈活、一致的安全服務 , 同時降低整體安全建設成本,整合供應商和廠家的資源,為客戶提供高效的雲服務。通過基於雲的網路安全服務可簡化 IT 基礎架構,減少 IT 團隊管理及運維安全產品的數量,降低後期運維的復雜性,極大地提高了工作效率。SASE 模型並利用雲技術為企業優化性能、簡化用戶驗證流程,並對未授權的數據進行保護。
SASE 模型強調網路和安全緊耦合,網路和安全同步建設,為正在准備搭建安全體系的企業提供了較為理想的路徑。反之,已經搭建或正在搭建安全體系過程中的企業,如果要重構企業網路結構,是個極大的挑戰,也是一筆不小的投入。所以,SASE 模型可能更適用於面對終端用戶的零售行業,為這類企業提供完整的安全服務,不需要企業在每一個分支節點上搭建一整套安全體系,便於統一管理並降低建設成本。
ZTE 模型的重點在零信任。一是數據中心零信任,即資源訪問的零信任,二是邊緣零信任,即所有邊緣的零信任訪問安全。其實可以理解為SASE 模型納入了零信任的模塊,本質上是一個概念。ZTE 模型強調網路和安全解耦,先解決遠程訪問問題,再解決網路架構重構問題。
二、華潤醫葯商業集團零信任的實踐
華潤醫葯商業集團有限公司(以下簡稱「公司」)作為華潤下屬的大型醫葯流通企業,在全國分布百餘家分子公司,近千家葯店,日常業務經營都離不開信息化基礎支撐,所以網路安全工作尤為重要。近年來各央企在網路安全建設方面均積極響應國家號召及相關法律法規要求,完善網路安全防護能力,公司同樣十分重視網路安全建設,目前同國內主流安全廠商合作,建立了以態勢感知為核心,貫穿邊界與終端的縱深防禦體系,並通過連續兩年參與攻防演練,不斷提升網路安全人員專業水平,通過攻防實戰進一步優化網路安全建設。
但公司在涉及雲計算、大數據、物聯網等技術領域時,現有的網路邊界泛化給企業帶來的安全風險不可控,傳統的基於邊界的網路安全架構和解決方案難以適應現代企業網路基礎設施,而零信任能夠有效幫助公司在數字化轉型中解決難以解決的問題。
公司選擇了 SASE(安全訪問服務邊緣)和ZTE(零信任邊緣)兩種模型並行的解決方案為企業摸索「零信任」網路安全架構推進的方向。
公司分支企業眾多,幾乎覆蓋全國范圍,存在安全管控難、處置難、安全性低、資源靈活性差等問題,並缺少整體統一的長效運營機制。基於以上問題,公司參考了 SASE 模型的解決方案,將原有的傳統廣域網鏈接數據中心的訪問形式變為PoP 點廣域網匯聚的網路架構方案,由統一的運營服務商提供網路鏈路及全面的安全服務。但並不是完全重構原有的網路架構,而是分為三類情況使用不同的方案。
第一類是改變網路安全管理方式,主要針對區域公司。 由於大部分區域公司已經搭建了相對成熟的安全體系,只將原有的傳統廣域網鏈路改為就近接入運營商 PoP 點,並將原有的雙線冗餘線路的備用線路使用軟體定義廣域網(SD-WAN)技術進行替換,並通過服務質量(QoS)機制將主營業務與辦公業務進行合理切分,大大提高了網路使用效率,降低費用成本,並且可以通過統一的管理平台對廣域網進行管理,統一下發配置安全策略,提高整體安全管控和處置。
第二類是逐層匯聚、分層管理,主要針對二、三級分支機構。 這類單位安全體系雖已建設,但還未達到較高的程度,通過就近接入 PoP 點或匯聚到區域公司,由運營商提供部分安全服務或由區域公司進行統一管控。
第三類主要針對零售門店及小型分支機構這類沒有能力搭建安全體系的單位。 使用 SD-WAN 安全接入方案就近接入 PoP 點,由運營商提供整體的安全服務,從而降低安全建設成本並加強統一安全管控。通過 SASE 模型的管理理念對網路架構進行調整,提供全面、一致的安全服務 , 同時降低整體安全建設成本,提高工作效率。
近兩年,公司辦公受新冠疫情的影響,員工居家辦公成為常態化。作為虛擬專用網路(VPN)產品的使用「大戶」,公司原有的 VPN 賬戶眾多 ,傳統 VPN 在使用過程中已經難以滿足當前業務的需求,一些問題逐漸暴露,經常出現不同程度的安全風險。傳統 VPN 架構存在很多問題,如許可權基於角色固定分配,不夠靈活,在業務生成中及重保等特殊時期,粗放的許可權管控無法達到對不同角色的業務人員及非法人員的訪問控制。業務埠暴露在公網,本身即存在賬號冒用、惡意掃描、口令爆破等安全隱患。公司總部負責 VPN 業務運維,涉及下級單位 VPN 問題均需要總部人員處理,諸如找回賬號密碼等細微而繁瑣的問題佔用了總部人員大量時間和精力。不同終端、瀏覽器對於傳統 VPN 客戶端的兼容性不同,兼容性問題也是經常被員工吐槽的地方。在 VPN 使用中,基於互聯網的加密訪問經常因為網路原因出現業務卡頓甚至掉線問題。
為此,公司參考了 ZTE 模型的解決方案,首先解決遠程訪問問題。公司於 2021 年進行了零信任安全建設試點,以零信任理念為指導,結合深信服軟體定義邊界(SDP)架構的零信任產品,構建了覆蓋全國辦公人員的零信任遠程辦公平台。
SDP 架構的零信任產品,對訪問連接進行先認證、再連接,拒絕一切非法連接請求,有效縮小暴露面,避免業務被掃描探測以及應用層分布式拒絕服務攻擊(DDoS)。通過單包認證(SPA)授權安全機制實現業務隱身、服務隱身,保護辦公業務及設備自身。對於沒有安裝專有客戶端的電腦,伺服器不會響應來自任何客戶端的任何連接,無法打開認證界面及無法訪問任何介面。具備自適應身份認證策略,異常用戶在異常網路、異常時間、新設備訪問重要敏感應用或數據時,零信任平台強制要求用戶進行二次認證、應用增強認證,確保用戶身份的可靠性。
零信任的試點應用,提升了公司的網路安全性,簡化了運維。但基於公司現狀及規劃,試點工作還需進一步同廠商進行下一步的工作落地和 探索 。在使用體驗優化方面,由於 SDP 架構的數據轉發鏈更多,零信任與 VPN 使用流暢度上差異不大,在用戶使用體驗方面需要進一步優化。零信任安全體系需要全面支持互聯網協議第 6 版(IPV6),依據相關政策要求,需要進行 IPV6 業務改造,通過零信任對外發布的業務將優先進行改造。零信任安全體系需要支持內部即時通訊,將零信任產品進一步同公司現有辦公平台進行對接,實現身份、業務的統一管理,實現單點登錄。公司零信任安全體系建設的下一步工作,是將公司現有安全體系建設進一步與零信任產品體系打通,實現數據互通,進一步提高管理信息化中的安全可靠性。
三、結語
零信任安全架構對傳統的邊界安全架構模式重新進行了評估和審視,並對安全架構給出了新的建設思路。但零信任不是某一個產品,而是一種新的安全架構理念,在具體實踐上,不是僅在企業網路邊界上進行訪問控制,而是應對企業的所有網路邊緣、身份之間的所有訪問請求進行更細化的動態訪問控制,從而真正實現「從不信任,始終驗證」。
(本文刊登於《中國信息安全》雜志2022年第2期)
④ 態勢感知技術盤點,安全態勢感知與管控平台評測
眾所周知,態勢感知的「前世」是應用在軍事領域的。而時至今日,態勢感知卻已然是網路安全的基本和基礎性工作,是在實現安全態勢「理解」和「預測」之前的重要階段。
現階段,為應對網路安全挑戰,彌補傳統防禦手段的不足,大多企業都在逐步構建一套網路安全分析及管控平台,用以整合企業信息安全的事件響應、技術平台、管理流程,實現總部、分支范圍內安全風險的集中監控、安全事件的集中處置、安全策略的合規檢查以及安全態勢的統一展示,將信息安全管理和技術進行有機結合,完善提升企業的的信息安全保障體系 。
本次我們挑選的產品是來自南京聚銘網路的安全態勢感知與管控平台。據悉,該平台是由聚銘網路自主開發的基於大數據技術的安全態勢感知與管控平台,可以統一採集各類結構化和非結構化的數據,包括各類設備、應用日誌以及網路流量和各種脆弱性,通過實時分析、離線分析、關聯分析、統計分析、機器學習、規則庫、專家經驗庫以及強大的安全情報源碰撞進行多方位風險分析。
現在,就讓我們具體操作體驗下,一探究竟。
平台概覽
首先,我們通過賬號信息登錄進入這款產品的界面。
我們可以看到,在這款產品的首頁界面上左邊是一個整體安全態勢感知概覽模塊,然後是從南北向東西向三個方向的 威脅和風險訪問的大屏展現,還有脆弱性、違規行為的態勢展現大屏。中間還有一個動態3D的全球威脅態勢感知,動態展現全球 的情況,畫面看上去十分有科技感。
整體環顧下來,產品的界面給我們的感覺就是風格比較簡約明了,內容上基本體現了安全的整體情況,畫面上所羅列的功能也很全面,符合市場上各企業對於態感產品的需求,產品放在企業的安全監控大屏上將會有很好的視覺效果。整體環顧下來,產品的界面給我們的感覺就是風格比較簡約明了,內容上基本體現了安全的整體情況,畫面上所羅列的功能也很全面,符合市場上各企業對於態感產品的需求,產品放在企業的安全監控大屏上將會有很好的視覺效果。
數據採集
首先我們來看下數據採集情況,目前我們的採集數據量大概每秒有近6000條數據,算下來一天就會有5億條的數據量,還是挺恐怖的。從界面操作查詢來看,感覺也非常流暢,沒有感覺到卡頓不適的現象,這個在做溯源查詢的時候就會非常方便了。另外,這個產品採集數據的兼容能力也是比較亮眼,能支持近500種類型第三方設備日誌的接入和處理,這點相當不錯。
現在我們可以看到採集的數據都在這里,看起來的確如同之前對廠家的了解一樣,他們這款態感產品的數據採集能力相對其他平台而言,在採集的廣度和深度上更為全面一些,一般我們接觸的此類產品主要是通過流量維度來進行分析,很少有能有同時內置流量、日誌、漏洞掃描和配置合規檢測能力的,這一點確實是在我們接觸的同類產品中很少見,值得誇贊一番,說明這家廠商至少在態勢感知這一塊考慮的點是相當全面的。
接下來我們就看看,對於採集到的這么多類型的數據,這款態感產品又分析的怎麼樣,能不能實現精準的分析呢?
風險分析
從失陷分析維度的場景來看,通過查看分析的過程和數據情況,對伺服器日誌、安全設備日誌、流量分析等數據綜合分析的結果,展現了設備整個安全生命周期的過程,另外也從漏掃維度佐證了此問題的發現。
我們可以看到,產品呈現的分析的結果還是比較准確全面的,充分利用了現有安全建設的資源,又結合了產品本身的分析能力和威脅情報能力,較全面展現了企業和設備風險情況。從這一點看來,這款由聚銘網路廠商打造的態感產品,是完全可以符合企業態勢感知建設需求的。
今天,我們對於這款態感產品的測試也就先到這里,除了採集和分析能力外,其他的合規審計、基線檢查等功能就不再一一介紹。
總結
總體上來講,這款態勢感知與管控平台是完全可以滿足企業對於態感平台建設的基本需求的。這款態感產品能完成網路安全分析及管控平台框架的搭建,對總部、分支、專業安全系統重要數據進行接入,實現總部-分支范圍內安全風險的集中監控、安全事件的集中處置、安全態勢的統一展示,而且不用再做任何額外的開發。
值得一提的是,根據我們對廠商的側面了解,他們使用的是「騰訊+聚銘」的雙情報庫模式,在各類威脅檢測方面非常全面精準,這一點也在我們本次評測中和其他同類產品對比測試中也得到了驗證。
另外,不足的地方可能就是在產品界面操作上引導性還有改進空間,產品經理請拿小本本記下來。
綜合而言,這款產品無論是在日誌、流量等數據採集方面的廣度和深度,還是分析能力以及和情報庫的結合等方面的核心能力上,在我們以往測評產品中都可以算是相當突出的。
以上就是本次評測的所有內容,僅供業界同仁參考,今天的內容就到這里,更多安全產品體驗我們後期再見。
⑤ 態勢感知探針是什麼
態勢感知探針大規模系統環境中,對能夠引起系統狀態發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。
態勢感知探針的作用:
聯合作戰、網路中心戰的提出,推動了態勢感知的產生和不斷發展,作為實現態勢感知的重要平台和物質基礎,態勢圖對數據和信息復雜的需求和特性構成了突出的大數據問題。
最後對關鍵數據和信息處理技術進行了研究.該研究對於「大數據」在軍事信息處理和數據化決策等領域的研究具有重要探索價值。
隨著計算機和通信技術的迅速發展, 計算機網路的應用越來越廣泛, 其規模越來越龐大, 多層面的網路安全威脅和安全風險也在不斷增加, 網路病毒、 Dos/DDos攻擊等構成的威脅和損失越來越大, 網路攻擊行為向著分布化、 規模化、 復雜化等趨勢發展。
網路安全態勢感知技術能夠綜合各方面的安全因素, 從整體上動態反映網路安全狀況, 並對網路安全的發展趨勢進行預測和預警。 大數據技術特有的海量存儲、 並行計算、 高效查詢等特點。
為大規模網路安全態勢感知技術的突破創造了機遇, 藉助大數據分析, 對成千上萬的網路日誌等信息進行自動分析處理與深度挖掘, 對網路的安全狀態進行分析評價, 感知網路中的異常事件與整體安全態勢。