近年来,随着移动互联网、物联网和云计算等技术的兴起,企业数字资产的价值不断提升,全球企业所面临的网络安全挑战愈发严峻。数据泄露、漏洞攻击、勒索病毒、挖矿木马等安全事件频频发生,给企业造成了严重的经济损害和社会影响。从广泛的安全事件复盘中,可以总结出企业安全建设中存在三大类难点问题:
1)基础性保障能力缺位无法应对多层面风险
风险的防御考量综合性和立体性。目前企业的众多业务都要对外开放,而业务开放也意味着引入了更多的风险暴露面。攻击者可通过U盘传播、垃圾邮件传播、网站挂马、软件捆绑等多种方式从边界、内网全面侵入到企业网络。而目前市场上的各种安全产品大多各自为政,不能形成统一的网络安全保护,无法适应当前多层面风险现状。
2)有限资源投入下安全运营能力的普遍缺失
安全工作本质上是一个需要技术高度协同,并不断整合人员,优化流程的持续运营的工作。过去在安全预算有限的情况下,企业往往缺乏专业人员来管理安全,一人多岗现象较为普遍,甚至处于无人运营的状态;此外,由于运营流程的不完善、数据格式的不统一、事件响应流程的缺失,使得企业在安全建设过程中缺乏风险识别和风险处置的能力。
3)无法有效应对外部不断衍生的未知性风险
长期以来,企业认为的安全能力是设备或者方案提供的原生安全能力,威胁依赖于厂商提供的集成化程度非常高的安全模块,而安全的日常运营大部分依赖于厂商自身技术的实现机制,以及通过规则更新的方式去防护威胁。而在当前井喷式爆发网络威胁的背景下,基于静态规则的防护能力已经不再适应变化的威胁,比如昨天更新完规则,今天爆发新勒索病毒,现有规则无法防护,产生较长的安全防护空窗期。此外,当前不少威胁会基于混淆技术产生大量变种,无论是在规则更新时效性上、规则的泛化识别能力上、规则的覆盖度上均无法有效对抗当前不断衍生的未知性风险。
三大举措,构建有效的安全防护体系
在风险不断泛化的严峻现状下,企业应建立基于网络、端点、云端的纵深协同防御体系,通过敏捷运营快速处置风险,并通过威胁情报构建持续对抗风险的高阶安全能力。
1)从防御孤岛转向智能化协同联动,构建纵深防御体系
基于安全的“木桶原则”,风险会在安全建设最薄弱的地方开展,单点产品已经无法有效保护现有用户环境的安全,因此,充分、全面、完整的体系化建设是开展有效保护的前提。
以勒索病毒为例,勒索病毒极度灵活,入侵方式及途径较多,解决勒索病毒是一项体系化的工程,既要考虑网络和业务终端入口的封堵,同时要考量勒索在进行密集外联时如何在网络侧进行有效识别,并在业务终端迅速进行勒索病毒的回溯,在勒索病毒大范围横向逃窜时,也可以迅速断切段东西向的横向攻击,而这一切需要的是安全设备间的整体协同联动能力。
因此基础性保障工作需要全面升级,从传统的堆叠模式转向智能化协同联动体系。
国际知名咨询机构Gartner针对协同联动能力进行了定义,并提出了“5级联动模型”:网络和端点的工具建立了两个安全域之间的密切关联,旨在降低管理开销、安全能力的总体拥有成本,并通过情报共享、减少预警解析的时间,基于上下文改变组件的防御姿态,最终交付更好的威胁检测能力。
深信服基于该模型做了扩展,打通网络、端点、云端的安全资源并基于算法、数据、联动机制、全球情报构建了整体的协同防御能力,将各维度能力进行深度聚合,实现情报共享、威胁互认,最终实现风险的自动化处置。
2)通过集约管理实现事件的敏捷运营及快速处置
安全产品的投资、运维人员的培养、专业能力的对抗均需占据企业大量的成本,而本质上就是因为安全工作的开展过于复杂造成的。因此,企业需要让安全工作开展足够的简单,通过构建敏捷运营化能力将多设备的管理能力可集中在统一化平台,统一分析、展示风险,并通过全面的举证信息和全局联动机制,可快速处置风险,提升管理效率。
具体在敏捷运营开展过程中,依据业界的趋势,企业主要需要导入如下能力:
l 设备间信息的协同共享
全局性的威胁对抗,形成完整事件处置流的前提是要聚合全网的威胁数据,将网络、端点、大数据威胁情报数据进行整体的聚合、分析,基于内置的算法通过协同共享的威胁信息,更充分、准确的分析风险;
l 风险的统一展示
在风险的展示、溯源、举证方面,以数据为前提,通过深度分析形成完整的事件处置流程,在企业安全运营的流程上,将全网的风险以整体化的视角勾勒出攻击的原貌,供安全管理员从整体的角度看清风险,从宏观的描述到微观的威胁举证信息;
l 事件处置的便捷性
在完整事件流构建完成后,通过可视化界面清晰、直观的展示安全事件,简单、直观地引导管理员快速处置。让有经验的管理员可以基于设备取证日志去重点关注,没有经验的管理员按照详细的处置流程可以无障碍处置;
l 安全专家服务
当然,在安全的对抗过程中少不了安全专家的参与,甚至可通过服务托管的模式,依托外部专家资源7*24小时进行事件处置。
3)通过威胁情报及云端大数据赋能构建持续对抗风险的高阶安全能力
本地化安全设备存在客观上的能力不足的问题,威胁检测能力需要依托本地化规则库。因此通过大数据来加固本地化安全能力成为热点趋势。一方面,依托海量的云端大数据及威胁情报,识别本地无法有效识别的灰度威胁。另一方面,通过云端赋能持续升级安全设备的能力,从而打通本地化能力壁垒,构建可实时和外部安全资源互通的能力。
深信服网端云敏捷安全架构
深信服网端云敏捷安全架构基于大数据、人工智能算法等,通过深度防御、持续检测、快速响应、全天候安全运营,构建基于网络、端点、云端的系统化智能协同联动防护体系,有效保障企业安全。
1)由外到内-由网入端,构建协同的纵深安全防护带
通过下一代防火墙、终端检测响应平台EDR对网络及终端进行全面、深入的保障,实现能力与位置的相互补位,消除安全能力建设的木桶短板,并通过网端云情报共享与联动处置全面发现风险、快速有效闭环安全问题。
2)轻量安全运营平台,快速定位并处置风险
在云端基于SaaS模式交付的轻量级安全运营中心,通过简单运营界面,让用户有效处置安全问题。包括全局风险展示,设备统一管理,并通过微信预警机制基于移动端将风险一键处置闭环。
3)全球威胁情报及威胁动态分析实时赋能,持续应对APT高级攻击
平台融入了全球的威胁情报、云端沙箱及动态威胁检测技术,云端依托海量样本的识别,通过实时的边云协同、端云协同让用户具备未知威胁实时检测和规则库快速同步的能力。相比传统规则,无论在时效性、规则数量、威胁覆盖上都有极大的提升。
那么,网端云敏捷安全架构在企业的实际应用效果如何呢?
以一制造业用户为例,该企业应用了深信服网端云解决方案,构建了立体协同保护体系,有效地防护了勒索病毒攻击。勒索病毒在进入到业务服务器后,通常会发起恶意的外连行为,在网络侧依托防火墙,通过NTA技术及若干算法,捕捉恶意外联的行为,基于夜间外联分析、连接频率,IP归属等识别网络连接的异常,定位内部失陷IP信息。同时反向在终端上通过EDR进行举证、追溯,整个过程的威胁信息都与全球大数据威胁情报进行校对,最终呈现完整的勒索病毒攻击图谱,实现对隐藏在业务侧的威胁进行快速处置。
此外,厂区PC及设备的运维也是该企业头疼的问题,设备采购不断,升级,巡检,策略调整,日志分析…每一个环节都不敢放松,管理人员疲惫不堪,加上厂区扩建,运维人手更显不足。而通过深信服的云图,可以统一纳管现网中的安全设备,基于管理大屏进行统一的策略配置、程序升级、运维告警等工作,解决了扩建后分区无人运维的难题。云图更是提供了基于微信对网络和终端安全设备进行智能联动的功能,管理员随时随地,只需动动手指即可“一键处置”企业面临的高危风险,运维更加简单高效。
不止在制造业获得良好的应用效果,截至目前,深信服网端云敏捷安全架构已经获得1000+用户的认可,覆盖各个行业。秉持“面向未来 有效保护”的安全理念,深信服网端云敏捷安全架构不断进行技术更新,持续安全能力,更敏捷有效帮助用户抵御安全威胁,为用户业务提供全生命周期保护!
感兴趣客户请联系深信服金牌铭冠网安!