国产欧美精品综合一区二区三区,日产精品一卡2卡三卡四卡区别,国产免费一区二区三区不卡,亚洲 欧美 成人 自拍 高清,亚洲精品suv精品一区二区

作為可視化網(wǎng)絡安全技術創(chuàng)新者，安博通提供的“基于‘零信任+’的流量威脅管控實踐”課程入選工信部網(wǎng)絡安全在線培訓平臺（簡稱“網(wǎng)安學堂”）。

“零信任”是一個安全術語也是一個安全概念，簡單來說，就是不相信任何人，除非網(wǎng)絡明確知道接入者的身份，否則誰也無法接入。本課程結合等保要求，思考總結“零信任”在關鍵信息基礎設施等業(yè)務場景的應用，希望能給各位帶來些許啟發(fā)和幫助。

（以下為課程精要，閱讀時間約為5分鐘。）

安全是一個過程

對網(wǎng)絡安全運維管理的現(xiàn)狀進行分析，我們總結了這張成熟度曲線圖，它充分體現(xiàn)了“以結果為導向”的安全心態(tài)。

有一些安全從業(yè)者希望一勞永逸，只解決合規(guī)問題就好，一旦出現(xiàn)安全事件，就會產生“求解藥”的心態(tài)。態(tài)勢感知與SOC概念的火熱，也讓一些從業(yè)者更多關注“知彼”，而忽略了“知己”，比如沒有建立完整的內網(wǎng)資產清單、不清楚所有的資產漏洞和脆弱性。

此時，一味強調防御的結果，在面對新型攻擊時會疲勞，甚至是徒勞。

安全觀念正在不斷演進，誠然“合規(guī)”依然是網(wǎng)絡安全產業(yè)的主要動力，但安全能力也成為了越來越重要的衡量標準。剖析安全的本質，我們認為：網(wǎng)絡安全是一個持續(xù)的過程。

所謂過程，即在某一個時間與空間點，安全只反映攻防對抗的暫時狀態(tài)，終極安全結果很難達到。面對不斷變化的新型攻擊時，很難找到一蹴而就的解決方案，防守方同樣需要不斷發(fā)展、不斷更新。只要保證過程持續(xù)安全，則結果更加趨向安全。

水滴石穿，最柔軟的水恰蘊含最強大的力量。網(wǎng)絡安全更是一種無形的、柔性的能力，可融入到任何網(wǎng)絡、系統(tǒng)或業(yè)務中。全局安全的前提是信息跨平臺流動，各組件保持關聯(lián)協(xié)同，共同確保過程中每一階段的安全。

安全將會從“以結果為導向”轉變?yōu)椤耙赃^程為導向”，數(shù)據(jù)及數(shù)據(jù)分析能力的對抗，貫穿著整個過程。

近年來，安全架構也在演進中。安全自適應架構（ASA）定義安全保護是一個連續(xù)的過程，業(yè)界基于ASA已有大量落地實踐。

持續(xù)自適應風險與信任評估戰(zhàn)略（CARTA）更是一個龐大的體系，其中包括大數(shù)據(jù)、人工智能、行為分析、威脅檢測、防護評估等方面。CARTA強調對風險和信任的評估分析，分析的過程就是尋求平衡的過程。

在安全架構的變化中，可以看到安全能力的演進。也就是等保2.0中的關鍵思想：三化六防，體系化、常態(tài)化和實戰(zhàn)化。

上圖中，整體即構筑縱深防御體系，覆蓋所有保護對象；主動即防患于未然，消禍于無形；精準即精細化管理，精細化施策；動態(tài)即持續(xù)性監(jiān)測，自動化處置。

動態(tài)防護的發(fā)展驅動力是數(shù)據(jù)分析，我們的目標是超越靜態(tài)的規(guī)則和有限的關聯(lián)性，轉向更多的數(shù)據(jù)源、更先進的機器學習與可視化技術。

同時，還可以將威脅和攻擊模型作為安全架構的一個維度。建立可能攻擊列表，排序展示防護力最弱的攻擊路徑，合并展示產生相同結果的攻擊路徑，使安全架構設計與資產可能面臨的威脅相匹配。

零信任，從內到外的防護

安全圈中有一句經(jīng)典的話：防火墻不是萬能的，但沒有防火墻是萬萬不能的。這句話既說出了防火墻的重要性，也說出了它的局限性。

一直以來，我們專注于邊界防御，而準入用戶可以廣泛地訪問內部資源。因此，內網(wǎng)未經(jīng)授權的橫向移動，是運維者面臨的最大挑戰(zhàn)之一。邊界防火墻可以阻止來自Internet的攻擊，但在檢測和阻止內網(wǎng)攻擊方面無能為力。傳統(tǒng)防護的失效是“零信任”產生的原因。

“零信任”是不信任嗎？在網(wǎng)絡中應用零信任架構（ZTA），是否意味著組織機構不信任員工？其實不然，應用ZTA是承認人人都會犯錯，比如誤點電子郵件中的惡意鏈接。

ZTA的目的是消除信息系統(tǒng)中的不確定性，實施精確的訪問權限決策，只讓“需要知道”的人訪問數(shù)據(jù)資源，實現(xiàn)從內到外的保護。

傳統(tǒng)從外到內的方式，即針對外部攻擊的防護，主要關注攻擊暴露面。而“零信任”作為從內到外的保護方式，必須清楚什么是業(yè)務中最重要的部分，我們稱之為保護面。保護面和暴露面的不同視角，反映了訪問側和攻擊側的不同防護思路。

在這里，我們對比了在身份鑒別和訪問控制方面，等保三級要求與零信任架構的對應關系。

身份一直是數(shù)據(jù)泄露的主要原因，如果攻擊者盜取身份并登錄，而系統(tǒng)不檢查身份的真假，那么數(shù)據(jù)就很容易外泄。身份也是零信任的核心特征，網(wǎng)絡中存在高價值數(shù)據(jù)時，訪問這些數(shù)據(jù)的身份必須高度確定。

零信任架構被依賴應用于身份管理、資產管理、應用身份驗證、網(wǎng)絡分段和威脅情報功能，其中增加了對系統(tǒng)和應用中用戶行為、訪問操作的監(jiān)控。

攻擊者必須執(zhí)行特權操作或訪問資源才能實現(xiàn)其目的。理論上，所有的攻擊（包括內部攻擊），都可以通過監(jiān)控此類活動來捕獲。

對于關鍵信息基礎設施，監(jiān)控并記錄特權活動是關鍵，特別是當計算、存儲、網(wǎng)絡、數(shù)據(jù)庫、應用程序和安全管理間的界限變得模糊時。零信任網(wǎng)絡訪問解決方案是覆蓋大量用戶，監(jiān)控訪問活動的良好基礎。

與現(xiàn)有的網(wǎng)絡安全防護措施相輔相成，零信任架構（ZTA）可以降低企業(yè)機構的總體風險，并抵御常見威脅。但同時，ZTA也存在一些獨特的安全威脅。

針對上圖中的安全威脅，我們提出了“零信任+”的設想，這一設想主要分為兩個部分。

基于“零信任+”的流量威脅管控

第一個“+”指緩解相關威脅。

硬件可控是計算機底層需要緩解的威脅，可采用國產化芯片，包括CPU、內存、存儲等。

軟件可信基于雙體系架構，從底層芯片開始構建主動防御系統(tǒng)，這是等保2.0中著重提出的可信計算。

威脅可視在了解“誰在網(wǎng)絡上”的基礎上，進一步確認“為什么訪問數(shù)據(jù)”和“使用數(shù)據(jù)做什么”，能夠監(jiān)控并確認訪問行為是否合規(guī)、合理。

這也引出了第二個“+”，與其他技術的融合。

任何攻擊都會留下痕跡，攻擊行為總會造成網(wǎng)絡通信的異常。如何從大量的數(shù)據(jù)中找出異常通信數(shù)據(jù)？我們基于“零信任+”提出了流量威脅管控平臺。

平臺架構分為四層：網(wǎng)絡基礎架構、基礎安全防護、高級威脅分析全流程防護和可視化展示。

相比傳統(tǒng)的流量威脅分析系統(tǒng)，平臺融合應用微隔離、攻擊面收斂、權限最小化等方法，實現(xiàn)更精準的應用控制；數(shù)據(jù)來源更豐富，包括主機、網(wǎng)絡、訪問控制關系；從監(jiān)測到控制，包含了更充分的管控手段；從對外防御到內外兼具，確保所有行為符合規(guī)范。更重要的是，平臺幫助用戶從面向安全事件往面向安全運維轉變。

在上述安全架構下，我們提供流量威脅管控的整體解決方案。

事前，對資產脆弱性與暴露面的關系進行量化評估，實現(xiàn)防御的收斂和優(yōu)化，并對網(wǎng)絡路徑、主機資產進行加固。

事中，通過已知和未知威脅、網(wǎng)絡側和主機側的關聯(lián)，實現(xiàn)精準攻擊鏈檢測，可進行告警、封堵等響應。

事后，通過對路徑和全流量的捕獲，實現(xiàn)對主機行為、網(wǎng)絡行為的全面回溯分析與取證還原。

從而幫助用戶優(yōu)化安全策略、收斂攻擊路徑、保護重要資產，用安全能力驅動更清晰、更快速的決策，創(chuàng)造更大的安全核心價值。

在安全運營過程中，首先對系統(tǒng)自身的攻擊面進行分析，通過資產盤點、脆弱性排查、暴露風險分析，輔以威脅情報數(shù)據(jù)，對風險排序，并通過漏洞修復、補償控制、安全加固等手段予以響應，從而持續(xù)可視化評估收斂網(wǎng)絡攻擊面，緩解網(wǎng)絡風險。

同時，通過“零信任”先驗證再訪問的控制，將應用隱藏在訪問代理后，進一步縮減攻擊面。

在威脅監(jiān)測與自動響應過程中，通過AI檢測、網(wǎng)絡檢測、主機檢測，進行多維度的大數(shù)據(jù)關聯(lián)分析，實現(xiàn)精準事件分類、自動化編排，從而提升檢測精度加速調查響應。

在策略變更和事件響應階段，讓策略變更全流程自動化，通過策略智能運維，持續(xù)滿足合規(guī)要求并控制安全風險。

流量安全分析的兩個實踐

下面介紹本方案的兩個實踐，第一個是通過網(wǎng)絡端口流量分析，快速發(fā)現(xiàn)勒索病毒等異常流量，確認其影響范圍并加以控制。

在政務網(wǎng)、企業(yè)內網(wǎng)、校園網(wǎng)等場景，經(jīng)常會遇到如下問題：當反饋有異常時，如何快速了解網(wǎng)絡端口的流量數(shù)據(jù)？發(fā)現(xiàn)攻擊、異常、病毒時，如何查詢受影響的范圍？

本方案提供目標端口數(shù)據(jù)統(tǒng)計功能，可以在超大流量網(wǎng)絡中，實時監(jiān)控查看TOP10端口的流量詳情、構成比例和訪問次數(shù)，查看其中是否有異常端口，判斷網(wǎng)絡流量整體情況。

當發(fā)現(xiàn)異常的端口流量數(shù)據(jù)后，可以通過會話分析、流量回溯快速定位受影響的主機，及時響應。

實踐價值：快速診斷端口整體情況，定位異常影響范圍，大幅加快故障修復、異常處置速度，減少后續(xù)損失。

再看另一個案例。某單位的數(shù)據(jù)中心共有400多臺服務器，涉及多個部門、業(yè)務、管理人員，管控較混亂。

部署本方案后，首先發(fā)現(xiàn)未知應用流量大；其次，在未知應用中，端口22的流量排名靠前，數(shù)量超過1萬多條。

打開未知流量的會話列表，發(fā)現(xiàn)源IP都為X.X.111.24，目的IP遍布全球多個國家，會話連接類型都為半連接。

使用報表中的IP地址功能，查找源IP的流量情況，發(fā)現(xiàn)前一天的流量很大，上行流量達3.29G、下行35M、會話數(shù)6041萬條，明顯異常。

針對這一問題，通過進一步檢索，發(fā)現(xiàn)X.X.111.24是內網(wǎng)的服務器A，但大部分時間該服務器沒有數(shù)據(jù)流量。

綜合判斷，服務器A對多個國家多個目的IP的TCP端口進行掃描，疑為服務器下線后無人管理，成為僵尸主機。最終對該服務器進行封堵和加固，形成了半自動化的響應閉環(huán)。

“零信任+”是一個安全理念，也是一種安全框架。本課程基于“零信任+”的架構和方法，結合實踐應用，介紹了滿足等保要求的基礎上，如何對流量威脅進行綜合管控。希望能讓各位安全從業(yè)者有所收獲，在此表示感謝！

歡迎掃描下圖二維碼進入“網(wǎng)安學堂”小程序，搜索專家姓名“李源”或課程名稱“零信任”，在線學習完整課程~