為進一步強化網(wǎng)絡(luò)安全隱患排查整改，推動以攻促防，查漏補缺，筑牢網(wǎng)絡(luò)安全防線建設(shè)，開展攻防演習專項工作無論是對國家、社會和企業(yè)，都會有效提高應(yīng)對網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力。

雖然網(wǎng)絡(luò)安全經(jīng)過多年的建設(shè)已逐漸全面，但仍不可避免的會被黑客攻破，主要是因為用戶仍然采用傳統(tǒng)邊界防護理念，即壘高墻和區(qū)域隔離的模式，根據(jù)各區(qū)域的安全級別不同，在安全區(qū)域之間部署防火墻、IPS、防毒墻、WAF等安全防護設(shè)備，以此應(yīng)對外界攻擊。而傳統(tǒng)邊界防護理念最大的弊端是防外不防內(nèi)，用戶通過賬號登陸即默認可信，對邊界內(nèi)用戶的操作不做過多的異常行為監(jiān)測，造成安全區(qū)域內(nèi)部過度信任的問題。假設(shè)賬號是攻擊者通過口令爆破或者社工獲取，即可通過合理的身份進行非法操作；同時因為缺少來自客戶端的安全信息，對威脅的安全分析不夠全面，所以成了邊界安全理念的脆弱點。

隨著云應(yīng)用、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G 等技術(shù)的興起及應(yīng)用，IT 環(huán)境呈現(xiàn)多樣化趨勢，同時也帶來了更多的新型安全風險?；谀壳熬W(wǎng)絡(luò)發(fā)展的需求，零信任將成為未來網(wǎng)絡(luò)安全的主流架構(gòu)，企業(yè) IT 安全建設(shè)的必然選擇。零信任安全理念解決了區(qū)域和信任的綁定關(guān)系，用戶的訪問權(quán)限不再受到網(wǎng)絡(luò)區(qū)域的限制，訪問前需要經(jīng)過身份認證和授權(quán)，而身份認證不再僅僅針對用戶，還將對用戶所持客戶端進行安全校驗，并且在訪問過程中進行用戶畫像和持續(xù)性風險評估，對訪問進行動態(tài)、細粒度的授權(quán)，同時采用最小授權(quán)原則，可以有效防御黑客的入侵以及0day攻擊。

芯盾時代攻防演練方案

芯盾時代解決方案打破傳統(tǒng)以網(wǎng)絡(luò)邊界為信任的條件，以零信任安全理念出發(fā)，從身份、設(shè)備、行為等維度展開全方位防護，對企業(yè)內(nèi)、外部的所有訪問重新進行信任評估和動態(tài)訪問控制，針對所有訪問企業(yè)資源的請求，進行認證、授權(quán)和加密，對用戶和使用設(shè)備進行全面驗證，同時可以對每一次訪問請求進行實時的風險評估。

芯盾時代攻防演練方案基于零信任安全理念，提供覆蓋事前、事中、事后的場景化全流程業(yè)務(wù)安全防護。

事前檢測

攻防演練中首先要對企業(yè)資產(chǎn)進行盤查，建立完善的資產(chǎn)臺賬，進而對資產(chǎn)配備相應(yīng)的防護手段。而當前絕大多數(shù)企業(yè)存在對自身企業(yè)資產(chǎn)畫像不清晰、威脅響應(yīng)不及時和管理制度不完善等問題，沒有能夠真正將資產(chǎn)和威脅管理起來。在攻防演練中，部分遺漏、未被安全管理、未及時下線的系統(tǒng)，由于存在安全漏洞并缺乏相應(yīng)的安全防護策略會被攻擊者找到和利用。

芯盾時代數(shù)字資產(chǎn)在線發(fā)現(xiàn)系統(tǒng)以數(shù)字資產(chǎn)（IT資產(chǎn)、應(yīng)用資產(chǎn)、數(shù)據(jù)資產(chǎn)、代碼資產(chǎn)等數(shù)字資產(chǎn)）為核心，幫助用戶梳理企業(yè)內(nèi)外網(wǎng)的數(shù)字資產(chǎn)情況，并對企業(yè)數(shù)字資產(chǎn)主動威脅檢測，結(jié)合威脅情報對企業(yè)威脅（主機漏洞、web漏洞、0day漏洞、弱口令、代碼泄露、APP威脅）進行跟蹤和管理，將威脅和業(yè)務(wù)以及負責人關(guān)聯(lián)起來，并在長期威脅檢測和復查的基礎(chǔ)上，對威脅的解決時間和結(jié)果進行跟蹤，真正起到資產(chǎn)盤查和威脅發(fā)現(xiàn)的作用。

事中防護

雙因素認證

攻擊者在攻擊過程中利用當前大部分單位應(yīng)用系統(tǒng)、服務(wù)器或網(wǎng)絡(luò)設(shè)備的弱口令、單因素認證、特權(quán)賬號共享等問題，通過賬號密碼登錄應(yīng)用系統(tǒng)、服務(wù)器或網(wǎng)絡(luò)設(shè)備，再進一步提權(quán)拿下目標系統(tǒng)。

雙因素認證

芯盾時代雙因素認證產(chǎn)品通過移動雙因素認證技術(shù)和認證代理技術(shù)，在原系統(tǒng)用戶名密碼認證基礎(chǔ)上，快捷實現(xiàn)二次認證、雙因素認證、認證策略控制，對業(yè)務(wù)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備的訪問登錄進行二次認證，大幅提升系統(tǒng)認證安全性，可有效避免因弱口令、密碼管理不當、源代碼管理不當（源代碼中含有系統(tǒng)管理員賬戶密碼）帶來的系統(tǒng)被盜而導致的失分。

資源隱藏

對于各類數(shù)字資產(chǎn)的管理方面，芯盾時代零信任業(yè)務(wù)安全平臺SDP能夠?qū)崿F(xiàn)后端業(yè)務(wù)以及網(wǎng)關(guān)自身的隱藏，使攻擊者獲取不到后端服務(wù)器的信息，失去攻擊方向，有效減少暴露面并且削弱DDoS攻擊；采用UDP建立連接的方式，只對授權(quán)客戶端進行響應(yīng)，可以有效阻止攻擊和掃描，待通信成功建立后再采用TCP協(xié)議通信，確保用戶身份的安全性，實現(xiàn)網(wǎng)關(guān)、業(yè)務(wù)的隱身，解決TCP連接時存在的攻擊風險。

零信任業(yè)務(wù)安全平臺

芯盾時代SDP分為三大平面：

管理平面：對零信任安全網(wǎng)關(guān)進行配置管理及可視化展示；

數(shù)據(jù)平面：通過各類安全組件對訪問主體與客體的身份和環(huán)境進行管控；

控制平面：將風險信息輸入到控制平面，為持續(xù)信任計算引擎和動態(tài)訪問控制引擎提供依據(jù)。

目前芯盾時代零信任產(chǎn)品已經(jīng)集成了SDP和增強型IAM兩大技術(shù)，并且和微隔離可以進行很好地互動，感知東西向流量的風險，主要呈現(xiàn)：全平臺覆蓋、全架構(gòu)應(yīng)用支持、全協(xié)議代理、全鏈路安全、全流量解析等功能特點。

數(shù)據(jù)安全管控

芯盾時代數(shù)據(jù)安全管控系統(tǒng)通過對數(shù)據(jù)庫的操作行為和數(shù)據(jù)庫輸出內(nèi)容進行管控，從而滿足攻防演練期間數(shù)據(jù)交互過程中越權(quán)訪問、違規(guī)請求、超頻使用、數(shù)據(jù)泄露等風險的識別、控制和追責的需求。

系統(tǒng)支持根據(jù)不同身份進行個性化數(shù)據(jù)庫訪問控制，并對用戶訪問的靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)進行即時動態(tài)脫敏，以及根據(jù)業(yè)務(wù)系統(tǒng)需求，批量進行數(shù)據(jù)靜態(tài)脫敏，滿足企業(yè)攻防演練、安全運維、數(shù)據(jù)分析、系統(tǒng)測試、數(shù)據(jù)交換、機器學習等不同需求場景下的數(shù)據(jù)安全需求。

事后總結(jié)

攻防演練是為了更好的進行安全防護。在實戰(zhàn)工作完成后，芯盾時代協(xié)助用戶進行充分、全面的復盤分析，總結(jié)經(jīng)驗、教訓，包括工作方案、組織管理、工作啟動會、系統(tǒng)資產(chǎn)梳理、安全自查及優(yōu)化、基礎(chǔ)安全監(jiān)測與防護設(shè)備的部署、安全意識、應(yīng)急預案及演練和注意事項等方面。

芯盾時代可為用戶提供合理可行的安全整改建議，達到整改安全漏洞隱患，完善安全防護措施，優(yōu)化安全策略，強化人員隊伍技術(shù)能力，有效提升整體網(wǎng)絡(luò)安全防護水平的目的。

芯盾時代攻防演練方案優(yōu)勢

加強網(wǎng)絡(luò)縱深防護能力，有效解決因弱口令、賬號泄露導致的入侵行為；

通過SPA協(xié)議將網(wǎng)關(guān)和業(yè)務(wù)服務(wù)及端口實現(xiàn)隱身，對暴露的API接口進行管理，有效收斂暴露面，避免遭受DDoS攻擊；

關(guān)聯(lián)態(tài)勢感知、UEBA、威脅情報等安全數(shù)據(jù)源進行大數(shù)據(jù)分析，洞察風險態(tài)勢，根據(jù)態(tài)勢變化動態(tài)調(diào)整安全策略，支撐持續(xù)運營。

提供應(yīng)用級/功能級/數(shù)據(jù)級/API級的訪問控制，授予訪問主體最小訪問權(quán)限，防止權(quán)限過大造成的安全風險。

芯盾時代已為多行業(yè)頭部客戶在攻防演練中提供方案和服務(wù)支持，均獲得良好效果，取得0失分的好成績。

審核編輯 ：李倩