確保終端安全的過(guò)程極具挑戰性的部分原因,就在于這是人與設備持續互動(dòng)的過(guò)程,給了惡意攻擊者可乘之機。其中一個(gè)簡(jiǎn)單的例子便是員工為了臨時(shí)業(yè)務(wù)需要而繞過(guò)安全策略,這類(lèi)舉動(dòng)給了惡意攻擊者可以利用的漏洞。這些漏洞不僅會(huì )影響IT和終端用戶(hù)的工作效率,導致本地終端數據失竊,還會(huì )為惡意攻擊者提供一個(gè)滲透進(jìn)入企業(yè)網(wǎng)絡(luò )甚至帶來(lái)更大浩劫的入口。此外,由于目前許多機構都呼吁員工更多地在家辦公,確保這些終端符合最新的安全策略也成為一種必然的要求。
另外,多數機構都在摒棄單純依賴(lài)反應式安全解決方案的作法,而是變得更具預測性。然而,只有當終端解決方案針對可能和現有的入侵技術(shù)得到了提前、徹底的評估,這種方法才是有效的。此外,我們需要謹記,在執行驗證時(shí),終端也正處于不斷的變化之中,應該以靈活、連續和自動(dòng)化的方式來(lái)對攻擊進(jìn)行探測、預防和消減。
CyberFlood網(wǎng)絡(luò )安全基礎構架
有效性評估解決方案 – 終端
CyberFlood網(wǎng)絡(luò )安全基礎構架有效性評估(CF DBA)是一種基于仿真的解決方案,能夠以前瞻的方式為企業(yè)的安全態(tài)勢提供深入、連續的自動(dòng)化評估。這些評估通過(guò)安裝在整個(gè)網(wǎng)絡(luò )中(例如DMZ區、數據中心區等)或終端上(例如物理或虛擬Windows 10)的眾多代理程序來(lái)實(shí)現。這樣便可利用思博倫TestCloud?提供的持續更新的威脅情報,對終端的安全性進(jìn)行評估。這些基于仿真的入侵均在網(wǎng)絡(luò )中指定的網(wǎng)段/終端上執行,而且日志也會(huì )與評估中的安全事件自動(dòng)關(guān)聯(lián)起來(lái)。用戶(hù)還可選擇對包含規避技術(shù)的入侵活動(dòng)進(jìn)一步甄別,查看實(shí)時(shí)報告、最終報告,或跟蹤各類(lèi)行動(dòng),并使用事件跟蹤系統進(jìn)行歸檔等。
接下來(lái)我們來(lái)看一個(gè)簡(jiǎn)單的使用案例,并用它來(lái)說(shuō)明對終端執行連續自動(dòng)化評估的必要性。
- Windows 10 Defender防火墻默認策略是禁用入向連接。
- 員工決定暫時(shí)修改Windows 10 Defender防火墻策略,打開(kāi)測試某項應用的端口。
- 由于該員工忙于執行其它的日常任務(wù),上述操作在測試完成后未被恢復原狀。
在今天的企業(yè)網(wǎng)絡(luò )中,這是一個(gè)簡(jiǎn)單又十分普遍的情況。如果設置了DBA調度的自動(dòng)化評估,該企業(yè)的安全行動(dòng)(SecOps)團隊將擁有對員工行為所遺留的漏洞的完整可視性,并能根據DBA的報告采取適當的行動(dòng)。
當DBA解決方案部署到位的情況下,上述時(shí)間線(xiàn)將呈現這樣的變化:
- 最初,當Windows 10 Defender防火墻采用默認策略時(shí),所有向終端發(fā)動(dòng)的入侵都會(huì )被阻止,而且可以通過(guò)DBA的報告得到確認。
- 用戶(hù)對Windows 10 Defender防火墻的修改會(huì )使終端容易受到某些攻擊的侵害,而這些攻擊所利用的正是應用測試時(shí)所打開(kāi)的端口。
- DBA的后續自動(dòng)化報告將顯示,由于員工之前所采取的行動(dòng),攻擊將不再受到阻礙。安全行動(dòng)團隊可以利用該報告,通過(guò)CyberFlood DBA來(lái)采取必要的行動(dòng)。例如,可以直接向CyberFlood DBA發(fā)出事件通知,修復該員工所用的筆記本的安全狀態(tài),并在問(wèn)題得到解決后重新運行評估來(lái)確認安全態(tài)勢是否符合預期。
