確保終端安全的過程極具挑戰(zhàn)性的部分原因,就在于這是人與設(shè)備持續(xù)互動(dòng)的過程,給了惡意攻擊者可乘之機(jī)。其中一個(gè)簡單的例子便是員工為了臨時(shí)業(yè)務(wù)需要而繞過安全策略,這類舉動(dòng)給了惡意攻擊者可以利用的漏洞。這些漏洞不僅會影響IT和終端用戶的工作效率,導(dǎo)致本地終端數(shù)據(jù)失竊,還會為惡意攻擊者提供一個(gè)滲透進(jìn)入企業(yè)網(wǎng)絡(luò)甚至帶來更大浩劫的入口。此外,由于目前許多機(jī)構(gòu)都呼吁員工更多地在家辦公,確保這些終端符合最新的安全策略也成為一種必然的要求。
另外,多數(shù)機(jī)構(gòu)都在摒棄單純依賴反應(yīng)式安全解決方案的作法,而是變得更具預(yù)測性。然而,只有當(dāng)終端解決方案針對可能和現(xiàn)有的入侵技術(shù)得到了提前、徹底的評估,這種方法才是有效的。此外,我們需要謹(jǐn)記,在執(zhí)行驗(yàn)證時(shí),終端也正處于不斷的變化之中,應(yīng)該以靈活、連續(xù)和自動(dòng)化的方式來對攻擊進(jìn)行探測、預(yù)防和消減。
CyberFlood網(wǎng)絡(luò)安全基礎(chǔ)構(gòu)架
有效性評估解決方案 – 終端
CyberFlood網(wǎng)絡(luò)安全基礎(chǔ)構(gòu)架有效性評估(CF DBA)是一種基于仿真的解決方案,能夠以前瞻的方式為企業(yè)的安全態(tài)勢提供深入、連續(xù)的自動(dòng)化評估。這些評估通過安裝在整個(gè)網(wǎng)絡(luò)中(例如DMZ區(qū)、數(shù)據(jù)中心區(qū)等)或終端上(例如物理或虛擬Windows 10)的眾多代理程序來實(shí)現(xiàn)。這樣便可利用思博倫TestCloud?提供的持續(xù)更新的威脅情報(bào),對終端的安全性進(jìn)行評估。這些基于仿真的入侵均在網(wǎng)絡(luò)中指定的網(wǎng)段/終端上執(zhí)行,而且日志也會與評估中的安全事件自動(dòng)關(guān)聯(lián)起來。用戶還可選擇對包含規(guī)避技術(shù)的入侵活動(dòng)進(jìn)一步甄別,查看實(shí)時(shí)報(bào)告、最終報(bào)告,或跟蹤各類行動(dòng),并使用事件跟蹤系統(tǒng)進(jìn)行歸檔等。
接下來我們來看一個(gè)簡單的使用案例,并用它來說明對終端執(zhí)行連續(xù)自動(dòng)化評估的必要性。
- Windows 10 Defender防火墻默認(rèn)策略是禁用入向連接。
- 員工決定暫時(shí)修改Windows 10 Defender防火墻策略,打開測試某項(xiàng)應(yīng)用的端口。
- 由于該員工忙于執(zhí)行其它的日常任務(wù),上述操作在測試完成后未被恢復(fù)原狀。
在今天的企業(yè)網(wǎng)絡(luò)中,這是一個(gè)簡單又十分普遍的情況。如果設(shè)置了DBA調(diào)度的自動(dòng)化評估,該企業(yè)的安全行動(dòng)(SecOps)團(tuán)隊(duì)將擁有對員工行為所遺留的漏洞的完整可視性,并能根據(jù)DBA的報(bào)告采取適當(dāng)?shù)男袆?dòng)。
當(dāng)DBA解決方案部署到位的情況下,上述時(shí)間線將呈現(xiàn)這樣的變化:
- 最初,當(dāng)Windows 10 Defender防火墻采用默認(rèn)策略時(shí),所有向終端發(fā)動(dòng)的入侵都會被阻止,而且可以通過DBA的報(bào)告得到確認(rèn)。
- 用戶對Windows 10 Defender防火墻的修改會使終端容易受到某些攻擊的侵害,而這些攻擊所利用的正是應(yīng)用測試時(shí)所打開的端口。
- DBA的后續(xù)自動(dòng)化報(bào)告將顯示,由于員工之前所采取的行動(dòng),攻擊將不再受到阻礙。安全行動(dòng)團(tuán)隊(duì)可以利用該報(bào)告,通過CyberFlood DBA來采取必要的行動(dòng)。例如,可以直接向CyberFlood DBA發(fā)出事件通知,修復(fù)該員工所用的筆記本的安全狀態(tài),并在問題得到解決后重新運(yùn)行評估來確認(rèn)安全態(tài)勢是否符合預(yù)期。
