攻防實(shí)戰(zhàn)下，如何解決遠(yuǎn)程接入風(fēng)險(xiǎn)？

近年來，數(shù)字化轉(zhuǎn)型和疫情防控的剛需催生了遠(yuǎn)程辦公新常態(tài)，遠(yuǎn)程接入場景下業(yè)務(wù)系統(tǒng)暴露面不斷擴(kuò)大，而攻擊方式更加專業(yè)和系統(tǒng)化，我們不得不重新審視遠(yuǎn)程接入安全，將安全建設(shè)思路從“安全功能”向常態(tài)化“攻防對抗”轉(zhuǎn)變。

一、常態(tài)化攻防對抗下, 現(xiàn)有遠(yuǎn)程接入方式有哪些不足?

如果打通網(wǎng)絡(luò)，將業(yè)務(wù)系統(tǒng)直接發(fā)布到互聯(lián)網(wǎng)，安全風(fēng)險(xiǎn)極高，若通過防火墻等設(shè)備進(jìn)行源IP地址接入限制，運(yùn)維難度極大，因此，大部分單位采用VPN/SDP代理訪問方式，雖提高了業(yè)務(wù)系統(tǒng)的接入安全性，但在常態(tài)化的攻防對抗下，安全效果仍存在很多不足：

1. 不法分子冒用身份接入內(nèi)網(wǎng)。普通VPN/SDP通常僅支持雙因素認(rèn)證，無法識別和阻斷不法分子利用合法賬號進(jìn)行異常登錄的行為，如非常用地點(diǎn)登錄、賬號在新終端登錄等異常情形。

2. 終端威脅易擴(kuò)散至內(nèi)網(wǎng)。接入終端多種多樣，尤其是BYOD終端難以保障其安全性，若終端失陷便可以隨意借助普通VPN/SDP接入通道，對內(nèi)網(wǎng)進(jìn)行攻擊，難防護(hù)、難溯源。

3. 設(shè)備易成為攻擊對象。VPN/SDP屬于邊界入口產(chǎn)品，本身會暴露在互聯(lián)網(wǎng)，任何人均可以訪問，容易成為惡意攻擊對象。

不法分子突破邊界入侵內(nèi)網(wǎng)。傳統(tǒng)VPN/SDP產(chǎn)品對終端到設(shè)備的流量會進(jìn)行SSL加密，但不具備安全檢測能力，邊界被入侵后很難發(fā)現(xiàn)異常行為，導(dǎo)致不法分子突破邊界后，在內(nèi)網(wǎng)肆意破壞或竊取數(shù)據(jù)。

因此，作為關(guān)鍵邊界入口產(chǎn)品，VPN/SDP需要具備常態(tài)化攻防對抗的能力。

　　二、攻防實(shí)戰(zhàn)中，“零信任”安全如何構(gòu)筑防線?

針對實(shí)戰(zhàn)攻防常見場景，深信服提出了安全接入的“3+4”安全防護(hù)思路并應(yīng)用在零信任SDP產(chǎn)品上。“3+4”安全防護(hù)思路即：三道防線和四大閉環(huán)能力。用戶在終端上登錄賬號，通過SDP設(shè)備訪問業(yè)務(wù)系統(tǒng)，在這個過程中，賬號、終端、SDP設(shè)備是三大主要攻擊對象。

　　1.基于賬號、終端、設(shè)備構(gòu)建三道安全防線

① 確保賬號安全

很多企業(yè)賬號設(shè)置為工號、手機(jī)號、姓名拼音等，并且經(jīng)常多個系統(tǒng)采用相同的賬號，用戶經(jīng)常會將密碼設(shè)置為生日、手機(jī)號等簡單的組合。攻擊者很容易通過猜解、社工、釣魚、撞庫等多種手段獲取賬號信息，并通過弱口令爆破等方式破解密碼。

假設(shè)“賬號泄露難以避免”，基于攻防視角，深信服零信任aTrust從“多因素認(rèn)證+密碼安全防護(hù)+防爆破+行為安全(基于終端、地點(diǎn)、時間、訪問行為等)”多個方面來進(jìn)行防護(hù)，確保用戶身份的合法性。

② 提升終端安全

員工接入終端多種多樣，尤其大量員工采用BYOD終端訪問業(yè)務(wù)系統(tǒng)，終端可能存在操作系統(tǒng)補(bǔ)丁未及時更新、未安裝殺毒軟件、未開啟系統(tǒng)防火墻、被釣魚掛馬等情形，導(dǎo)致終端成為業(yè)務(wù)訪問中較為薄弱的一環(huán)，一旦終端失陷，攻擊者很容易橫向遷移，攻擊內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)。

假設(shè)“遠(yuǎn)程辦公的終端已經(jīng)失陷”，深信服零信任aTrust從攻防視角出發(fā)，從“基礎(chǔ)終端安全(準(zhǔn)入/桌管/殺毒等)+進(jìn)程安全+網(wǎng)絡(luò)隔離+終端數(shù)據(jù)防泄露”多個方面進(jìn)行保護(hù)，提升在業(yè)務(wù)訪問過程中終端的安全性。

③ 保障設(shè)備安全

業(yè)務(wù)系統(tǒng)被收縮到內(nèi)網(wǎng)后，攻擊難度增加，因此零信任SDP設(shè)備本身就成為遠(yuǎn)程接入場景被攻擊的主要目標(biāo)。攻擊者通常針對設(shè)備對外暴露的業(yè)務(wù)端口、運(yùn)維端口、中間件/框架漏洞、API接口、邏輯越權(quán)漏洞、認(rèn)證繞過漏洞，甚至是對設(shè)備源碼分析等方式進(jìn)行攻擊。

假設(shè)“攻防演練中設(shè)備一定會被攻擊”，基于攻防視角，深信服零信任aTrust從以下多個方面來提升，全方位保障設(shè)備安全。

2.基于加固、運(yùn)營、溯源、補(bǔ)丁更新構(gòu)建四大閉環(huán)

除了加強(qiáng)接入過程的防護(hù)以外，深信服零信任aTrust還提供了“加固、運(yùn)營、溯源和補(bǔ)丁更新”四大閉環(huán)能力，能夠針對攻擊鏈，在事前進(jìn)行安全加固、在事中持續(xù)進(jìn)行檢測響應(yīng)、在事后進(jìn)行溯源，并針對遇到的問題快速進(jìn)行補(bǔ)丁修復(fù)，這樣才能真正做好有效防御，構(gòu)建攻防對抗中的安全防護(hù)閉環(huán)。

年度網(wǎng)絡(luò)攻防實(shí)戰(zhàn)即將到來，守護(hù)好安全的最后一公里，是各政企事業(yè)單位及組織的防御之道。深信服助力企業(yè)網(wǎng)絡(luò)安全體系向零信任架構(gòu)遷移，以更安全、體驗(yàn)更好、適應(yīng)性更強(qiáng)的遠(yuǎn)程辦公網(wǎng)絡(luò)，增強(qiáng)企業(yè)在實(shí)戰(zhàn)中的攻防對抗能力。

目前，深信服零信任在金融、運(yùn)營商、互聯(lián)網(wǎng)企業(yè)、教育、政府科研等各行各業(yè)落地實(shí)施，服務(wù)上千家客戶，其輕量級、易落地、高安全性的優(yōu)勢受到越來越多的用戶認(rèn)可。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）