在全民抗疫的大环境下,多数企业都采取了远程办公的工作模式。而在工作模式转变的过程中,远程办公业务场景下的整体安全防护工作也面临大量新的威胁挑战,其中最突出的问题在于:
1、远程办公环境下主机不可控、接入条件不可控、使用者不可控,如何保证系统和数据的安全?
2、大量远程办公设备接入内网以及差异化的业务系统访问需求,如何减小连带的安全风险和横向移动?
3、企业内网出现安全威胁,应急响应工程师无法抵达现场该如何进行远程应急响应处置?
在此背景下,安天集团迅速整合端点防护、安全监测、安全可视化等产品部门,以旗下安天移动安全智信零信任应用安全交付系统产品为主干,迅速完善远程办公安全整体解决方案。从构建便捷安全的接入与管控能力、保障安全可靠的接入环境、增强内网监测管控能力、建立安全响应第二通道等维度出发,以零信任架构为基础,为企业远程办公业务场景提供全过程、高安全、便捷可靠的综合安全解决方案,协助客户实现远程办公主机本地环境的安全加固与防护,构建零信任的虚拟安全边界、统一身份认证和动态的访问策略管控能力,增强内网安全监测管控与远程响应处置能力。
01 方案架构
图1:方案架构图
安天远程办公综合解决方案以零信任架构为基础,协助客户重构虚拟安全边界,并提供更加安全的应用访问环境和内网安全监测与远程安全响应措施。方案由零信任应用安全交付、终端安全防护、内网安全监测、远程应急响应和定制可视化指挥舱等部分组成,为政企机构远程办公业务场景的接入使用、安全管理、安全监测、安全处置、安全决策提供全方位安全能力支撑。
●为远程接入用户提供多维安全防护的终端环境,保障安全的远程办公环境;
●为企业内网及业务系统提供统一身份、多因子认证、单点登录和链路透明加解密等措施,保障应用访问入口安全;
●为企业安全管理者提供基于身份、状态、行为、内容的零信任策略手段,构建应用访问控制策略的动态管控能力;
●为企业安全管理者提供深度威胁检测和分析措施,增强内网安全监测管控与高级威胁发现能力;
●为企业安全处置人员提供远程应急响应、威胁检测、分析、处置、取证等配套工具,构建远程应急处置通道;
●为企业管理者提供员工行为画像、信誉评估等整体安全态势,按需打造可视化指挥舱支撑企业安全决策。
02 零信任应用安全访问
为解决远程办公员工异构终端的内网接入和远程接入的便利性及安全性等问题,安天移动安全公司推出智信系列产品。基于智信零信任应用安全交付系统,在零信任安全架构基础上协助客户构建企业动态虚拟安全边界,为企业提供安全可靠的应用访问环境。通过统一身份认证、单点登录、链路透明加解密为企业提供应用统一安全入口,相比传统VPN更加安全便捷;通过web应用移动化、终端环境检测助力企业低成本构建安全移动办公环境;通过基于身份、状态、行为、内容的零信任策略,保障应用访问安全性;基于数字水印、文档不落地、邮件代理等技术保障企业数据资产全生命周期安全。
图2:智信零信任应用安全交付系统
安天智信零信任应用安全交付系统包括智信安全工作空间、智信应用安全交付网关、零信任策略优化平台三个部分。
【智信安全工作空间】
智信安全工作空间适用于具有Web应用的企业,通过智信安全工作空间,用户可在PC或手机上登录公司Web应用。针对已有移动App的企业,通过集成智信SDK即可实现多个App单点登录和全面的移动终端安全防护。
图3:智信安全工作空间
【智信应用安全交付网关】
安天智信应用安全交付网关,可对企业Web应用或App接口进行代理,通过统一身份认证,结合动态策略来调整员工访问应用的权限,保障应用访问的安全性,防止非授权应用访问内网、非授权用户访问内部应用和数据。
图4:智信应用安全交付网关
【零信任策略优化平台】
零信任策略优化平台收集终端和网关侧的数据,对企业资产情况,如应用、文件下载、文件分享、邮件附件的安全情况进行感知,对人员身份数据,如访问记录等进行统计和分析;基于机器学习算法动态分析用户的行为,及时动态调整异常判断策略,并根据动态策略分析出用户异常行为作为报告和数据可视化展示,保障企业的安全态势并为企业提供决策建议。
03 远程终端环境安全
在大面机远程办公条件下,员工配发的便携机长时间暴露在互联网之上,更存在部分员工需要使用个人电脑,甚至家庭公用电脑办公的需求。面对远程办公环境下主机不可控、接入条件不可控、使用者不可控的难题。
针对PC远程办公终端,安天快速定制了智甲终端防御系统SOHO版。智甲终端防御系统内置安天自主研发的下一代威胁检测引擎,基于黑白双控模式,为非受控的远程办公主机提供恶意代码检测与查杀、安全加固、补丁升级、主防策略配置、主机防火墙、应用程序网络访问管控、U盘和外设管控等安全防护能力,切实保障本地环境安全。
图6:安天智甲终端防御系统客户端主界面
●终端加固——有效提高客户办公环境的威胁对抗能力
智甲通过内核级主防驱动执行安全策略,对终端运行状态进行约束,通过建立程序白名单、服务白名单、网络白名单、启动项白名单等多种策略,有效阻止终端非授信程序对本地数据的访问和修改。此外,产品还能限制外设使用、蓝牙、网络共享等操作,以此降低数据外泄以及遭受病毒入侵的可能。同时,智甲参考STIG配置标准制定默认安全策略模板,最大化发挥系统自身内置安全能力。
●主机防火墙——有效防护各类网络威胁
智甲内置主机防火墙,对主机流量进行双向过滤,有效拦截各种完了过扫描、嗅探攻击,对终端各程序的网络访问进行检测,一旦发现连接恶意地址,自动阻断并告警。网络管理员可以制定接入网络白名单机制,如进行VPN连接时,可以阻断其它未知网络连接,只允许确定性的程序访问内网资源等等。
●恶意代码防护——有效防护各类已知和未知病毒
智甲内置安天下一代威胁检测引擎,可有效对各类病毒、蠕虫、木马、感染式病毒进行查杀,针对格式溢出、签名伪造等APT攻击载荷能力突出。针对勒索病毒,智甲能够通过智能行为检测、程序身份识别等多种方式对各类勒索病毒进行动态防护。
针对移动智能办公终端,安天移动安全公司推出了智信APP,构建了移动端安全工作空间,在提供统一安全访问入口的同时,充分发挥安天移动安全领域的优势能力,为移动终端提供恶意代码检测、Wi-Fi热点检测、短信/二维码 URL检测、数据泄露/间谍软件检测等方面的安全防护能力。
图7:智信APP安全检测模块
04 增强内网威胁监测
远程办公员工的大量内网接入和业务系统交互需求,加大了安全威胁的内网传播、横向移动和遭受高级威胁攻击的风险,针对内网的安全监测管控,安天基于探海威胁检测系统和追影威胁分析系统组合联动,为客户提供基于网络流量深包检测和文件动静态深度分析的能力,帮助客户快速精准的发现内网安全威胁,增强高级威胁发现能力。
图8:探海追影协同联动
●多层次多维度检测,提升威胁发现能力从包、流、会话、协议元数据、网络行为、文件、文件行为等多个层次对采集的数据进行检测,发现处于不同攻击阶段的威胁活动。
●丰富的协议解析及全要素留存,支撑威胁追溯能力对常见协议进行识别与细粒度解析,采集网络元数据、应用层传输要素、载荷行为要素、威胁判定要素以及内置大量知识化标签和自定义标签等要素信息,并进行全要素的留存,为后续威胁分析溯源提供全面的数据支撑。
●场景化规则能力,构建攻击者难以预知的检测策略用户可基于探海留存的全要素记录,依据自身的流量情况、网络业务、安全目标等场景特点,通过组合不同的要素对象,自定义场景检测规则,形成不同客户、不同部署场景下检测能力的针对性和差异性,增加攻击者绕过成本,提升对高级威胁的检测能力。
●动静态综合分析,有效检出高级威胁追影采用静态、动态结合的分析手段,内置多种分析鉴定器,配合独有的智能学习功能,可主动发现未知威胁,有效检测未知漏洞利用、免杀木马、商业军火、A2PT组织的专用木马等。
●细粒度向量拆解,支撑威胁情报生产追影可以提取超过3000种细粒度的向量特征,这些分析数据可用于揭示恶意代码的威胁行为和线索,为威胁检测产品持续提供弹药,并为后续分析提供数据支撑。
05 安全响应第二通道
安天拓痕应急处置工具能够为客户提供远程协助。远程协助工具为软硬件结合设备,由专用远程硬件设备、远程协助服务器、专家端软件程序三者组成立体化远程安全协助体系。企业安全专家团队可通过第二通道远程操作已断网并疑似失陷的目标主机,且无需为主机安装任何应用。远程专家和现场人员协同处置既降低了现场人员的技能要求,又极大的提高了应急事件的处置效率及处理能力,可第一时间对隐患进行排查并实施缓解措施,有效遏制因威胁事件的迅速扩散给客户带来损失扩大等问题。
图9:远程响应处置示意
拓痕工具箱长期作为安天工程师的处置装备,并列装国家相关部门。产品组件融合了安天在安全监测与处置、流量安全分析、恶意代码行为分析及应急响应积累的技术和能力,有效支撑应急响应处置,提升威胁猎杀的效果。
●全自动检测处置
提供一键自动检查,基于安天反病毒引擎和内核级处置模块的恶意代码查杀处置机制,形成有效对抗恶意代码的自我保护机制。
●人工辅助检测处置
拓痕处置工具建立处置现场与后方专家团队的技术通道,专业指导运维人员展开应急处置工作,保障业务系统稳定运行。
06 定制可视化指挥舱
疫情期间,各单位面临着一面抓防疫,一面渐进有序复工生产的压力,同时又要兼顾网络安全威胁。安天编写的“机构人员分布和返程分析工具”,在帮助各单位梳理员工的健康情况和节后返岗情况、帮助各单位安排好人员返程和开工工作等方面,为机构客户的整体指挥决策提供了较好的参考和辅助作业,获得广泛好评。
图10:机构人员分布和返程分析
从政企机构远程办公安全综合防护的角度出发,安天可基于客户场景和个性化需求,将远程办公的员工情况、远程办公的安全情况等结合起来,为客户定制“可视化指挥舱”,协助客户掌控远程办公安全态势,并充分复用传统IT运维决策基础设施(可视化大屏等),形成特殊时期的整体指挥舱。
图11:企业远程办公用户安全态势
07 特点优势
●20年威胁检测与防护能力
安天拥有自主领先的威胁监测分析能力,在PC场景和移动场景威胁检测与防护能力有长期积累,在主机安全检查与加固、主动防御和Wi-Fi安全、短信安全、扫码安全、数据隐私安全等方面能力基础深厚。
●多场景动态策略管控基于零信任安全架构,提供基于用户身份、行为、内容、环境的动态安全访问控制策略,内置多种安全策略模型,可基于场景需要灵活配置和选择。
●多端协同保障数据安全覆盖“访问、交互、传输、存储”立体化数据安全防护,基于国密算法的链路加密,拥有终端防截屏、防复制粘贴、基于身份的透明水印、文档不落地浏览等功能;以及终端手机数据加密,关键数据使用白盒密钥加密,服务端数据存储加密等功能。
●高效率远程响应处置通过远程协助工具建立起处置现场与远程专家团队的技术通道,高效实现技术能力的最大输出。
●灵活交付快捷上线灵活的交付模式适合不同的部署场景,不影响现有网络结构,支持多种认证方式,无改造单点登录,一键生成移动端应用,PC环境良好适配低占用。
08 客户支持
全国服务热线:400-840-9234
售后支持邮箱:[email protected]
来源:freebuf.com 2020-02-27 11:02:44 by: antiylab
请登录后发表评论
注册