长扬零信任身份安全解决方案在重保中的实践

当前，我国云计算、移动互联网、物联网、人工智能等技术快速普及运用，IT 环境呈现多样化趋势，也带来了更多的新型安全风险。同时，随着数字化转型不断加速，新兴技术与创新业务不断打破企业原有安全边界，企业信息安全面临着前所未有的挑战。

一、企业防护中遇到的问题

1. 外网突破口较多

企业入口存在较多的安全隐患：Web及其组件漏洞、邮件系统安全认证缺陷、组件漏洞、HTTP/HTTPS/SSH/FTP等服务漏洞、应用系统及其组件的设计缺陷和配置缺陷等。

2. 攻击手段层出不穷，边界防线易于突破

近年来攻击手段不断提升，0day漏洞、免杀技术、钓鱼邮件等成为演练中的“常客”，导致尽管边界重兵把守，攻击者仍然可以进入内网。而目前多数用户数据中心内部未进行较细的安全域划分，以及没有充分的访问控制手段，一旦进入内网，攻击者即可自由地横移和渗透，很难被发现和被阻止。                        

3. 低级别资产到高级别资产的横移

从内网安全事件来看，由于未将重要资产及次要资产进行合理划分，内部安全存在两大“短板”：一是各地分支机构被入侵后往往可直接攻击总部，二是一台边缘系统被入侵后，可做为跳板攻击一个区域其它主机甚至攻击核心业务系统。

4. 内部攻击面过大

内部服务器存在较多无用端口开放（Windows默认开放端口、开发不规范等）、内部较大的安全域划分以及网段式的访问控制策略，均导致了内部攻击面过大。

二、重保新思路，查隐患、藏系统

长扬零信任身份安全解决方案以零信任安全理念出发，从暴露面检测、边界安全、可信身份认证、生产网防御等维度展开全方位防护，对企业内、外部的所有访问重新进行信任评估和动态访问控制，针对所有访问企业资源的请求，进行认证、授权和加密，对用户和使用设备进行全面验证，同时可以对每一次访问请求进行实时的风险评估。

长扬零信任身份安全解决方案基于零信任安全理念，提供事前查隐患、事中隐身防护、事后总结的场景化全流程业务安全防护。

1.  全网资产洞悉，掌握资产台账

在进行重保防护之前，首先要做的是对企业的网络设备及资产进行盘查，统计全量资产数据，同时对资产中存在哪些风险、漏洞进行排查，进而对关键资产流量进行监控及防护。通过长扬科技的工业互联网测绘平台，可实现网络设备无损、快速扫描，扫描过程中进行探测设备端口存活状态、判别服务类型、识别设备型号、发现漏洞版本等流程，以达到对互联网、生产网暴露的资产进行风险排查的目的。

a)  互联网和生产网暴露面梳理

图1：暴露面梳理流程

b)  长扬工业互联网测绘平台高效资产梳理利器

图2：测绘平台产品特性

c)  易操作，覆盖面广

图3：测绘平台检测范围

2.  藏系统，非可见不攻击

无法攻击看不见的东西。在攻防过程中，长扬零信任访问控制系统， 隐藏代理的业务系统。在网络中，客户的业务系统无法被探测到，从而减小了攻击面。

a)  业务系统无法被攻击

核心业务系统网络隐身

基于用户的业务系统授权控制

网络通信安全防护

持续风险评估

动态访问控制

b)  重新定义新边界

我司零信任相关产品体系包括零信任访问控制系统、零信任应用安全网关、零信任安全客户端、零信任安全连接器，通过网络隐身、不断验证访问的安全性、身份验证和授权来最大程度地减少被攻击的可能性。

图4：业务系统网络隐身

c)  方案优势

基于软件定义边界构建的应用安全网关，实现对业务系统的网络隐藏

全向防攻击，防恶意探测和恶意攻击

针对管理和运维用的特权账号，强化安全监管，如运维终端专用、双因子认证、特权会话时长管理、异常账号分析等

持续信任评估，终端感知、网络感知和威胁情报实时分析

动态访问控制，智能决策研判，动态安全策略调整

高可靠、高稳定、高性能

图5：网络部署图

三、零信任技术在重保实战中效果

1、反信息收集

利用零信任SDP隐身网关、提高账号安全、弱密码扫描、API网关黑白名单减少暴露面，导致暴露面越少越难受到攻击，对攻击方来说越难攻击。

2、防止边界越权、进行反渗透

利用零信任SPA单包授权、SDP网关应用代理访问、双因素认证、服务之间微隔离、IAM异常登录行为分析进行边界划分，进行权限获取，防止越权访问等操作。

3、权限提升及时发现

基于上下文的动态自适应认证策略，对异常行为进行分析，进行微隔离+异常连接可视化展示，对异常权限管控。

4、构建加密隧道

对企业内数据交互进行加密隧道数据保护，防止流量管控、劫持，同时也对内网建立的异常加密隧道进行权限管控，阻止异常加密隧道蔓延到内网。

5、持续权限维持

权限维持也是后渗透的持续工作，边界权限、后门的维持是对数据的持久保护，永不松懈。

6、内网渗透、层层限制

对关键服务端口、密码权限认证、信息收集、典型漏洞等内容重点关注，进行防御，防止攻击方对敏感端口、敏感服务重点发起攻击，保护重要资产运行正常不受干扰。

7、痕迹留存保存证据

有效阻止攻击方对攻击行为进行痕迹擦除，保存访问痕迹、访问记录、异常操作均记录日志，有效留存历史记录。

四、小结

在重保工作完成后，长扬科技帮助用户进行全面复盘分析。

通过工业互联网测绘平台帮助客户建立资产台账，摸清安全隐患；通过零信任访问控制系统，帮助客户隐藏核心业务系统，实现重保期间不断网，保障客户业务的安全、连续访问。