在之前的文章中,深信服提出,零信任不止于遠程辦公,應逐步向更廣泛的場景進發,詮釋安全接入的全新范式。
在幫助用戶向更廣泛的應用場景進發過程中,我們識別到零信任還面臨兩大挑戰:
挑戰一:零信任SDP無法緩解人的脆弱性帶來的安全風險。
挑戰二:零信任SDP所設想的最小權限過于理想,落地障礙巨大。
對此,深信服不禁思考:我們需要的是一款怎樣的零信任SDP產品?
一張太極八卦圖,可以很好描述我們的啟發性思考。
浩瀚宇宙間,一切事物和現象都包含著陰和陽,相反相成,缺一不可。
實戰攻防中,黑白并舉,攻守兼備,方能謂之業務安全接入防護之“道”。
用戶真正需要的零信任SDP產品,除了具備體系化與縱深化的被動防御能力,還應該擴展主動防御能力。而這兩種能力,需要以超前穩定的底層架構內核能力為支撐。
由此,深信服在業界率先推出零信任全新能力X-SDP——集“被動防御+主動防御”于一身,擴展升級傳統SDP架構,創新融合“鑒白”“鑒黑”邏輯,實現零信任SDP產品的又一大能力跨越,助力用戶安全領先一步。
01
三道防線 層層守護
——體系化與縱深化的被動防御能力
從攻防對抗視角看,當SDP構建起業務防護邊界,攻擊者一般只能從SDP賬號、SDP終端和暴露在外網的SDP設備入手。
攻擊者需要突破這三道防線,才能攻擊受保護業務系統。
基于此,深信服零信任圍繞“賬號、終端、設備”體系化建設,深挖戰壕,構建層層縱深防護的三道安全防線。
第一道:設備安全防線
SDP設備的自身安全是業務訪問安全的基石。
在設備被攻破前,深信服零信任提供SPA單包授權、RASP自防護、防中間人攻擊的三道子防線。即使在極端情況下,設備被攻破,深信服零信任也可以提供、HIPS防護、安全內核的兩道子防線,層層守護設備自身安全性。
其中,深信服持續引領SPA單包授權技術的發展和創新,率先推出第四代SPA“一次一碼”,完美規避以往安全碼泄露、冒用等潛在風險。
第二道:賬號安全防線
基于攻擊視角,深信服零信任賬號安全防線可以分為兩個階段:
在賬號登錄前,需經首次認證、終端認證、準入檢查、多因素認證、增強認證,五道認證機制,層層審核。
在賬號登錄后,通過權限鑒權、動態權限訪問控制,告別以往“非黑即白”的粗放式管理,形成精細化管控。
第三道:終端安全防線
假設終端已經失陷的情況下,深信服零信任終端安全防線可通過基線核查、進程安全、網絡隔離、終端數據防泄漏、權限鑒權、動態權限訪問控制,有效防止攻擊者通過已失陷終端作為跳板攻擊業務系統。
深信服零信任提供驅動級終端網絡隔離能力,支持10+終端基線檢查,在“辦公不上網,上網不辦公”的場景,用戶連接辦公網則自動斷開互聯網等不安全網絡,有效防止終端遠控。
02
零誤報鑒黑 秒速自阻斷
——可擴展的主動防御能力
零信任SDP是對傳統邊界安全機制的升級,在解決傳統邊界模糊、不可控的問題時,隨著社工釣魚、遠控內部終端等攻擊手法愈發常見,仍然面臨著利用人員的習慣性疏忽進行攻擊、最小化權限過于理想以致難以落地等挑戰。
為了逆轉實戰中攻防不對等的局面,零信任SDP需要進一步演化升級,向協同式的“被動防御+主動防御”進行轉變,切實兌現業務安全接入的承諾。
深信服零信任X-SDP創新擴展主動防御能力,通過威脅誘捕和安全雷達兩大核心能力,持續強化和升級主動防御和主動預警的能力,實現原生零誤報鑒黑、秒速自阻斷。
威脅誘捕——請君入甕 手到擒來
當終端被攻陷,攻擊者需要通過失陷終端查找網絡路由DNS、翻找瀏覽器記錄和磁盤敏感文件、訪問業務應用等方式進行掃描偵察。
零信任X-SDP通過主動部署終端多維誘餌、應用誘餌,以及獨創的原生無交互蜜罐,推送終端文件、瀏覽器記錄、網絡路由等多種類型的信息類誘餌,引導潛入終端的攻擊者暴露攻擊行為,快速精準發現終端釣魚、帳號泄露等事件,實時阻斷攻擊通路,快速回溯攻擊路徑。
并且,這種信息類誘餌類似于在終端放置一張“紙條”,推送后不占用終端CPU和內存資源,實現部署零消耗,向攻擊者反向釣魚,實現精準鑒黑。
安全雷達——順藤摸瓜 一網打盡
安全雷達可細分為行為洞察、實體調查和防線可視三個子能力,實現零信任訪問體系內的全鏈路行為追蹤洞察、用戶實體AI智能風險預警、防線縱深流量可視,完成事前預警、事中運營處置、事后溯源閉環。
1.全鏈路行為追蹤洞察
基于完整的賬號/終端/進程信息,通過會話跟蹤技術串聯日志上文,快速還原事件的完整登錄及訪問行為路徑,對事件進行定性分析,并通過關聯分析,對明確的攻擊以點帶面、以面及網,順藤摸瓜,所有潛在威脅一網打盡。
2.用戶實體AI智能風險預警
依托全身份化的訪問記錄,利用AI智能分析引擎,對關鍵實體(賬號、IP、終端)進行深入調查分析和風險評級,高危實體及時預警,高效支撐事中運營處置。
3.防線縱深流量可視
以桑吉圖可視化的形式,展示端到端全流程用戶訪問應用過程,通過設備/賬號/終端三道防線及15+子防線的的流量分布和流向,幫助安全管理員全方位、實時掌握安全態勢。
03
穩穩承載單用戶超百萬并發
——超前穩定的底層架構內核能力
能力持續演進的背后,離不開超前穩定的底層架構內核能力。
作為支撐業務安全訪問的設施,深信服零信任潛心打磨數十載,以高性能隧道傳輸技術X-Tunnel和自研分布式高可靠架構X-Performance,為X-SDP提供超前穩定的底層內核支撐,穩穩承載單用戶超百萬并發,兩倍超壓下業務成功率高達90%。
深信服零信任X-SDP,被動防御+主動防御一體化新能力,正如太極陰陽兩儀,既矛盾對立,又交融統一,兩者缺一不可,是實戰場景中攻防兼備的「制勝法寶」。
在今年的實戰攻防演練中,我們有不少金融、能源等各行業用戶進行了升級試用,X-SDP的效果得以驗證并持續優化,也歡迎更多新老朋友成為X-SDP體驗官,攜手共創。
