GTI廣州科宸(點擊觀看原文)
大家早上好�。
5月15日,在國新辦新聞發(fā)布會上����,4月主要經濟數(shù)據(jù)出爐。國家統(tǒng)計局新聞發(fā)言人劉愛華表示,“4月份總體經濟延續(xù)了3月份以來恢復改善的勢頭���,主要指標呈現(xiàn)積極變化��,轉型升級態(tài)勢持續(xù)�。”工業(yè)生產逐步恢復����,服務業(yè)降幅收窄���,其中高技術制造業(yè)增加值同比增長10.5%��,增速比上月加快1.6個百分點�����。
高技術行業(yè)是離不開人才辛勤的勞動���。我看到身邊和周圍的技術大咖們一邊抗疫,一邊堅持工作崗位迎難而上���,為各自所屬行業(yè)的數(shù)字化經濟轉型升級添磚加瓦,展示著自己的聰明才智�����。我在這里給您們加油和點贊�����!
突如其來的疫情�,并不能阻擋各行業(yè)所進行的數(shù)字化轉型趨勢���。伴隨當前“大佬+網(wǎng)紅”直播帶貨的興起���,數(shù)字經濟正在蓬勃發(fā)展。在未來滾滾商業(yè)數(shù)字化潮流中��,誰能做到跑得更快和管理好風險��,就能占據(jù)領先的地位���。
最近2-3個月我身邊的交通央企���、芯片設計國企�����、保險金融的大咖朋友們����,非常忙碌和辛苦��,因為他們參與了2020年的護網(wǎng)行動��。他們正在為各自的企業(yè)和組織保駕護航和爭取榮譽,管理著數(shù)字化快速轉型旅程中所遇到的風險,發(fā)揮著關鍵性的作用���。他們既是專業(yè)的“背鍋俠”,又是企業(yè)組織的中堅力量�����,義無反顧地承擔著義務和責任�。他們所流露出來的責任和擔當讓我感動,激勵著我與我們的團隊與他們一起前行�,倍感榮耀。
護網(wǎng)行動下個月(正式護網(wǎng)階段)即將開始����。分享一下我們團隊的觀察和踐行(自查整改階段)。這里歸納總結主要是我們所接觸和經歷到的�,鑒于水平和能力之限�����,不足和遺漏之處在所難免����,望指正。
觀察:
-
員工(全員)簽署責任書
-
落實責任人
-
定位 - 中�����、上游
-
自我安全評估
踐行:
-
雙因素認證 - 多場景
-
安全態(tài)勢感知平臺
-
Tie2 - 異構防火墻
希望對明年要參與護網(wǎng)行動的新�����、老朋友有所幫助����,同時也對老朋友表達感激之情�����。有困難我們一起抗�����,堅決地與大家攜手應對�,共克時艱。
向逆向而行、堅守崗位�����、
如疫情的聯(lián)防聯(lián)控�����,需要人人參與一樣�����,搞好企業(yè)組織的網(wǎng)絡安全是需要全體員工的積極參與�。譬如釣魚郵件,真的是需要員工具備一定安全意識不能隨意點擊��。再如公司重要應用系統(tǒng)的密碼真的是需要好好的保護起來��,以及在固定周期內進行變更�。所以普遍參與護網(wǎng)行動的企業(yè)都采取全員線上簽署網(wǎng)絡安全責任書的措施進行安全意識教育��,引起全員的重視���,并提供了非常便利的參與工具����。
壓實網(wǎng)絡安全主體責任�,提升重點單位的安全防護水平是護網(wǎng)行動的目的���。幾乎所有企業(yè)組織都是堅持“誰主管誰負責��,誰運營誰負責��,誰被突破誰擔責”的責任分工和賞罰原則�����,明確護網(wǎng)結果納入年度信息化考核。
-
作戰(zhàn)指揮部 - 建立護網(wǎng)行動專項小組
- 設立:溯源分析組���,應急處置組����,業(yè)務組,監(jiān)測預警組���,保障組��,報告組���,等
- 三個保障:組織保障、資金及場地保障�����、技術保障
護網(wǎng)完畢后公安部會在總結材料中通報部分網(wǎng)絡安全工作開展不力�����,護網(wǎng)效果不好的單位,并呈上級領導批閱示���。企業(yè)組織的各級領導對此次行動重視程度很高�����,所以信息化和網(wǎng)絡安全部門壓力和責任是巨大的。
工作目標:確保所選定參演目標系統(tǒng)的安全性,避免發(fā)生大范圍攻陷情況���,確保公司在行業(yè)內處于較好水平�����,處于中�、上游水平����。同時借助這次行動的契機,提升網(wǎng)絡安全的防護水平���,在未來數(shù)字化轉型升級的旅程中管理好風險��。
參與護網(wǎng)行動的企業(yè)組織采用了如下策略進行自我安全評估:
-
敏感信息梳理
- 收斂供給面
- 資產脆弱性檢測與加固
- 網(wǎng)絡縱深防御
- 安全防護覆蓋面及有效性驗證
- 集權系統(tǒng)重點防護
- 安全培訓
普遍的共性結論是當前在互聯(lián)網(wǎng)出口集中防護、數(shù)據(jù)中心安全域改造和態(tài)勢感知�、多場景的雙因素認證、保障團隊規(guī)模等當面仍存在短板����。有幸我們的安全團隊參與三個安全整改項目的實踐��。
- 雙因素認證 - 多場景
- 安全態(tài)勢感知平臺
- Tie2 - 異構防火墻
客戶現(xiàn)有信息化系統(tǒng)是經過多年不斷演變而來,歷史遺留問題一定存在�。單個重要場景雙因素認證是急需實施安全整改,但是內部還存在多個場景需要統(tǒng)一覆蓋����,具體挑戰(zhàn)如下:
挑戰(zhàn)��、痛點:
-
VPN接入(Palo Alto�,深信服)�����、虛擬化應用/桌面(Citrix VA/VD��,Citrix Gateway)�、等����;
- OWA���、Office365(中國和國際版)�����、郵件系統(tǒng)�����、SSO���、等;
- WiFi�、有線網(wǎng)絡接入��、等�;
- 私有云基礎設施:堡壘機(齊治)����、虛擬化(vCenter)、交換機(Cisco)���、等���;
- 公有云Azure基礎設施:Azure AD�����、管理Portal�����、等���;
- 注重使用的體驗,保持原有使用習慣��。
業(yè)務系統(tǒng)眾多���,但帳號源各異共存����,缺乏統(tǒng)一加強對帳號安全保護的方式����。經過實踐���,我們網(wǎng)絡安全團隊針對該需求推薦了寧盾的解決方案����。
通過雙因素認證以及單點登錄方案為多套應用系統(tǒng)提供統(tǒng)一入口�����,在業(yè)務系統(tǒng)����、應用、網(wǎng)絡設備等現(xiàn)有帳號密碼認證基礎增加一層動態(tài)密碼保護����,是目前解決該痛點理想方案�。
經過我們團隊的PoC驗證,我們幫助解決了如下客戶難題:
- 虛擬化應用/桌面(Citrix VA/VD�����,Citrix Gateway);
- VPN接入(Palo Alto GP����,深信服)�����;
- OWA����、Office365(中國和國際版)��;
- 公有云Azure基礎設施:Azure AD�、管理Portal;
-
私有云基礎設施:堡壘機(齊治)����、虛擬化(vCenter)、交換機(Cisco)����、等����;
-
通過自動化和集中管理����,大幅提高管理效率和成本效益�;
- 短信�、生物識別��、企業(yè)微信/釘釘H5�����、掃一掃�����、手機App��、手機App推送�。
實踐:
使用 Azure MFA 作為 Citrix ADC 的認證方法 - Azure NPS 擴展作為 NetScaler 的 RADIUS 服務:
當前�����,權威部門舉辦的COVID19疫情防控新聞發(fā)布會��,在及時通報疫情進展�����、解讀政策條例�、回應群眾關切、科普辟謠�����、科學防控���、穩(wěn)定民心�、提振信心等方面發(fā)揮了重要作用�。網(wǎng)絡安全態(tài)勢感知平臺與疫情防控新聞發(fā)布會有很多異曲同工之處,所以幾乎所有參加護網(wǎng)行動單位在集團都建立了全局安全態(tài)勢感知平臺��,全面覆蓋下屬二��、三��、四級單位�����。但是,在運營實踐后也遇到如下挑戰(zhàn):
挑戰(zhàn)���、痛點:
-
集團下屬單位反饋安全告警事件數(shù)量(成千上萬)過多���;
-
安全事件的準確性不高��,誤報率高��;
-
安全事件的調查需要的天數(shù)(4-5天)過多���;
-
孤立的工具,復雜且手動任務耗時過長���;
-
僅能提供監(jiān)控�����,不支持聯(lián)動和阻斷威脅的功能�����;
-
自動化響應幾乎沒有����,完全靠人工手動;
-
對于現(xiàn)有基礎架構團隊的技能要求過高���;
-
缺少低門檻的安全運維平臺�����;
-
給實際網(wǎng)絡責任人提供合適的工具�����。
應對、方案:
鑒于以上痛點�����,下屬單位會再部署一套Tie2 異構的安全態(tài)勢平臺���,主要目的是能夠充分運用本單位現(xiàn)有基礎架構隊伍人力資源����,盡可能覆蓋當前所遇到的挑戰(zhàn)���。
GTI網(wǎng)絡安全團隊所踐行的解決方案為Palo Alto Cortex 2.0�����。通過統(tǒng)一網(wǎng)絡����、端點和云數(shù)據(jù)找到并阻止隱蔽性攻擊���,平臺擴展的檢測和響應功能幫助用戶的團隊排除干擾,專注于應對真實威脅����。其優(yōu)點如下:
-
利用分析檢測高級攻擊:通過 AI、行為分析和自定義檢測發(fā)現(xiàn)威脅�;
-
警報頻率降低 50 倍:顛覆傳統(tǒng)的統(tǒng)一事件引擎可以將相關警報進行智能分組����,避免產生警報疲勞;
-
調查速度提高 8 倍:利用根本原因分析全面掌握攻擊情況���,快速驗證威脅�;
-
阻止攻擊的同時不降低性能:使用輕量級代理可獲得最有效的端點防護�����;
-
最大化投資回報率:使用現(xiàn)有基礎架構進行數(shù)據(jù)收集和控制����,將成本降低44%。
在 MITRE ATT&CK™ 評估的第二輪中�����,Cortex XDR再次受到考驗���,這一次是針對被稱為APT29 aka Cozy Bear 或者 The Dukes 的威脅組織所使用的戰(zhàn)術和技術,該組織以其隱蔽�、復雜和高度定制的攻擊而聞名。評估涉及兩個完整的攻擊場景�����,利用 MITRE ATT&CK™ 框架中的58種獨特技術�。在這次評估中�,沒有其他供應商比Cortex XDR更能實現(xiàn)更高的攻擊技術覆蓋率����,因為Cortex XDR管理的威脅搜索服務將自動產品檢測和濃縮功能強大地結合在一起��。(如下圖)
https://blog.paloaltonetworks.com/2020/04/cortex-mitre/
該態(tài)勢感知平臺可以嚴絲合縫地變化為安全運營平臺�。依賴于三個基礎產品:端點安全�、下一代防火墻、態(tài)勢感知���。最大的特點在于三個產品之間能夠完成無縫地聯(lián)動�����、隔離、阻斷的功能�,成為一套適用于日常使用的安全運營管控平臺。(如下圖)
打個比方����,為控制疫情的大面積爆發(fā)����,就是嚴格的執(zhí)行了所有交通對人流的檢測和控制(網(wǎng)絡���,Palo Alto和Check Point、Fortinet��、Cisco FW)��,所有社區(qū)內部對人流的檢測控制(端點 Traps)���,這兩者的信息檢測和控制數(shù)據(jù)匯總到了大數(shù)據(jù)平臺(Cortex XDR),很好的實現(xiàn)了數(shù)據(jù)的多樣性和完整性���,從而才能分析出專業(yè)可靠的結論��,為人員的疫情控制策略發(fā)布(威脅處置)提供了重要決策依據(jù)�����。重點再重復一次���,該安全運營平臺具備了隔離、阻斷的能力�����。
實踐:
經過實踐后客戶一致把建設安全運營平臺設為目標,根據(jù)自身具體情況分階段來建設��。除了向客戶提供 Palo Alto 安全運營平臺外��,我們網(wǎng)絡安全團隊可為客戶交付如下安全管理服務���。
-
全年全天候監(jiān)控和警報管理;
- 調查 Cortex XDR 生成的每個警報和時間�;
- 了解您所處環(huán)境的專注、主動的威脅搜尋專家���;
- 指導性或完成的威脅補救措施;
- 減少 MTTD 和 MTTR��;
- 自定義調整 Cortex XDR 以增強防御能力��、可視性和檢測能力���;
-
直接與我們的分析人員和取證專家聯(lián)系;
跨網(wǎng)絡���、端點和云資源的可視性和覆蓋范圍�����。
無論是安全行業(yè)的最佳實踐��,還是法規(guī)遵從(等保�����、護網(wǎng)行動)都是建議數(shù)據(jù)中心采用異構防火墻至少2個品牌的安全架構設計����。
挑戰(zhàn)�����、痛點:
-
經過多年的沉淀����,互聯(lián)網(wǎng)區(qū)域各種類型安全設備太多�;
-
面對互聯(lián)網(wǎng)的出入口,如何確認安全設備的“前/后”位置����;
-
安全區(qū)域如何劃分更加合理�����,更方便運維和排錯����;
-
面對新型網(wǎng)絡攻擊�,傳統(tǒng)端口防御方式無效;
-
關于零信任網(wǎng)絡策略該如何落地����;
-
如何與態(tài)勢感知平臺集成聯(lián)動�����。
應對�、方案:
Tie2 異構防火墻并不是新話題,GTI網(wǎng)絡安全團隊推薦的解決方案是Palo Alto NGFW (硬件�、虛擬機����、公有云版)。隨著業(yè)務和技術的發(fā)展和更新��,在整改和建設的過程中原則更新如下:
-
將互聯(lián)網(wǎng)流量按照“入/出”進行分離��,采用不同的安全等級防護(“嚴進寬出”)�����,同時考慮便于運維和排錯�����;
-
一層為傳統(tǒng)端口型4層防火墻��,一層為7層防火墻(NGFW)�����。既能提高檢測能力���,又能降低投資成本;
-
NGFW 必配 IPS 和防病毒功能���;
根據(jù)業(yè)務類型����,應用數(shù)據(jù)的敏感性劃分不同安全等級的區(qū)域���;
-
關鍵性區(qū)域實施零信任安全策略(解密����、應用ID����、用戶ID、內容ID)�����,對所經過的網(wǎng)絡流量始終檢測并僅賦予最小權限��;
-
同時具備檢測已知����、未知威脅、監(jiān)測與分析APT攻擊的能力��;
-
防火墻既作為網(wǎng)絡上探針�,又能扮演阻斷設備���,與態(tài)勢感知平臺實現(xiàn)無縫集成;
整體方案既能在私有云交付���,也能在公有云中落地��,并保持安全策略的一致性���。
實踐:
經過實踐后客戶一致把建設安全運營平臺設為目標,根據(jù)自身具體情況分階段來建設��。除了向客戶提供 Palo Alto 安全運營平臺外���,我們網(wǎng)絡安全團隊可為客戶交付如下定制化解決方案。
保護從本地基礎架構到云�����、端點和 IoT 的所有方面����,確保交付有品質的管理服務和業(yè)務高可用性����、以及主動合規(guī)���。
我們的技術經理Ding Yi帶領上海Cloud Infra��、Security 2個團隊已經完成了為該用戶的平臺搭建和驗證(Azure上海)��。
疫情期間在Azure China的大力支持下����,我們云基礎架構和網(wǎng)絡安全團隊為大家準備了定制化企業(yè)級應用混合云部署解決方案。無論您是我們的老客戶�����,還是新朋友歡迎與我們團隊任何一位成員聯(lián)系并咨詢�����,應用場景合適的即刻提供5仟人民幣的Azure體驗金�,趕快行動。(團隊成員具體聯(lián)系方式在本文章的末尾處)
我們的技術經理Ding Yi帶領上海Cloud Infra、Security 2個團隊已經完成了為該用戶的平臺搭建和驗證(Azure上海)�。
疫情期間在Azure China的大力支持下,我們云基礎架構和網(wǎng)絡安全團隊為大家準備了定制化企業(yè)級應用混合云部署解決方案���。無論您是我們的老客戶�����,還是新朋友歡迎與我們團隊任何一位成員聯(lián)系并咨詢�����,應用場景合適的即刻提供5仟人民幣的Azure體驗金�����,趕快行動���。(團隊成員具體聯(lián)系方式在本文章的末尾處)