北信源EDR，阻挡威胁横向蔓延的微隔离防护，全方位守护政企用户信息安全

　　一、传统防火墙的网络安全隐患

　　随着网络技术的发展,互联网应用在提高了企业业务扩展性的同时也为信息安全管理者带来了新的挑战。诸多企业还存在着安全认识的误区,传统的老三样已无法支撑当下企业对安全的要求。勒索病毒日新月异的变种、无文件攻击等新型攻击手段的兴起,都严重危害企业的公共财产安全。当攻击者有拿到内网一个跳板机时,即可肆无忌惮的横向传播。为了应对当下安全局势,降低影响面,对内网间访问权限颗粒化是非常必要的。

　　1.传统网络建设防守局限

　　传统网络建设主要以防火墙作为主要的网络安全防护措施,该解决方案提供了南北向网络边界的有效防控,但对东西向流量防控却遗留空白。面对高级或未知威胁,攻击者往往能够通过社会工程或企业未知风险渗透企业防守薄弱的主机,在网络边界之内横向传播。

　　2.伙伴入网权限失控

　　企业为营造便捷、高效的发展目标,伴随着“数字政府”的建设加快,政务系统的使用者身份也错综复杂。其中包括政务系统开发、运维、厂商、公务员等多种人员,其中不乏有“无意泄密者”,因非授权的肆意访问、无意犯错造成的数据泄漏和系统性灾难的案例比比皆是。

　　3.单点失守全盘皆输

　　传统防火墙对网络出入流量实行控制。当前VLAN技术是限制网络访问的小最单元,但无法限制端与端间的网络通讯。另外,一旦黑客突破重重防护潜入了内网,东西向流量尚未得到有效控制。即可以肆无忌惮地在内网主机之间横向扩散,借助资产共性弱点,恶意行为不易被发现,继而导致单台失陷感染全网的惨状。

　　二、浅谈微隔离技术

　　1.微隔离技术谈古论今

　　在网络应用的初期,网络上的主机彼此之间通讯是自由的,正常流量与恶意流量混杂在一起,给个人和企业带来了巨大的安全隐患。第一代网络安全解决方案“防火墙”为企业设置了网络边界,有效阻断了恶意流量所带来的网络攻击。

　　随着企业信息化的发展,企业的网络结构变得越来越复杂,而防火墙作为硬件产品在这复杂的网络环境下实施变得愈加困难。因此,Gartner在2015年首次提出微隔离的前身—软件定义隔离(software-defined segmentation),通过构建网络的软件定义分段实现了细粒度的流量管控。

　　而到了2018年,Gartner修改了更新了微隔离的定义,将流量可视化作为微隔离的起点,对当今企业复杂的网络环境提供了颗粒化访问控制,限制网络攻击在数据中心内部的横向移动。

　　2.弥补企业东西向流量防护空白

　　过去企业往往将网络安全的防护集中在网络边界,包括防火墙、网关、堡垒机、WAF等等,但对网络内部通讯的防护比较匮乏,致使恶意程序一旦进入内网,便可在网内主机之间任意穿梭。而微隔离技术,通过对安全域与安全域之间、主机与主机之间的通信进行管控,填补了企业东西向流量防护的空白。

　　3.提供了颗粒化划分网络资源

　　现如今多数企业已针对网络边界层层防护。包括对网络流量的协议、端口、IP地址、域名服务等均做了全面的管控,但对内网主机间的网络防护仍是管理空白。北信源通过微隔离技术手段,实现对主机间网络的颗粒化管理,实现工作负载的动态防护。

　　4.阻止风险横向蔓延扩大影响面

　　高级威胁如今往往会在攻陷一台主机后长期潜伏,伺机占领全网。而微隔离技术可以学习企业的正常流量,对异常流量进行告警和控制,最大程度的减少未知威胁对企业造成的影响。

　　5.较少网络安全方案实施成本

　　传统防火墙需要在业务与业务之间的网络边界配置硬件设施,同时也会改变企业的网络拓扑结构。而微隔离技术可以在不改变企业网络拓扑也不需要添加硬件设备的前提下,实现网络安全的颗粒化访问控制,节约成本的同时提高了网络环境整体的安全性。

　　三、北信源微隔离解决方案

　　北信源作为国内终端安全领导者,凭借20余年的终端安全沉淀,通过北信源终端检测与响应系统(EDR)提供企业级微隔离解决方案。按照业务分析、学习适应、渐进实施和持续优化四步完成北信源微隔离解决方案的实施:

　　1.按需划区紧贴企业

　　与客户沟通网络安全需求,分析企业信息资产各业务之间的关系。通过明确企业各业务的关联关系和优先级,建立业务图谱,明确保障重点。梳理企业网络环境中的终端,根据业务关系和优先级为资产分区分域,为企业工作负载分组。识别未注册资产,丰富资产信息,将业务图谱映射到资产分组中。

　　2.有效隔离关键位置

　　将企业内的资产按需划分终端、服务器和共享资源三类角色,根据用途分类隔离。终端指用户端,主要是供用户使用的PC机。服务器指提供服务的业务系统,主要对外对内提供信息化服务。共享资源指打印机、摄像头、共享存储等共享设备,可为终端和服务器提供公共资源。企业可根据资产角色设计隔离管控策略。当PC端某一资产失陷,可最大程度的保护共享资源及业务域安全运转,降低了核心资源的影响面。

　　3.动态流量可视化呈现

　　北信源微隔离技术支持配置流量学习模型,根据资产分组学习业务正常流量,并通过流量可视化帮助管理员对现有的网络协议和流量的识别,提高管控策略的配置的效率。学习资产分域和分组间流量的协议、端口和网络地址,标记未注册资产和学习模型之外的流量,在不断学习中补完识别模型,最终实现对企业正常流量的全量识别。

　　4.多重模式降低影响

　　制定异常流量的阻断策略往往容易影响随业务需要变化的正常流量,所以需要渐进式的实施方式以求将不良影响控制到最小。通过学习模式、审计模式和工作模式的多模式切换,逐步验证策略的可行性。先通过学习模式识别正常流量,不断优化学习模型;再通过审计模式配置告警策略,告警但不阻断模型外流量;待告警策略验证一段时间无误后,最终将告警策略变更为阻断策略更新到工作模式,实现真正异常流量的有效阻断。

　　5.隔离规则持久优化

　　由于企业的业务变化,企业的信息资产、网络拓扑和通讯流量也在发生变化,因此,安全管理者对流量的管控策略也需要进行持续优化。用户可以通过流量可视化实时监测当前流量管控实施成效,及时发现被意外阻断的正常流量和未识别的异常流量,最小化对正常业务的影响,避免异常流量所带来的恶意攻击。同时,用户也可以跟踪业务变化,及时调整流量管控策略,使其符合当前业务的需要。

　　北信源EDR目前已经通过了中国信通院的测评,是第一批入围的厂家。公司将继续开拓创新、自主研发,刻苦钻研,提供更安全、更科学、更便捷的安全产品。

　　四、北信源深耕行业 锐意创新

　　北信源作为中国首批信息安全领域A股上市公司,中国信息安全龙头企业,作为国家规划布局内的重点软件企业,北信源多年来持续深耕网络安全和终端安全,使公司从传统的终端安全领导者逐步成为万物互联时代下智慧安全的全面解决方案提供商。经过20多年的积累和沉淀,不断创新与实践,拥有自主知识产权的核心专利技术,产品和解决方案广泛深入到各行业,同时加快培育新业态和新模式,形成“平台、数据、应用、服务、安全”协同发展的格局。已获业界和国家相关单位认可,成为国家网络与信息安全信息通报中心技术支持单位、国家关键基础设施信息安全保护的核心承担单位之一。

　　据公开资料显示,2021年,北信源入选第九届CNCERT网络安全应急服务支撑单位,为国家互联网应急中心提供安全漏洞信息报送、网络安全事件报送、重大安全事件响应、专项支撑、交流培训等多个维度的应急服务支撑。同年,北信源率先参与加入“关键信息基础设施安全保护风险治理框架体系”,并受邀入驻国家等级保护2.0与可信计算3.0攻关示范基地。

　　网络安全关乎国家安全和公众社会利益,未来,北信源将继续加大技术投入,完善网络安全防护体系,全面落实保护信息安全责任,为国家网络安全护航!

　　作者:赵勇