2020-07-01 14:26:58
來源:
互聯(lián)網資產暴露面現狀分析
運營商的業(yè)務系統(tǒng)可大致分為內部業(yè)務系統(tǒng)和外部業(yè)務系統(tǒng),這兩類系統(tǒng)都有暴露在互聯(lián)網上被黑客攻擊的風險,下面針對這兩類系統(tǒng)進行安全現狀分析。
1、內部業(yè)務系統(tǒng):由內部人員使用,數據敏感性高,常見的內部系統(tǒng)(APP及Web系統(tǒng)等),如B域中的CRM、計費等核心業(yè)務系統(tǒng),M域中的OA、郵件、企業(yè)門戶等內部辦公系統(tǒng),以及O域中的工單、維護系統(tǒng)等網元運維管理系統(tǒng)等。
2、外部業(yè)務系統(tǒng):可被互聯(lián)網用戶訪問,數據敏感性低,常見的外部業(yè)務系統(tǒng)如掌廳、網廳等。
互聯(lián)網暴露面解決方案之“三部曲”
針對于暴露在互聯(lián)網上的資產,可“分類討論”對應的安全措施,
對于內部業(yè)務系統(tǒng),從運營商自身的安全建設出發(fā),采取收歸至內網的策略,建設統(tǒng)一安全接入平臺,僅對互聯(lián)網開放443端口,最大限度收斂暴露面;而對于外部業(yè)務系統(tǒng),由于此類型業(yè)務面向互聯(lián)網用戶,故無需收歸至內網,應采取集約防護的策略,對互聯(lián)網資產進行統(tǒng)一監(jiān)測和防護。
要實現互聯(lián)網資產暴露面的收斂與集約防護,應從互聯(lián)網資產的發(fā)現與識別、互聯(lián)網資產暴露面的收斂、互聯(lián)網資產的集約防護等三方面進行。
1、互聯(lián)網資產的發(fā)現與識別
通過對網站IP、安全防護設備、操作系統(tǒng)版本、服務和端口、子域信息等進行信息收集和掃描,完成目標網站對應的IT資產數據和基線配置的信息的收集過程。
同時可通過本地化方式對內部網絡所有資產進行掃描來發(fā)現脆弱性風險。
可識別服務器資產開放的風險端口及端口被使用情況(如標準端口跑非標準協(xié)議),同時結合深信服十余年的應用識別能力積累,識別因暴露風險應用訪問方式(如RDP、SSH、數據庫)被非法連入的情況,即使非標準端口亦能識別具體應用。
2、互聯(lián)網資產暴露面的收斂
對互聯(lián)網僅發(fā)布443端口,對外隱藏APP及Web等各類內部服務器端口,減少暴露面。
不僅僅將內部業(yè)務系統(tǒng)從互聯(lián)網收歸至內網(內網≠安全),而且可以實現針對某個業(yè)務系統(tǒng)的準入,先認證、再連接,真正實現內部業(yè)務系統(tǒng)的安全。
在PC和手機端劃分工作域和個人域,在工作空間中運行的應用具備鏈路安全加密、落地文件加密、網絡隔離、剪切板隔離、進程保護、屏幕水印等數據保護功能。
3、互聯(lián)網資產的集約防護
針對于運營商互聯(lián)網資產,比如網廳/掌廳等業(yè)務系統(tǒng),可以提供基礎網絡安全功能,如狀態(tài)檢測、VPN、抗DDoS、NAT等。
同時還可以實現統(tǒng)一的應用安全防護,可以針對一個攻擊行為中的各種技術手段進行統(tǒng)一的檢測和防護,如應用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。
“三部曲”方案價值
1、針對于運營商內部業(yè)務系統(tǒng),從“終端-網絡-服務器端”三個維度構建立體安全體系,真正實現端到端安全,有效減小互聯(lián)網暴露面:
2、針對于運營商對外開放網站系統(tǒng),重點實現互聯(lián)網系統(tǒng)的安全監(jiān)測與集約防護:
成功實踐案例
助力運營商構建新安全架構
隨著運營商業(yè)務支撐系統(tǒng)云化與中臺改造的加速,運營商的安全建設正從傳統(tǒng)的邊界防御向云端安全與終端安全延伸,從網絡安全向數據安全、應用安全延伸。對此,深信服憑借深耕運營商行業(yè)領域多年經驗,深度結合行業(yè)發(fā)展趨勢,提出了“可信接入、立體防護、全網感知、集中管控”的安全理念,以助力運營商構建新一代安全架構,為運營商信息化發(fā)展保駕護航。
