日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

1．一個著名的勒索攻擊案例

2018年，某大型半導體制造企業(yè)突然傳出消息：其營運總部及相關(guān)園區(qū)電腦遭到勒索病毒——WannaCry大規(guī)模入侵，且病毒迅速蔓延至生產(chǎn)線，幾小時內(nèi)，該企業(yè)幾個重要的生產(chǎn)基地全部停擺。僅3天，虧損額就超過了11億，股價蒸發(fā)近78億，損失慘重。這場事故將隱藏在現(xiàn)代制造業(yè)特點背后的網(wǎng)絡(luò)安全隱患曝光在大眾視野中。

勒索病毒攻擊一般始于網(wǎng)絡(luò)端口掃描，找到網(wǎng)絡(luò)暴露端口的服務(wù)器，再利用漏洞進入目標服務(wù)器內(nèi)部。而上述提到的WannaCry就是利用了Windows的SMB協(xié)議（文件共享）的漏洞進行傳播的。病毒通過掃描445端口，發(fā)現(xiàn)漏洞之后，就能在電腦里執(zhí)行任意代碼，植入后門程序，然后再進行內(nèi)網(wǎng)東西向傳播。

究其原因，缺乏基于“零信任”架構(gòu)的防火墻策略管理，使現(xiàn)如今國內(nèi)一些仍然依賴人工方式進行防火墻策略管理的企業(yè)成為攻擊的重災(zāi)區(qū)。

2．“零信任”下的防火墻策略管理難題

“零信任”是Forrester分析師在2010年提出的一種安全概念，它的核心思想是默認不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，遵循關(guān)鍵的零信任原則，即對最小特權(quán)訪問的每一步都需要策略檢查。

當我們在執(zhí)行“零信任”策略“是”的時候，無論是Gartner提出的“五步最佳實踐”，還是NIST白皮書提出的“六項基礎(chǔ)原則”，我們通常最優(yōu)先需要考慮的，是以下兩條：

消除攻擊面以降低風險頻率

使用細粒度策略的數(shù)據(jù)保護

基于以上兩條原則，對防火墻運維團隊的策略管理，采取“一勞永逸”的做法是不切實際的。隨著業(yè)務(wù)需求的不斷變化，應(yīng)適時調(diào)整遠程訪問策略。例如：伴隨新應(yīng)用程序（或季節(jié)性應(yīng)用程序）的部署，防火墻運維團隊將需要添加新的訪問策略；隨著應(yīng)用程序不斷變化或業(yè)務(wù)負責人確定需要粒度更強或限制性更強的策略，訪問策略也可能需要持續(xù)更新。防火墻運維團隊要有這樣的觀念，即要始終不斷改進和完善訪問策略，適配組織當前的IT網(wǎng)絡(luò)服務(wù)需求。

但在持續(xù)的策略更新過程中，策略表會越來越臃腫，運行效率也隨之降低，另外，由于是人工添加修改策略，就存在一定的出錯幾率。如遇到重大保障任務(wù)和安全生產(chǎn)等需求時，防火墻運維團隊更加需要防火墻策略梳理產(chǎn)品。

3．nCompass防火墻策略可視化平臺

智維數(shù)據(jù)發(fā)布的nCompass防火墻策略可視化平臺（以下簡稱NFM），通過7*24小時采集防火墻前后“全流量+配置”采集分析輸出優(yōu)化方案。與傳統(tǒng)“日志+配置”采集分析相比，本產(chǎn)品優(yōu)勢如下：

1、精準度高

通過日志采集到的是已經(jīng)經(jīng)過過濾的數(shù)據(jù)，因此信息并不全面。而全流量采集到的數(shù)據(jù)是最原始、最全面的數(shù)據(jù)，因此在精準度方面要比日志采集高很多。

2、防火墻性能零損傷

開啟日志非常影響防火墻性能，而NFM平臺采用旁路部署的方式，利用“全流量+配置”進行采集分析，對防火墻性能沒有任何干擾。

在前面我們討論的防火墻策略“零信任”管理，提到了減少攻擊面以降低風險，下面我們來看看NFM如何通過事前和事中來防范風險。

4．NFM策略梳理風險的事前優(yōu)化，減少攻擊暴露面

NFM策略梳理包含以下功能場景：

寬泛策略收斂、無效策略刪除、策略數(shù)量最小化

歷史的寬泛策略收斂

已下線業(yè)務(wù)的相關(guān)策略回收

無效策略刪除（重復、被包含、未命中、已停用）

誤定義對象查找

NFM策略梳理場景：

NFM平臺會根據(jù)策略真實的訪問數(shù)據(jù)進行觀察分析、調(diào)用，用1周或1個月的會話和連接流量表作為數(shù)據(jù)支撐，驗證策略命中的詳情。

【上圖為demo數(shù)據(jù)演示】

流量表

在策略梳理界面，對重復、被包含、可合并、停用、沖突策略做出發(fā)現(xiàn)，并給出相關(guān)收斂建議。

【上圖為demo數(shù)據(jù)演示】

發(fā)現(xiàn)可以合并的策略

自動發(fā)現(xiàn)過寬松的弱策略，這種現(xiàn)象是包括允許過多的IP地址、允許過多的服務(wù)端口、甚至直接是“any to any”類型的弱策略。這會增加攻擊面的暴露，需要進行收斂。而NFM平臺通過真實生產(chǎn)流量，業(yè)務(wù)數(shù)據(jù)配置表相結(jié)合的方式進行分析，即可發(fā)現(xiàn)用戶真實使用的業(yè)務(wù)IP和端口，并給出收斂意見。

【上圖為demo數(shù)據(jù)演示】

自動發(fā)現(xiàn)可收斂策略，并給出收斂建議

另一類策略收斂，是對已經(jīng)下線但沒有提交對應(yīng)下線工單的業(yè)務(wù)，此時防火墻上沒有進行刪除。NFM會對比這些策略有無正確命中，命中的時候有無有效載荷payload數(shù)據(jù)，從而精準發(fā)現(xiàn)此類“無業(yè)務(wù)”的策略，便于運維人員及時處理。

【上圖為demo數(shù)據(jù)演示】

沒有正常業(yè)務(wù)交互，建議優(yōu)化梳理

自動排查“誤定義”策略對象，通過策略的六元組定義規(guī)則，和實際策略制定的地址簿名稱、服務(wù)名稱、策略名稱等，發(fā)生明顯的相悖，可自動發(fā)現(xiàn)并給予警告。

【上圖為demo數(shù)據(jù)演示】

例如，如上圖所示，地址名稱定義的是172.25.14.4/32，但配置的IP并不包含這個地址，即會被“誤定義”告警指出。

最后，NFM平臺會根據(jù)防火墻當前梳理的結(jié)果，給出周報、月報等分析結(jié)果統(tǒng)計，對防火墻策略的問題做出總覽。

【上圖為demo數(shù)據(jù)演示】

5．異?？鐓^(qū)訪問統(tǒng)計，發(fā)現(xiàn)事中威脅

前文我們提到勒索軟件在感染主機后，優(yōu)先會進行內(nèi)網(wǎng)的東西向傳播，從而擴大其擴散面，發(fā)現(xiàn)并勒索其他重要服務(wù)器。

數(shù)據(jù)中心內(nèi)部業(yè)務(wù)區(qū)之間的互訪有防火墻隔離，如果存在被這些防火墻阻斷的數(shù)據(jù)流，這些數(shù)據(jù)流很可能是非法的嘗試。對異?？鐓^(qū)訪問做統(tǒng)計分析，并提供所有異常的數(shù)據(jù)流。

【上圖為demo數(shù)據(jù)演示】

從圖中可以看到，防火墻deny會話突增，意味著違規(guī)事件的產(chǎn)生，從而可以追蹤回溯異常源IP，于事中發(fā)現(xiàn)威脅。

同時，NFM內(nèi)置了高危端口表和違規(guī)定義表，針對現(xiàn)網(wǎng)的所有防火墻，可以探查是否出現(xiàn)配置高危風險端口或者違規(guī)的規(guī)則。

【上圖為demo數(shù)據(jù)演示】

【上圖為demo數(shù)據(jù)演示】

如圖，NFM可自動發(fā)現(xiàn)現(xiàn)網(wǎng)的高危端口。

以“零信任”架構(gòu)的防火墻策略管理為準則，現(xiàn)在我們可以通過使用智維數(shù)據(jù)的防火墻策略可視化平臺，對海量防火墻策略進行策略優(yōu)化，消除隱患策略，加固防火墻策略漏洞，并自動發(fā)現(xiàn)高危端口，降低防火墻策略安全管控風險。