腾讯安全防守队武器库系列(三):零信任iOA

admin 2021年9月30日06:46:34评论203 views字数 2168阅读7分13秒阅读模式

腾讯安全防守队武器库系列(三):零信任iOA

长按二维码关注

腾讯安全威胁情报中心


腾讯安全防守队武器库系列,是腾讯安全团队为安全演练场景定制的安全方案集合,可应用于重保单位私有云、公有云及混合云系统,今天推出第三篇《入侵检测网篇》。在军事影视作品中,防守方会在阵地前设置由红外或微波组成的若干道检测网,肉眼看不见这张网,入侵者一旦闯入,系统立刻告警。入侵检测网是整体防御系统的最后一道屏障,防守在服务器和终端系统前,随时准备扫除一切入侵者。

在腾讯安全产品家族中,和攻方短兵相接的安全防御系统就是腾讯零信任无边界访问控制系统(以下简称:腾讯零信任iOA),其防护能力已远超传统终端安全软件和防火墙的范畴。


腾讯安全防御武器库系列·零信任iOA


腾讯零信任无边界访问控制系统(ZTAC)是腾讯自主设计和研发的零信任无边界访问系统。可控制对企业公有云、私有云以及本地业务的访问权限,通过验证用户身份、设备、应用、链路的安全状态来确定是否允许用户访问(4T可信识别),确保对企业资源的可信访问并降低企业数据泄露风险,无论员工位于何处、何时、使用何设备都可安全访问企业资源。

腾讯安全防守队武器库系列(三):零信任iOA

腾讯零信任iOA的业务模型


零信任既不是产品也不是技术,而是一种全新的安全理念。传统安全防护理念重点防御外部进入流量,默认信任内部流量,对内部网络访问不作任何限制。显然,这一理念今天看来已存在巨大隐患,攻击者入侵内网任一设备,即取得内网漫游许可。

腾讯零信任iOA的防护理念可以用8个字概括:持续验证、永不信任。首先默认是不信任的,必须满足可信条件,才能访问内网资源。

腾讯安全防守队武器库系列(三):零信任iOA

腾讯零信任iOA的4T原则


腾讯零信任iOA系统同时集成终端恶意软件查杀防御、终端系统漏洞扫描修复、终端系统文档自动备份(文档守护者)等传统安全能力,并已全面接入腾讯安全威胁情报系统。上述4T安全理念通过腾讯零信任iOA(终端Agent+服务器)实现对终端和服务器操作的全面管理。


腾讯零信任iOA实战案例



1



重保客户实战场景

腾讯零信任iOA检测到多次终端用户有点击可疑邮件附件的行为,部分终端因此失陷,腾讯安全专家团队立刻对失陷系统进行检查。发现攻击者通过邮件投资伪装成“五一”值班表的恶意文件。

腾讯安全防守队武器库系列(三):零信任iOA


分析发现,这些文件利用了较常用的白加黑攻击技巧。双击上图那个伪装成PDF的EXE文件,会触发恶意ShellCode,攻击者第半小时执行一次,尝试从C2服务器下载恶意文件到内存执行,攻击者采用域名前置技术(domain fronting)隐藏C2的真实IP。通过一系列复杂的操作,在受害者一次打开危险附件后,会安装功能强大的渗透测试工具Cobalt Strike到失陷系统,这是一个功能强大的远程控制软件,分析发现这个远程控制软件同样使用域名前置技术,从而增加了检测难度。

腾讯安全防守队武器库系列(三):零信任iOA


在终端系统配置腾讯零信任iOA的场景下,因管理员已配置多因子身份验证,即使攻击者在失陷系统安装远程控制木马,也难以冒用攻击者身份在内网横向扩散。因为在权限验证时,攻击者无法拿到相应的验证信息,比如微信扫码或动态口令验证。

腾讯零信任iOA通过集成的腾讯安全威胁情报能力,迅速检测出失陷主机有危险连接行为,已不符合设备可信条件,该设备被迅速隔离下线,已无法访问内网中其他任何资源,失陷威胁立刻中止。终端操作员在安全运维人员修复设备确保系统再次可信后恢复正常使用。


2



企业日常应用场景

管理员可以通过零信任iOA的策略中心配置全网系统加固策略,如远程关闭终端系统存在的高危端口和网络服务,远程检测安装操作系统补丁,强制检测弱口令等提升终端或服务器的安全性,最大程度减小攻击面,提升黑客攻击难度。

腾讯安全防守队武器库系列(三):零信任iOA


管理员可通过策略中心配置全网进行终端系统合规检查,比如要求强制入域、强制配置安全软件,禁止使用违规软件(如某些高危可穿透内网的代理服务器),强制客户端进行弱密码检测,检测主机防火墙软件状态,检测违规外联行为(比如访问管理员策略不允许的高风险网络资源)。

通过腾讯零信任iOA策略中心,可大大降低企业安全运维的负担,严格管理规范员工日常办公中的高风险网络行为,从根本上提升终端系统的安全性。



3



疫情背景下的远程办公场景

在传统安全防护理念中,远程办公往往需要配置VPN设备,员工远程办公的安全风险是接入办公网的数倍,员工使用的家庭网络或公共网络有更大风险面临病毒木马威胁或黑客监听风险,当VPN帐号被盗时,就存在黑客冒用内部员工身份入侵内网的可能性。

腾讯零信任iOA系统已内建远程办公的支持,员工可以在任一地点,任一设备中登录iOA系统,通过验证之后就能正常访问内网资源。腾讯公司在疫情期间支持员工10万+以上的设备接入,在满足信息互通、收发邮件、远程会议、流程审批、项目管理等基本办公需求基础上,实现远程无差别地访问 OA 站点和内部系统、开发运维等工作。

点击阅读原文,了解腾讯零信任iOA的更多信息。


参考链接:

腾讯安全防守队武器库系列(一):雷达篇
腾讯安全防守队武器库系列(二):陆基导弹防御系统篇


腾讯安全防守队武器库系列(三):零信任iOA


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

腾讯安全防守队武器库系列(三):零信任iOA

长按二维码关注

腾讯安全威胁情报中心

腾讯安全防守队武器库系列(三):零信任iOA

本文始发于微信公众号(腾讯安全威胁情报中心):腾讯安全防守队武器库系列(三):零信任iOA

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月30日06:46:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   腾讯安全防守队武器库系列(三):零信任iOAhttp://cn-sec.com/archives/394976.html

发表评论

匿名网友 填写信息