![浅谈:终端接入管控的重要性]( "浅谈:终端接入管控的重要性")
终端接入管控是一种用于管理和控制访问权限的安全机制,通过对用户、设备、应用程序和网络资源的身份验证和授权,限制对受保护资源的访问。重点解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范。
面对非法设备随意接入单位内部网络,外来设备接入单位内部网络等情况,很难做到及时发现并对其进行有效控制、阻断非法接入设备。
无法有效控制未授权设备进行越权网络访问,安全事件发生后的第一时间无法找到该设备的物理链接位置。
内、外网隔离的网络环境下,通过WIFI热点等方式的终端计算机非法外联难以控制。
真实案例:某保障活动期间,红方人员持手提电脑,前往某新建供电营业厅开展社会工程学攻击。该人员自称为移动网络测试人员,通过将便携式终端接入网络,达到了对内网的直接入侵。
在日常运维中,普遍存在运维人员为设备调试方便,直接将自身PC终端接入用户网络的现象。然而,陌生终端、未知终端的入网,往往伴随各类潜在的安全风险:如病毒横向传播、为攻击者提供攻击隧道、增加核心系统暴露面、非授权访问导致内网信息泄露等。
天地和兴网络准入管理系统:可在终端入网管理中起到关键作用,通过与交换机的联动,可将非法终端在网络接入层直接阻断,有效防止非法终端对内网的进一步访问。
系统全面的网络准入管理技术,包括802.1X、DHCP准入、SNMP准入、IPAM准入、网关准入、RDP准入等,这些准入技术可以在用户环境中组合使用,提供更细颗粒度的安全策略,灵活的部署方式和全面部署的可能。
真实案例:在石油储运行业,为防止石油盗采以及输油管网沿途的工程车辆作业,往往会在输油管网沿途部署大量监控摄像头。然而,某企业视频监控网络、企业内网、互联网并未做严格隔离区域划分,由于摄像头的部署环境,攻击人员直接模拟监控摄像头,借用视频监控网络接入端进入企业内网,并成功完成了信息盗取,给企业造成了严重的损失。
在物联网项目中,因特殊部署要求,终端仿冒安全事件时有发生,其攻击手段相对复杂但成本低、成功率高。因此,对终端接入设备的主动发现和身份识别,且在发现过程中无需在原设备中安装程序,不对网络造成影响已是物联网项目中的普遍要求。
天地和兴网络准入管理系统:已是物联网项目中必备安全产品,系统能够通过其特有的终端发现技术及IOT指纹库,并通过旁路部署方式接入网络中,且无需镜像流量,在不影响物联网业务的同时,快速识别接入终端类型及终端身份,并对未知终端进行安全隔离。
系统提供丰富的设备指纹识别库,支持移动终端,以及网络打印机,网络摄像头等哑终端的指纹识别准入,可对对非法终端、设备入网进行报警和阻断。
真实案例:能源行业某公司一个新员工入职,在领取办公专用电脑后进行了备案及网络绑定,却未按公司要求安装杀毒软件。并在之后为升级本地软件,将电脑连接到了手机热点,由于这条非法外联通道绕过了原有的多重防火墙与入侵检测系统,增加了暴露面,使外部网络威胁能够触及公司内部网络。一名网络攻击者利用该非法接入点渗透进系统内部,并释放勒索病毒,不仅将大量敏感信息暴露于风险之中,还严重影响了公司的全网安全。对入网终端的合规检测和非法外联识别的缺失是造成此安全事故的主要原因。
天地和兴网络准入管理系统:可通过入网终端的合规性检测控制终端入网,当终端未安装指定软件、补丁、以及开放不安全端口时,可拒绝该终端入网;另外,当已入网终端未按合规性要求升级系统、软件以及非法外联时,也可对入网终端进行隔离处理。
系统可提供入网终端完整性检测,检测范围包括:终端软件、进程、服务、防病毒、注册表检查;终端硬件检查;windows补丁检查;终端WIFI接入、内外网互联、非法外联、文件共享、SSID 控制等终端控制;计算机外设管控;U盘控制。
真实案例:国网、运营商等行业中,为提高用户服务满意度,会在各类营业厅为用户提供免费WIFI服务,然而该服务却为企业自身及用户造成了一定的安全风险。黑客可利用模拟场所内合规WIFI信息,诱导客户连接,从而盗取客户信息。央视“315晚会”现场演示了黑客如何利用虚假WIFI盗取晚会现场观众手机系统、品牌型号、自拍照片、邮箱账号密码等各类隐私数据,这也让很多手机用户对公共WIFI上网安全产生恐慌。
天地和兴网络准入管理系统:可通过自身WIFI检测探针,识别指定场所内所有WIFI、手机热点等信息,利用阻断技术隔绝终端对可疑WIFI的连接,以保护客户的信息安全。同时,对于内网的私接WIFI、隐匿WIFI也可进行有效识别及阻断。
系统可对隐藏的SSID发现和阻断;对非法移动终端、钓鱼AP实时阻断;可实时绘制AP与无线终端的连接情况,实时查看合法AP、非法AP、可疑AP、邻居AP存活状态以及无线终端连接情况。
原文始发于微信公众号(天地和兴):浅谈:终端接入管控的重要性
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2987009.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论