确保终端安全的过程极具挑战性的部分原因,就在于这是人与设备持续互动的过程,给了恶意攻击者可乘之机。其中一个简单的例子便是员工为了临时业务需要而绕过安全策略,这类举动给了恶意攻击者可以利用的漏洞。这些漏洞不仅会影响IT和终端用户的工作效率,导致本地终端数据失窃,还会为恶意攻击者提供一个渗透进入企业网络甚至带来更大浩劫的入口。此外,由于目前许多机构都呼吁员工更多地在家办公,确保这些终端符合最新的安全策略也成为一种必然的要求。
另外,多数机构都在摒弃单纯依赖反应式安全解决方案的作法,而是变得更具预测性。然而,只有当终端解决方案针对可能和现有的入侵技术得到了提前、彻底的评估,这种方法才是有效的。此外,我们需要谨记,在执行验证时,终端也正处于不断的变化之中,应该以灵活、连续和自动化的方式来对攻击进行探测、预防和消减。
CyberFlood网络安全基础构架
有效性评估解决方案 – 终端
CyberFlood网络安全基础构架有效性评估(CF DBA)是一种基于仿真的解决方案,能够以前瞻的方式为企业的安全态势提供深入、连续的自动化评估。这些评估通过安装在整个网络中(例如DMZ区、数据中心区等)或终端上(例如物理或虚拟Windows 10)的众多代理程序来实现。这样便可利用思博伦TestCloud?提供的持续更新的威胁情报,对终端的安全性进行评估。这些基于仿真的入侵均在网络中指定的网段/终端上执行,而且日志也会与评估中的安全事件自动关联起来。用户还可选择对包含规避技术的入侵活动进一步甄别,查看实时报告、最终报告,或跟踪各类行动,并使用事件跟踪系统进行归档等。
接下来我们来看一个简单的使用案例,并用它来说明对终端执行连续自动化评估的必要性。
- Windows 10 Defender防火墙默认策略是禁用入向连接。
- 员工决定暂时修改Windows 10 Defender防火墙策略,打开测试某项应用的端口。
- 由于该员工忙于执行其它的日常任务,上述操作在测试完成后未被恢复原状。
在今天的企业网络中,这是一个简单又十分普遍的情况。如果设置了DBA调度的自动化评估,该企业的安全行动(SecOps)团队将拥有对员工行为所遗留的漏洞的完整可视性,并能根据DBA的报告采取适当的行动。
当DBA解决方案部署到位的情况下,上述时间线将呈现这样的变化:
- 最初,当Windows 10 Defender防火墙采用默认策略时,所有向终端发动的入侵都会被阻止,而且可以通过DBA的报告得到确认。
- 用户对Windows 10 Defender防火墙的修改会使终端容易受到某些攻击的侵害,而这些攻击所利用的正是应用测试时所打开的端口。
- DBA的后续自动化报告将显示,由于员工之前所采取的行动,攻击将不再受到阻碍。安全行动团队可以利用该报告,通过CyberFlood DBA来采取必要的行动。例如,可以直接向CyberFlood DBA发出事件通知,修复该员工所用的笔记本的安全状态,并在问题得到解决后重新运行评估来确认安全态势是否符合预期。
