安全防御体系

随着互联网的迅猛发展,网络安全问题变得日益突出。恶意攻击、数据泄露和黑客入侵等事件频频发

生,给个人和组织带来了巨大的损失。因此,构建一套全面的网络安全防御体系成为了企业的安全重

心。众所周知,网络安全强调的是攻守双方的动态平衡,从来没有一击必中的攻击手段,也从来都没有万无一失的防御方法。当下再完善的防御体系,随着时间的推移和技术的发展,也会逐渐出现破绽。

本文重点内容如下:

  • 了解常见的安全防御体系
  • 学习绕过安全防护设备
  • 后渗透阶段的网络攻击

安全防御体系的重要性

安全防御体系规划是为了应对各种网络攻击和威胁而制定的一系列策略和措施,它不仅有助于提高组织的网络安全水平,还能保护敏感数据和保证业务的连续性。以下是安全防御体系规划的作用:

  • 防范网络攻击:通过制定安全策略和采取相应的技术措施,能够预防大多数网络攻击。
  • 保护数据安全:网络攻击可能导致数据泄露或破坏,构建网络防御体系可以有效保护组织的数据安全。
  • 提高业务连续性:网络攻击可能导致业务中断,网络安全战略规划可以确保业务的连续性,减少因安全事件造成的损失。

安全防御体系的构建策略

构建全面的安全防御体系需要综合考虑管理、技术和人员三个方面。下面是一些常见的安全策略:

  • 健全管理制度:建立一套完善的网络安全管理制度可以有效指导日常安全工作有序开展。
  • 网络边界防御:使用防火墙、Web应用防护系统(WAF)和入侵防御系统(IPS)等技术来保护网络边界,阻止未经授权的访问。
  • 网络流量监测:使用流量分析工具对网络流量进行实时监测,及时发现异常活动和潜在威胁。
  • 强化身份认证:采用多重身份认证机制,如双因素认证,以提高用户身份验证的安全性。
  • 数据加密:对重要数据进行加密,确保即使在数据泄露的情况下,攻击者也无法解密敏感信息。
  • 定期漏洞扫描:使用漏洞扫描工具定期检查系统的安全漏洞,并及时修补漏洞。
  • 员工培训:加强员工的网络安全意识培训,教育他们如何识别和应对网络威胁。

常见的安全防护设备

边界安全

  • 防火墙:内部网络与外部网络的交叉点,保护内部网络不受攻击,可以用来加强网络之间的访问控制,计算机流入流出的所有网络通信流量均要经过防火墙。(防护+访问控制)
  • VPN:虚拟专用网络,用于通过公共网络建立一个临时的、安全的网络连接,是一条穿过不可信的公用网络的安全、加密隧道。
  • 入侵检测系统(IDS):主机层威胁监测设备,能够按照设定的安全策略及时发现网络攻击企图、攻击行为和攻击结果,不影响网络性能,缺乏主动防御能力。
  • 入侵防御系统(IPS):在IDS的基础之上加入了主动防御功能,但是会消耗网络性能,甚至可能影响业务。
  • 抗拒绝服务系统(抗DDOS):流量清洗,恶意IP封堵。
  • 安全网关(UTM):各种提供系统(或者网络)安全保障的硬件设备或软件的统称,集合了各类安全防护技术,保护范围从低层次的协议数据包到高层次的具体应用。
  • 上网行为管理:提供用户准入功能,全面精准识别用户的网络行为,实现流量管控。

应用安全

  • 应用防火墙(WAF):应用层威胁监测设备,通过特征提取和分块检索技术进行模式匹配来达到过滤、分析、校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求。
  • 网页防篡改:实时监测网站,阻断网站篡改攻击行为,一旦网站内容被篡改,能够保证在极短时间内将正常网页内容同步到Web服务器。
  • 蜜罐:在网络中部署大量的陷阱主机,形成复杂、逼真的蜜网环境,诱导攻击者访问,实现攻击手段获取、攻击行为记录、攻击溯源及反制等目标,提升主动防御能力。

数据安全

  • 数据库防火墙:可以串联部署在数据库服务器和应用服务器之间,对访问数据库的流量进行实时监控和分析,识别安全威胁并及时进行阻断,保护核心数据的安全。
  • 数据库审计系统:可以理解成旁路部署的“数据库防火墙”,监测访问数据库行为并做记录,发现高危风险进行告警,但不做实质上的防御,偏向事后的追溯。
  • 数据防泄漏系统(DLP):准确识别敏感数据,对全量以及风险数据外发进行审计与防护,实时记录、分析和统计数据外发行为与敏感信息外泄事件,为安全事件发生后提供溯源与取证。
  • 日志审计:全面收集企业中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告。

终端安全

  • 终端安全管理系统(EDR):通过部署在终端上的agent实现全网资产的统一监控和管理,通过持续监测终端活动行为、检测安全风险、对于威胁风险进行深度调查、提供补救响应手段等方式,全面提升终端的安全防护能力。
  • 防病毒(AV):商业化杀毒软件。

安全检测

  • 漏扫系统:集成了应用漏洞扫描、主机漏洞扫描、基线配置核查、代码审计、镜像扫描等多个功能模块。

安全管理

堡垒机:从功能上讲,它集成了系统运维和安全审计两大功能。从技术上讲,通过切断终端计算机

对网络和服务器资源的直接访问,实现以协议代理的方式接管终端计算机对网络和服务器的访问,

并且会监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为。

态势感知:它不是一台设备,而是由多个安全产品所组成的一套系统,基于统一全网流量和日志数

据,融合威胁情报进行实时分析、智能决策,实现全网安全攻击事件的分析、告警、研判、溯源和

取证等处置工作。

威胁情报平台:基于大数据提供威胁通告、漏洞情报、IP信息、攻击组织、攻击工具等一系列相关

信息。

常见的安全防御体系

边界防御体系

常见的防御体系为边界防护,从UTM到下一代防火墙、WAF、流量清洗等一系列产物,旨在将威胁挡在触发之前,解决网络边界的防御问题。

优点:部署简单;

缺点:对已经到达内部的攻击没有防护效果,就是说只要突破WAF等防护,就可以在内网进行横向移

动、扩散。

纵深防御体系

纵深防御体系是基于边界防御的又一拓展,强调任何防御都不是万能的,存在被攻破的可能性,所以纵深防御本质是多层防御,即每一个访问流量都要经过多层安全检测,一定程度上增加安全检测能力和被攻破的成本。

在网络安全领域至少会包含下面几层:应用端、数据库端、服务器端、网络层、网络边界。

优点:各层的产品功能定位清晰,允许不同品牌产品混用,攻击成本较高,安全性较好;

缺点:各个产品之间缺乏协同机制,如盲人摸象,各自为政,检测手段多是基于规则和黑白名单,对于抱有经济政治目的的专业黑客,攻克这种防御体系也只是时间问题。

河防体系

河防体系由腾讯提出,防御方要赢就要靠一个字”控“,即把对手控制在一个可控范围,在用丰富的资源打败他。回到企业入侵防御上来,“控”的思路就是步步为营,层层设防,让攻击者即使入侵进到系统内也是在可控的范围内活动。具体措施就是要在网络隔离的基础上,严格控制办公网对生产网的访问,同时在对生产网内部进行隔离的基础上进行边界防护以及检测。

塔防体系

塔防体系本质上也是纵深防御,不过优于纵深防御的是强调了终端要纳入安全防御网络中,具有自我防御能力,并且有了云的管控能力和威胁情报数据。

下一代纵深防御

下一代纵深防御体系突破了传统基于边界防护安全的设计的概念,从网络主机,数据库层面,依托人工智能技术以及沙箱技术,结合威胁情报提供提供全方位的Web纵深防护,从传统边界防护过度到新一代的基于预警、检测、协同、防御、响应、溯源理念的纵深防御。威胁情报好比是积累的知识,大数据和人工智能好比是聪明的大脑,WAF、IPS、服务器安全好比是有效的武器,大家互相配合,实现了下一代的纵深防御体系,对于未知的威胁也具备一定的防御能力。

posted @ 2024-10-30 09:20  Yoob  阅读(6)  评论(0编辑  收藏  举报