下一代网络准入控制行业技术发展趋势-下篇
责任编辑:盈高科技 时间:2024-04-17 浏览次数:1185
关于下一代的网络准入技术发展趋势,上篇,我们讲到了终端信息收集技术、终端大数据构建与互操作技术的突破,将帮助企业在网络终端接入层面,更高效的摸清家底、构建可信网络体系,今天我们来聊聊【缓解APT攻击技术】。
(1)通过漏洞控制减少攻击范围
预先减少可能遭受攻击的范围是缓解APT攻击的有效办法,下一代网络准入控制技术能有效地发现违规终端或网络中的未知系统,可实现以下功能:
1)对违规行为进行告警;2)把违规终端或漏洞终端从网络中隔离;3)直接修复或通过第三方系统修复网络中的漏洞及错误的安全配置;4)确保主机防护软件的安装、更新、正确配置以及正常运行。当网络中出现未知设备时,网络准入控制系统能够对其进行准确定位。另外,通过网络准入控制提高各种设备和系统的安全水平,有助于减少可被攻击的覆盖面,从而降低总体的安全风险。
(2)监测可疑的网络行为
通常,攻击者一旦攻破某台终端,就会利用这台终端进行扩展攻击。通过对终端异常网络行为进行监测(包括监测非正常端口扫描行为和通过非标准端口进行数据通信的行为),能够及时发现各种异常的大流量操作,甚至可利用下一代网络准入控制技术设定“虚拟蜜罐”,提供给服务或应用系统来诱捕非授权的网络探测行为。被恶意软件感染的终端往往会主动攻击“虚拟蜜罐”,此时攻击行为将被捕捉,并触发网络准入控制及时响应事件,如记录、报警甚至隔离等。
(3)与网络中的安全架构联合起来实现纵深防御
近10年来,SIEM平台之外的大部分工具和控制手段(如网络运维平台、
安全资产管理平台、安全风险管理平台等)都采用了独立的方法或手段对网络安全进行分割,容易造成各自为政的局面。
通过对终端信息进行大数据构建处理,下一代网络准入控制技术能够将终端信息和网络环境信息分享给网络中的其他设备或安全系统。同时,多平台的互操作性又保证了网络准入控制系统收到来自这些系统的消息后,可以迅速触发相关策略,对威胁进行缓解或阻止。这样,下一代网络准入控制就成为SIEM之外的另一种网络安全中心。
通过与众多的第三方工具共享终端信息、网络环境信息以及实时的威胁事件信息,可以很好地实现纵深防御。例如,下一代网络准入控制系统和下一代防火墙、Web防火墙、APT防护平台协作,可达到以下效果:
1)终端环境共享:上述安全系统都缺少对网络中终端状况的了解,包括终端身份、终端配置信息和安全状态,而下一代网络准入控制系统则可以共享这些
信息;
2)风险控制:在大部分情况下,攻击或数据泄漏可能只会引发报警而得不到有效处理,将风险数据传入到下一代网络准入控制系统,可以直接阻断终端或封闭特殊端口,从而保存入侵证据并控制风险。
现今的黑客和网络犯罪明显呈现组织化、专业化的趋势,同时具有明确的目标和针对性。下一代网络准入控制技术能有效地发现违规终端或网络中的未知系统能够通过与众多的第三方工具共享终端信息、网络环境信息以及实时的威胁事件信息,可以很好地实现纵深防御,进而能够有效降低APT等攻击的风险。