最新信息动态

技术与信息分享

洛克  GTI广州科宸 (点击此处观看原文和视频)

 

 

 

 

 

最新实践和创新

 

GTI 中国网络安全专业人员

5月30日为大家精心准备

“安全润物细无声”

线下工作坊

活动

 

 

 

 

 

 

 

Cortex 是业界唯一一个基于 AI 的开放式、集成式的持续安全平台,通过自动化和前所未有的准确性,大幅简化操作并显著提高安全性;

Cortex Data Lake 是业界唯一可将企业数据规范化并拼接在一起的方法;

Cortex XDR 检测和响应可原生集成端点、云和网络数据,以此来消除隔阂,有效阻止复杂的攻击。

 

 

 

 

 

 

Forescout 8.1第一个用于融合IT和OT网络的统一设备可视性和控制平台,它使组织能够获得对其互连环境中所有设备的完整态势感知,并协调行动以减轻其网络和操作风险;

针对物联网和OT设备的广泛自动分类增强功能,工业控制系统的漏洞评估(ICS)和恶意设备检测可提高IT和OT网络的空间弹性;

国内某制造业14万点案例介绍。

 

 

 

 

  

 

终端合规实战

持续评估:无代理、听流量、主动探测、零遗漏率,不间断地自动化实时评估检测;

自适应:预先定义合规安全基线,自适应匹配不同场景;

风险与信任:自动获取外部威胁的IoCs,并与下一代防火墙的动态地址组功能API级别联动。

 

 

 

 

 

 

多因素认证实战

Citrix ADC 企业版支持OTP认证,无需第三方双因素系统即可完成双因素认证;

叠加:部署SSL证书实现特定合规终端准入。

 

 

 

 

 

专为实际深度学习使用情形而设计,可扩展的人工智能基础架构;

NVIDIA DGX 超级计算机和 NetApp 云互联全闪存存储提供动力支持的业已验证的 NetApp ONTAP® AI 架构可简化、加速和集成数据管道,帮助您充分实现人工智能和深度学习的优势;

利用横跨边缘到核心再到云的 Data Fabric,可以可靠地简化数据流,加速训练和推理。

 

 

 

 

 

 

应用数据实验室实战

为应用而生,支持物理机和虚拟机;

将物理机的完整数据备份到虚拟化环境中;

自动创建隔离网络环境,并开启,组建出应用所专属的沙箱实验室环境。

 

 

 

 

 

SOAR 实战

SOAR是一种比SIEM更好的潜在工具,是新一代自动化和响应平台的重要一步;

安全事件剧本:邮件钓鱼、员工离职DLP、暴力拆解 等

能够简化和整合安全警报,并自动丰富和跟踪响应,这使用户能够专注于高风险领域并建立积极的安全态势。

 

 

 

 

从客户的角度看世界,为董事会和后台办公室的各个层面的网络安全带来商业环境。

“专业背锅侠”、如何将安全项目实施到“润物细无声”的境界。

 

 

 

活动期间提供
午餐、茶歇、精美礼品

 

 

 

扫描二维码或者点我报名

 

 

Yuki Li

商务助理

电话:+86 135 2457 3570

邮箱:yuki.li@gti.com.hk

 

Rock Long

销售经理

电话:+86 186 2169 6550

邮箱:rock.long@gti.com.hk

 

Jacky Pan

客户经理

电话:+86 136 3638 9986

邮件:jacky.pan@gti.com.hk

 

 

 

 

 

 

 

了解更多 ›

技术与信息分享

洛克  GTI广州科宸 (点击此处观看原文和视频)

 

 

 

网络安全法对现代数据中心安全建设的影响

 

随着新兴业务的增长及法律法规的完善,传统的安全建设思想已无法满足现代IT数据中心安全建设需求,企业的安全建设方向正悄然改变。

 

1、合规

 - 网络安全法对网络安全要求愈加细分和严格,更多行业需要取得合法运营牌照。

 - 利用合规契机,评估整改现有网络安全环境、梳理安全风险清单、无缝集成安全设备、加固数据中心安全。

 

2、安全建设参考建议

一个中心,两个基本点;同步规划、同步建设、同步运维。

Zero Trust 以零信任安全模型为中心防御原则

Deep Layered Defense 建立纵深分层防御体系

CARTA 持续自适应风险与信任评估安全策略控制手段

 

3、安全推动业务发展

 

企业信息安全不应再成为企业的成本中心,应与业务挂钩,与企业高层决策相关,成为推动业务发展的助力,把安全做到“润物细无声”的境界。

 

 

 

 

VMware虚拟化在很多现代IT数据中心都得到了应用,从最基础的服务器虚拟化-vSphere,到更高层次的存储虚拟化-vSAN和网络虚拟化-NSX。但是虚拟化做完了,我们就可以高枕无忧了吗?我们的安全建设跟上了吗?还是仅在传统物理网络中修修补补将就着用?

 

一直以来,安全性被视为延缓虚拟化快速部署的瓶颈。

 

作为一家充满正能量的IT管理服务提供商,我们唯有不断的学习、实践、总结、创新,才能为客户提供可信赖的建议,交付更高品质的服务。

 

今天给大家介绍一篇由我们基础架构团队和安全团队共同实践的虚拟化安全场景: VMware NSX集成Palo Alto VM-Series,很好的弥补了我们在虚拟化数据中心的安全短板。

 

恶意威胁通过入侵单个终端、工作站、服务器或用户,然后跨网络移动,伺机寻找目标。在虚拟网络中,恶意威胁将以横贯东西方向的方式,横向且快速地在 VM 之间移动,使您的关键任务应用程序和数据面临威胁。此时,PA VM-Series将按照零信任原则,隔离关键应用和数据(从不信任任何数据,始终验证应用白名单、用户身份),保护您的数据中心安全。

 

 

一. Palo Alto VM-Series是什么

 

VM-Series 是虚拟化防火墙,提供了与硬件防火墙相同的安全功能,使用同一个管理平台进行管理,确保在数据中心内策略的一致性,为整个网络提供L2-L7层防火墙功能服务。

 

基于硬件防火墙相同的全栈流量分类引擎,对所有流量(包括应用程序、威胁和内容)进行本地分类,将流量绑定到用户。将应用程序、内容和用户作为虚拟化安全策略实施控制,保护数据中心东西向流量的安全。同时VM-Series作为网关,按照零信任准则隔离关键任务应用程序和数据。

 

 

 

二. VMware NSX原生分布式防火墙

 

VMware NSX完成了数据中心网络的虚拟化,颗粒度为虚拟机,提供了基于软件定义的逻辑交换机、逻辑路由器、分布式防火墙、负责均衡等。NSX安全的核心功能是分布式防火墙DFW,它为虚拟化环境中为每一台虚拟机的虚拟网卡上部署了一道防火墙。提供L2-L4层的防火墙服务,通过IP、协议、端口、主机名过滤流量。

 

 

 

 

NSX提供接口集成第三方高级服务(NGFW、IPS、防病毒),重点是,以上产品可以无缝集成起来,实现网络和安全的联动,并将流量导向VM-Series进行高级检查。VM-Series为7层防火墙,根据App-ID,Content-ID、User-ID,为网络保护提供了精细化控制手段。

 

 

 

 

三. VM-Series与NSX的深度集成应用

 

VMware 和 Palo Alto Networks 已针对利用 NSX 的解决方案方面展开合作,使 VM-Series 可透明地插入到 SDDC 环境中,由此您可利用下一代防火墙和高级威胁防护来保护应用程序和数据。避免使用低效率、严重影响应用性能的“发卡弯”传统部署方式,同时也能实现持续自适应风险和信任的安全策略落地。

 

 

 

NSX Manager 将在每个 ESXi 服务器上同时安装 VM-Series 新一代防火墙。之后,通过 Panorama 以自动方式启用策略部署到每个 VM-Series 虚拟设备。随后,NSX 将开始引导所选应用程序流量到 VM-Series,从而实现更细粒度的应用程序级安全性。

 

VM-Series 平台的核心是下一代防火墙,确定安全策略的三个关键元素:应用程序身份、内容,以及用户身份——均可通过单通道并行处理。VM-Series 提供了与硬件防火墙相同的安全功能,使用相同的管理平台进行管理,确保在数据中心内维护一组一致的策略。

 

Panorama 是集中管理平台,提供从单个集中位置管理虚拟和物理防火墙。其功能包括能够查看所有防火墙通信、管理设备配置的所有方面、推送全局策略以及生成有关通信模式或安全事件的报告。

 

 

四. PA VM-Series高级威胁防御功能

 





五. PA VM-Series适用虚拟化和多云环境

 

 

 

 

 

六. PA VM-Series的产品规格

 

 VM-Series 虚拟化新一代防火墙已经过优化和扩展,可提供启用 App-ID 的吞吐量,范围为 200 Mbps 到 16 Gbps,涵盖五个型号,两个指标均为行业领先。

 

 

 

 

七. 总结

 

安全最佳实践表明,您的任务关键型应用程序和数据应使用零信任(从不信任,始终验证)原则,将应用程序和数据隔离在安全分段中。PA VM-Series 可部署在整个虚拟化环境中,在虚拟网络中或在不同层中运行的 VM 之间作为网关驻留,从而通过基于应用程序和用户身份实施控制,达到保护东西向流量之目的。

 

 

深度了解及体验NSX + VM-Series 服务

我们可安排资深工程师为您提供定制化咨询规划

jacky.pan@gti.com.hk

+86 136 3638 9986

 

 

联系我们

 

Gu Zhenglu

咨询顾问、网络安专家, GTI 中国

电话:+86(21) 6375 8369

邮箱:zl.gu@gti.com.hk

 

Jacky Pan

咨询顾问、客户经理, GTI 中国

电话:+86(21) 6375 8369

邮箱:jacky.pan@gti.com.hk

 

 

 

 

 

了解更多 ›

技术与信息分享

洛克  GTI广州科宸 (点击此处观看原文和视频)

 

【主题】

安全加固 IAM、MFA

软件定义

以人为本的更优工作方式

 

新的趋势是,大家本职工作事务不断再增加、所承受的压力越来越大,以往可以采用人海战术,未来可不行了,人力资源开始越来越贵,社会也趋向老龄化,所以释放员工和组织的潜能变为转型的重要执行策略。

 

资深管理者深谙知识型工作者创新之道:创新者更需要的是适合自己的工作空间,他们不希望被时刻盯着被管理着,崇尚无拘无束能够自由选择的感受,更多的是来自于自我管理和自我驱动创新。

 

所以组织的顶层设计者们该如何构建一个重新用软件定义的安全边界,同时能够自适应混合、多云架构,无需被固定物理位置约束,安全合规可控的解决方案,她将成为实现业务创新的重要基石。

 

 

 

业务的创新 - 来自于人的创新

 

 

 

 

将经验转换为组织/企业适用的解决方案:已有的应用,未来投资的应用 (称为经验),通过释放员工和组织的潜能为产品创新带来机会,驱动业务的创新。对内、对外工作采用首选的软件定义、以人为本的更优工作方式,办公位置如您所想,随您所愿!

 

✪ 引人入胜云体验

✪ 移动工作空间体验

✪ 安全分析

✪ 选择安全SaaS应用

✪ 选择桌面-as-a-服务

✪ 智能工作空间

✪ 选择混合多云网络

✪ 简单地管理

 

 

 

 

 

 

混合、多云架构 - 未来发展必经之路

 

云计算是未来,该趋势今天已经非常清晰,是大家的共识。未来不仅仅是选择一朵公有云,对于大客户来说是肯定同时使用好几朵云,所以如何建立出一个混合、多云架构是必须要提前规划和评估。

 

 

 

我们在混合、多云架构中借助了Citrix ADC和Citrix SDWAN这两款成熟可靠的利器助力用户实现云访问转型。

 

Citrix ADC (原NetScaler):

从任何云端优化、保护和控制应用交付,简化混合云应用交付。

Citrix SDWAN (原NetScaler SDWAN):

借助SD-WAN,实现云访问转型,安全地交付一致的用户体验。

 

 

 

【用户场景】

增加 IAM、MFA

安全加固并合规Citrix VDI工作空间

 

2019年新年伊始,我们看到来自于金融、政府、高科技制造业客户迫切需要符合监管的安全需求,特别是金融客户的需求最为紧迫。

 

中国公安部信息等级保护、证监会、银保监等合规部门对于应用系统的身份识别与访问管理和多因素认证 (IAM、MFA)做出了明确的合规要求,同时关于数据资产管理是今年的监控热点,国家相关部分正在加快制定标准和法规工作,不久将会出台。

 

用户普遍希望的方案是敏感数据在传输的过程中进行强加密,数据流动的过程中尽可能不保留在终端上,并严格管控能够访问敏感信息的帐号,始终采用符合零信任最小授权原则的安全策略。

 

为组织内、外的工作者提供首选以人为本的更优工作方式:

 

✪ 集成已有、未来投资的应用

✪ 提供一致性的选择门户

✪ 避免使用VPN,体验不佳且不是最小授权原则

✪ 拥有更佳的使用体验

✪ 数据通信实现完整性、保密性

✪ 终端上不保存任何应用数据

✪ 提供身份识别与访问管理系统

✪ 多因素认证 - 灵活、便捷、兼容性

✪ 终端合规性检查和准入

✪ 面对多资源访问时,对用户实施最小授权原则

✪ 合规剩余信息保护

✪ 合规抗抵赖

✪ 高可用,容错

 

 

 

用户痛点

 

1. 能为知识型工作者提供一个标准框架型数字工作空间来激发他们创新?

2. 用户面对多个应用时,如何提供一致性的选择?

3. 如果不使用VPN,有其他更加的安全可靠的接入访问方式吗?

4. 如何保障客户端不保留应用的剩余信息?

5. 应用系统如何增加IAM和MFA功能,是逐个应用系统进行开发改造吗?

6. 终端如何进行合规性检查和准入控制?

7. 面对多资源访问时,如何实施符合最小授权原则的安全策略?

8. 如何适应未来混合、多云架构?

 

 

【Okta + Citrix】

IAM + MFA + Gateway + Workspace

 

安全加固合规解决方案组件:

 

✪ Okta

✪ Citrix Gateway

✪ Citrix Virtual App/Virtual Desktop

 

Okta可以使用SAML,oAuth和RADIUS等协议为Virtual App (原XenApp) 和 Virtual Desktop (XenDesktop) 站点以及任何企业Web应用程序提供单点登录 (SSO) 功能。

 

使用Okta,用户只需进行一次身份验证,即可通过单个可自定义的用户门户管理和访问所有应用程序,无论是在防火墙后还是在云中。 通过将Citrix Gateway集成到Okta,并可以对Okta进行一次身份验证动态口令 (OTP),使得用户可以随时随地不受物理位置限制、使用各种终端无缝访问Citrix应用程序和本地应用程序 (Citrix数字工作空间) 。

 

Okta提供自适应MFA实现强身份验证,使用软令牌(iOS,Android),安全问题、密码、短信或语音、邮件OTP、软件OTP、Okta确认推送、物理令牌、生物验证 (指纹/人脸) 等多种因素轻松添加多重身份验证。

 

同时支持上下文访问管理,根据登录上下文设置智能访问和认证策略。安全字段包含:IP、IP地址段、网络匿名者、设备识别、地址位置、城市、省份、国家 等,也可以根据Okta全球集中的风险情报提前创建安全策略,例如高风险IP地址 Black List。

 

总结:为Citrix的数字工作空间启用强身份验证,合规等三、证监、银保监等相关政策和法规。

 

 

 

 

 

 

 

 

 

 

解决方案特点

 

Okta 与 Citrix Gateway 联动完整的身份认证管理、双因素认证解决方案

- Okta 提供 SaaS 认证服务,无需搭建平台,按照实际用户数支付月租即可,即开即用,随时可以终止

- 所有用户密码凭据全部保存在私有云中

- Okta 提供业界最佳的双因素认证使用体验

- 提供应用门户供用户选择,无缝集成私有云应用、公有云应用、安全SaaS应用、内网/外网桌面、办公区域/生产区域桌面、公有云桌面等全部集成一个Portal中,供用户自由选择

- 终端上不留任何数据

- 所有网络通信采用强加密措施

- 实现对接入的终端进行合规性检测和准入控制

- 实施符合最小授权原则的安全策略,“细”颗粒度控制不同用户访问不同的应用资源,By 用户名、应用、物理位置 等

- 提供全程录屏回放、明文水印等功能应对苛刻的审计工作

- 为知识型工作者提供一个标准框架型数字工作空间来激发他们创新

 

 

如下案例为GTI技术团队为华东某国企设计院所定制的“激发业务创新数字工作空间”IT转型蓝图。

 

 

 

 

我们始终坚持从客户真实场景入手,解决实际问题,做好每件"小事与细节",成为专业的"背锅侠"。

 

 

网络安全业务定位

团队价值观

管理服务

 

GTI中国 (Global Technology Integrater Ltd. 广州科宸电脑工程有限公司) 是一家提供现代化 IT 数据中心、网络安全战略、风险与等保合规、安全咨询、架构与集成服务、事件响应、安全技术、定制化解决方案和专业服务提供商。我们作为客户成功的倡导者,全面解决从程序级到项目级的信息安全需求,帮助企业规划、构建和落地成功的信息安全计划,解决重点安全问题,并执行特定的 IT 安全项目。

 

 

 

 

 

如有需求,期待着与大家互动,谢谢!

 

 

联系我们

Ding Yi

咨询顾问、技术经理,  GTI 中国

电话:+86(21) 6375 8369

邮箱:ding.yi@gti.com.hk

 

Rock Long

咨询顾问、销售经理, GTI 中国

电话:+86(21) 6375 8369

邮箱:rock.long@gti.com.hk

 

 

 

了解更多 ›

fpa01_Icon

技术与信息分享

Ben GTI广州科宸 (点击此处观看原文和视频)

 

fpa01 

 

 

2018年,企业数据泄露事件层出不穷,大厂如谷歌,Facebook都难逃此劫;勒索软件,挖矿木马,钓鱼邮件,花样百出的攻击方式让形势愈加严峻

 

黑客和企业之间的攻防角逐是一场永无止境的拉锯战,一直处于被动地位的诸多企业只能不断完善自身的防御措施,提防着随时都可能袭来的攻击。它可能是以关闭企业服务为目的,狂轰滥炸的DDoS攻击;也可能是悄无声息的渗透攻击,还未察觉,大量隐私数据就已在暗网明码标价。

 

fpa02

 

 

 

fpa03

 

如果将企业的网络看作是一座巨大的城堡,那么防火墙将就是它的边界城墙。攻击者准备了一系列恶意软件,向城堡发起渗透攻击,当它们到达边界,面对的是城门口“守卫”的盘查。

 

fpa04

 

这里充当“守卫”的便是Palo Alto Networks中的NGFW,它使用User ID进行用户身份认证,唯有白名单中的用户可以进入“城堡”内部;除此之外,NGFW将对所有流量进行解包,分析流量数据,依据其内容得出App ID和Content ID,确定文件应用是否属于已设置的白名单中。

 

 

 

 

fpa05

 

未知程序样本进入了WildFire的沙箱,这是一个虚拟的环境,多数恶意软件误以为已经到达了终点站,兴奋地展示着自己惊人的破坏力,但殊不知周围的一切只是模拟的环境,狐狸尾巴一旦露出,未知威胁变为已知,WildFire立即执行相应的安全策略。

 

fpa06 

 

不过,并非所有的恶意软件都会被如此轻易地欺骗,部分配备了虚拟机逃逸技术的恶意软件将识别虚拟环境,从而识破沙箱的欺骗;对此,WildFire沙箱具备的裸金属防护技术和一系列蜜罐文件大大增加了恶意软件逃逸的难度,这无疑是攻防双方道高一尺魔高一丈的博弈。 

 

fpa07

 

 

 

 

fpa08

 

上一步中,通过边界防火墙的未知程序样本被送往WildFire,为了避免误报对生产效率造成的影响,应用本体依旧可以进入企业的网络,在ForeScout的实时监视之下运行。

 

倘若该未知程序的确是恶意软件,ForeScout将立即根据WildFire检测的数据匹配出被感染的主机,并配合NGFW,将它们隔离出来,以阻止进一步传播和感染。

 

fpa09

 

 

 

fpa10

 

WildFire可以成功引爆大部分恶意软件,而躲过WildFire的恶意软件到达了最终目的地——端点。

 

此时便是恶意软件发挥其最终使命的时刻,但它们也面对了最后一层壁垒——Traps

 

fpa11 

 

恶意软件千千万,攻击方式就几样。不同形式的恶意软件不计其数,但是它们最终表现出来的动作可谓是“殊途同归”。

 

fpa12 

 

有别于一般的反病毒软件,部署在终端的Traps可以识别出这些动作,并一一阻止。依旧是考虑到误报率会干扰项目正常执行,Traps并不会直接删除应用程序,仅仅是阻止它们试图执行的恶意动作。

 

企业安全攻防是一场没有硝烟的战争,更没有完美的解决方案,攻击者成长速度之快更是让我们乍舌。

 

fpa13

 

PaloAlto Networks (NGFW和Traps) 配合ForeScout将提供的是一套上乘的持续自适应风险与信任评估方案,以Palo Alto Networks的NGFW和高级端点防御Traps和ForeScout一同构建的安全框架对进入企业网络的应用流量层层检测,逐步筛查,过滤掉所有威胁,为您的企业提供强有力的安全保障。

 

fpa14

 

fpa15

 

 

sc4 

 

了解更多 ›

trap-pa

技术与信息分享

From Jacky Pan GTI广州科宸 (点击此处观看原文和视频)

 

pa1

 

作为安全从业人员,不断积累、实践、创新是我们的使命。GTI 愿意在安全建设领域,与您同行、为大家提供接地气的安全解决方案和交付高品质的专业服务。

愿2019我们成为自己心中的那一条锦鲤

2018年12月6日,我们成功举办了下线体验活动,获得了良好的反馈,这次将“高级端点防御”场景总结分享给大家,助力我们企业安全建设。

 


全生产甚至核心业务中断、给企业敏感信息带来了的巨大的泄露风险,运维人员疲于奔命,主管背锅又被吐槽。归根结底:传统反病毒技术,只能依赖病毒特征签名匹配的方法,在事中、事后发现威胁并处置,而此时终端已经被感染,传统防御思维对于未知威胁及零日漏洞的防御束手无策,所以事前没有很好的解决方案,完全跟不上恶意软件变种的爆发式增长态势,廉颇老矣!

 

1. Palo Alto Traps的设计理念

Traps 如Palo Alto革命性推出下一代防火墙一样:通过方法论,从根源上切断及规避被感染风险,在攻击链生命周期的漏洞利用节点、调用命令和控制节点、恶意程序安装节点设置多种防御手段,在端点遭受安全漏洞、已知及未知恶意软件、勒索软件攻击之前,抢先一步阻止攻击,终止进程。采取了与传统端点病毒防御思维截然不同的思路

已知威胁的样本数量是极其庞大的,最新变种病毒增长的速度也是按秒计算的,若采用传统反病毒方法,需要运行庞大的代理程序,极大影响终端性能,往往疲于应付,而收效甚微。但黑客攻击的方法却是已知及相对固定的,Palo Alto Traps采取了大胆的革新,从攻击手段方法上瓦解黑客攻击,阻挡黑客攻击,防范威胁。

 

 

2. Traps的针对恶意软件和漏洞利用的防护

 

Traps摸透了黑客攻击的攻杀链,透过繁杂的表象,采取治本的方式。任你千百变,我岿然不变,剑指七寸

 

 

Traps的主要防护目标

pa2

Traps的防御方法: 

Traps在黑客攻击链关键点实施阻断,终止进程。

 

漏洞利用前的防护:Traps 能在漏洞利用发动攻击前阻止漏洞分析技术,阻止攻击。

基于技术的漏洞利用防御:Traps 可阻止攻击者用于操纵应用程序的技术,进而防御已知和零日漏洞利用。

内核漏洞利用防御:Traps 可阻止在操作系统内核进行的漏洞利用,防止其创建有升级权限,即系统级别权限的进程。 Traps 同样可阻止在内核中加载并运行恶意代码的注入技术,例如 WannaCry 和 NotPetya 攻击中所使用的技术。

 

pa3

pa4

pa5

 

 

Traps与各端点防护产品的比较:

pa6

 

 

3. Traps的应用场景

pa7

pa8

pa9

pa10

pa11

 

 

4. Traps的安全生态链

pa12

 

Palo Alto Networks为Traps提供了丰富的原生应用,威胁情报可在Traps、WildFire、AutoFocus服务、Panorama管理和Magnifier之间实现共享,有助于客户对安全事件的响应、取证、追踪。

pa13

 

Palo Alto Networks推出了IT数据中心整体安全框架

Traps 可以将端点防护与网络和云端的安全措施相协调,以提供额外的威胁分析、共享情报和自动化控制。

端点:高级端点防护AEP;

网络:下一代防火墙NGFW;

云安全:VM-Series;

深度集成并上下协同,全方位助力企业安全架构。

 

 

体验Palo Alto Networks Traps服务

 

我们可安排资深工程师为您提供定制化咨询规划

 

sc4 

 

了解更多 ›

zerotrust

技术与信息分享

洛克  GTI广州科宸 (点击此处观看原文和视频)

 

辞别了极不平凡的2018年,迎来了砥砺前行的2019年。“我们都是追梦人”“一起拼搏、一起奋斗”…… 最美的新年贺词鼓舞着永不停滞的脚步。祝福亲爱的新老朋友们2019年心想事成、身体健康、阖家欢乐!

 

GTI全体团队继续深耕自己所专注的领域,努力为大家提供接地气的定制化解决方案并交付有品质的专业服务。

 

2018年12月份,我们技术团队发布了基于零信任安全模型的解决方案实践集,并举办了线下Workshop工作坊体验活动,收到了不少用户的互动与反馈,感谢!通过对工程师的项目实践经验进行梳理、分类、抽象、归纳出有含金量的部分分享给各位,助力各位大咖在公司或组织内部发挥更大的价值,希望大家喜欢。如有雷同需求可以与我们联系,非常感谢!

 

 

【主题】

业务发布合规,持续自适应风险与信任评估

ForeScout 与 Tenable SC联动

 

从建标到创标,安全管理运营永无止境

企业/组织的安全管理运营是一个系统工程,不能指望通过某一种或几种工具就能建立并运营起来,需要一个系统的方法论,同步规划、同步建设、同步运营,可以参照目前通俗易懂的践行方法论四个“标”,即建标、对标、达标和创标。

 

 

1. 建标

具体用途以及规划,这是一个非常头疼的问题。大家都懂的,安全比基础架构要复杂太多,个性化需求迫切,一次性规划到位很难实现。可以采用先借鉴全球安全界公认权威的安全防御模型、架构与框架,然后选用最佳解决方案,具体落地时再参考最佳实践的策略来执行,做好每件"小事与细节",成为专业的"背锅侠"。

 

我们归纳出为一个中心、两个基本点作为设计蓝图,同时必须主动合规网安,二、三级等保,GPDR、行业规范、条例等。(以零信任安全模型为中心,纵深分层防御、持续自适应风险与信任评估为两个基本点。)

 

将该设计蓝图和主动合规进行量化,建立出成熟度模型进行自我评估、或者寻找外部专业咨询顾问来评估,实施定量分析。(具体可分为5级,不存在、初始级、可重复级、发展级、已管理级、优化级)

 

fu01 

 

 

2. 对标

需要对自身现状进行摸底调查,深入对比分析自己与行业标杆对象在人员、流程、技术工具等方面的差距,分析背后的问题原因、可为空间,确立向标杆学习的重点方向、变革的尺度、资金投入。在采用一些自动化技术工具进行评估的同时,并结合人工咨询评估和收集整理公司/组织内部所反馈的实际问题,最后归并经过深入分析网安,二、三级等保,GPDR、行业规范、条例的合规要点进行对标。

 

fu02

 

 

3. 达标

在明确差距的基础上,制定量化发展目标,在未来一、二年内排名提升到多少,从目前评估值追赶到行业平均值,努力达标根据企业自身定位所定义的建议值。并制定切实可行的指标改进方案、投资预算和实施进度计划,明确时间表、路线图,为达成变革、安全转型预期目标制定举措。

 

例如:如何主动合规达标应用系统过等三的安全整改。

 

fu03 

 

 

4. 创标

 在行业生态体系中逐步缩小与标杆差距的同时,可结合自身特色,在部分领域树立出新的标杆。例如,引入持续自适应风险与信任评估架构,将网络准入系统与风险评估有机地结合在一起,满足持续和自适应这两个当前迫切需求,配备自动化管理进行网络安全风险衡量与管理流程结合、业务目标相结合,积极迈入到成熟度模型中的第五级优化级。

 

 

 

【用户场景】

应用开发部门准备上线新业务系统一共7台服务器。上周六已经完成了7台服务器的安全漏洞评估,但是在本周一发现该应用受到业务变更指令,应用架构需要大动,开发人员持续作战48小时在周三凌晨完成改动,其中3台Web服务器和2台中间件服务器系统都发生变化,最后该应用于周三早上7点,在业务部门地催促下就上线正式对外提供服务。

 

该场景在现实中具有共性,从安全合规部门视角来审视,修改后的5台服务器没有经过安全漏洞评估就上线,无疑在互联网上直接暴露了本应该可以规避的风险,原因是漏扫周期定义为每周六凌晨,此次事件正好发生在2个扫描点之间的空档期,而这5台服务器正是“瞬态设备”。

 

不巧的是该集团用户所外聘的第三方安全评估团队在周三的上午,从互联网扫描到了这几台服务器上存在了高危漏洞。后续做了一系列的 ......

 

 


【用户痛点】

 

1. 有风险的设备一旦接入到网络中,是否能够实时自动发现并实施处置的工具吗?

2. 针对信息系统的脆弱点检测和发现可被利用漏洞的自动化评估工具是否已经部署?

3. 当扫描到有成千上万漏洞后,到底应该专注和优先修补纠正哪些?依据是什么?

4. 由于漏扫是定期执行,在间隔期内网络中会接入瞬态设备,如何有效地评估和处置这类频发的风险?

5. 对于风险高或未合规的设备,如何通过技术手段实现自动化通告、补救、纠正甚至隔离?

6. 是否能够实现持续而不间断地、自适应环境的自动化评估和处置风险?

7. 不希望在主机上安装代理,同时能够和现有的系统、设备、其他安全组件一起联动?

8. 旁路、可视、轻量、适应大规模环境?

 

 

 

【主动防御】ForeScout 与 Tenable SC 联动

我们技术团队借鉴Gartner在2017年6月发布的持续自适应风险与信任评估框架(CARTA),持续可视并验证网络中出现的任何设备和系统,自适应地评估瞬态设备的风险并与预先定义的安全基线做比较分析,运用自动化技术对风险进行处置,如主动通告、修补、纠正、隔离等。

 

选用行业中最佳解决方案ForeScout 和Tenable SC,并参考最佳实践,完成了核心功能:持续获得网络上风险和漏洞的实时洞察,弥补覆盖定期扫描所遗漏的瞬态设备风险,并实施必要处置。

 

ForeScout持续探测到有新主机正在连接到网络中;它请求Tenable启动主机的实时扫描全面评估该主机的漏洞和脆弱点;Tenable将扫描结果发给ForeScout;入场扫描完成后,根据预先定义的管控流程,对风险实施自动化主动通告、修补、纠正、隔离等具体处置动作。

 

无代理、轻量、快速部署、旁路、100%可视、大规模部署、安全联动。

 

fu04

 

 fu05

 

 

 【解决方案特点】ForeScout 与 Tenable SC 联动

 

- 持续获得网络上风险和漏洞的实时洞察: Tenable SC 对设备进行风险和漏洞评估

 

- 弥补并覆盖到定期扫描所遗漏的瞬态设备风险,并实施必要处置

 

- Tenable SC 自动评估各个资产的安全-或暴露-以及它的暴露的程度

 

- Tenable SC 为资产的优先顺序添加上下文,并根据业务关键性选择适当的补救技术。例如:资产的业务用途和价值,资产的链接-以及谁有权访问它,该漏洞目前是否被坏人利用

 

- 或通过ForeScout 与VMware vCenter 联动 - 获得所有VMware VM 清单、重启、资源控制、关机、待机、网络隔离、VM 网络端口关闭

 

- 或通过ForeScout 与VMware NSX 联动-联动NSX分布式防火墙实现网络自动化控制。如网络隔离、不同等级的安全域划分、阻止南北向/东西向网络通信

 

- 或通过ForeScout 与Palo Alto NGFW 联动-网络隔离、安全区域隔离、阻止南北或者东西向网络通信(部署了内网区域隔离、VM NGFW墙)

 

- 或通过ForeScout 与Palo Alto WildFire 联动-高级持续攻击沙箱分析,主动向威胁情报分析源“取”未知威胁的IoCs、依据已分析出的IoCs 进行全网自动化扫描“查找出”被攻陷的终端,主动通告或隔离和控制被攻陷的终端

 

- 或通过ForeScout 与Cisco/华为/H3C交换机联动-实施网络分段、ACL、空路由、虚拟防火墙等控制

 

- 或通过ForeScout 与微软的SCCM 联动-软硬件资产管理、自动化软件安装、自动化系统配置

 

- 或通过ForeScout 与WSUS、LANDesk 联动-完成补丁更新、合规

 

无代理、轻量、快速部署、旁路、100%可视、安全联动、大规模部署

 

从一个实际场景入手,解决实际问题;合理运用四标、紧紧抓住一个中心、二个基本点;创标的目标不知不觉中得到了完成,做好每件"小事与细节",成为专业的"背锅侠"。

 

 


GTI 解决方案实践集: 零信任安全模型

 

零信任安全模型是一个安全防御模型,核心为企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证和检测;并实施最小授权。

 

人 - 用户(已知/未知

事 - 应用,数据

物 - 设备(物理/虚拟)

 

 

值得注意的是:最小权限原则也是零信任所依赖的监管重要策略之一,仅赋予用户/主机/应用/数据完成特定工作所需要的最小访问权限。

 

fu06

 

fu07

 

fu08

 

fu09

 

 

 

网络安全业务定位 - 团队价值观 - 管理服务
 
现代化 IT 数据中心、网络安全战略、风险与等保合规、安全咨询、架构与集成服务、事件响应、安全技术、定制化解决方案和专业服务提供商。我们作为客户成功的倡导者,全面解决从程序级到项目级的信息安全需求,帮助企业规划、构建和落地成功的信息安全计划,解决重点安全问题,并执行特定的 IT 安全项目。

 

fu10

 

fu11

 

fu12

 

如有需求,期待着与大家互动,谢谢!

 

fu13

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Zhenglu Gu

咨询顾问、网络安全实践官, GTI 中国

电话:+86(21) 6375 8369

邮箱:zl.gu@gti.com.hk

 

Rock Long

咨询顾问、销售经理, GTI 中国

电话:+86(21) 6375 8369

邮箱:rock.long@gti.com.hk

 

 

 

了解更多 ›