出奇制胜,浅谈微隔离在攻防实战中的应用

2021-03-30

孙子兵法有云,凡战者,以正合,以奇胜。

微隔离在内网防护的重要程度不言而喻。然而,网络架构已经转为云化、混合化等更复杂的架构,业务愈加复杂,再加上泛终端的出现,让内部隔离不再是一件轻易就能做到的事情。在大型攻防实战中,内部隔离也越来越受关注。攻击者进入内网,拿到一个跳板机的概率较大。如果内网针对横向移动的防护不够坚固,甚至是缺失,那攻击者基本就如入无人之境,畅通无阻。

如何在容纳更多终端的基础上实现细致隔离?

如何与业务更好地衔接,让隔离不会成为阻隔?

如何在攻防对抗中更大地发挥微隔离的效果?

……

为了更好地适应新IT基础架构,更好地满足攻防对抗中对内网隔离的需求,杰思安全打造的新一代主机安全响应系统——杰思猎鹰,创新采用了自适应微隔离架构,基于业务对主机进行细粒度隔离控制,通过对内网的东西向访问进行持续检测及响应,有效阻止攻击者在内网的横向移动。

泛终端适配,云+端全面防护

基于操作系统设计的杰思猎鹰,广泛支持多种终端形态。除了传统的服务器、虚拟机、云主机,还支持云PC、物联网终端、工控专用主机、移动智能终端等多类设备。其不挑系统、不挑平台、不挑形态的特性,能在提供主机细粒度的访问控制基础上,实现海量泛终端的统一管理。

基于业务,自适应弹性扩展

通过划分逻辑安全域、定义访问对象等方式,可基于业务对工作负载进行快速分组、灵活组合,提供最小主机安全域的访问控制。通过梳理构建业务安全边界,解决传统基于IP视角关系不明晰的问题。

基于主机和业务角度的双向访问控制,展示不同安全域之间,以及主机间的允许访问和拒绝访问流量,快速理清内部主机或安全域之间的访问关系。再加上自适应策略管理,可灵活配置隔离策略,弹性扩展安全防护,随着业务的变化快速完成策略迁移,轻松适应工作负载灵活安全防护需求。

深度溯源+微隔离,让防御更主动

单纯的微隔离功能,只能做到基础的策略配置以及隔离或阻断。而当它配上杰思猎鹰强大的威胁溯源能力,能发挥出更强大的主动防御效用。在记录内部横向移动的方向和动作的基础上,展示出与此关联的主机进程,以及详细路径的安全分析情况,并对可疑进程文件开展进一步的处置动作。这种方式,不仅能阻断网络层的横向扩散,还能精准找到失陷主机的入侵点。

在某次攻防实战中,杰思猎鹰管理平台通过预先配置的微隔离策略,仅通过简单两步,便迅速发现并处置了失陷主机。

--杰思猎鹰平台提示异常访问告警;

--回溯微隔离访问日志,迅速定位可疑主机;

--锁定与之相关的进程PID;(根据进程PID查找相关进程关键指标,发现该进程为rundll32,父进程为未签名的shellcode,子进程为cmd并调用了其他程序)

--通过综合分析,判断该进程被植入了后门,存在与远程C&C服务器通信的风险;

--随即通过杰思猎鹰远程阻止该进程。