EDR,构建零信任安全的重要基础

2020-03-24

自2010年著名研究机构Forrester的首席分析师约翰.金德维格提出零信任安全至今,已有十余年。这十年里,云计算、大数据、物联网、AI、5G等技术的兴起,也让网络安全的形态一变再变。边界不再有效,内网访问充满挑战。任何内、外部的人/设备/系统都不应该被信任,需要基于授权与身份重新构建访问控制的信任基础成为共识。下一代互联网访问,零信任安全已成为必然趋势。

零信任不是无边界,而是重新定义设备的安全逻辑边界和访问控制形式。杰思安全从国内用户安全架构现状及使用习惯出发,打造的猎鹰主机安全响应系统(以下简称“杰思猎鹰”),在零信任安全架构下,通过动态的访问权限控制、全面的终端资产可见、多元的行为检测响应,实现了信任最小化、资产可掌控、行为可记录。

最小权限的访问控制

微隔离技术,提供可自定义的弹性访问控制,对主机(包括物理机、虚拟机、PC机等)间的东西向流量进行访问控制。通过建立针对单机、多机、单组、多组的双向访问控制策略,最小能将防护盾紧缩至单个主机,提供最小限度的访问控制权限。同时,可以跨平台、跨操作系统进行组建。这种混杂的安全域划分模式,能为管理员提供灵活的弹性管理,适用于所有应用场景,在网络安全边界梳理工作上,不再受物理条件限制。

全面终端信息掌控

资产清点功能,能在对设备“零信任”的前提下,赋予用户对全网主机安全信息的掌控力。通过对全网主机资产的精准识别和动态感知,自动化构建细粒度的资产信息,让保护对象清晰可见。同时,可与风险发现和入侵检测全面关联,智能发现异常主机/用户登录信息,一键查看资产相关的所有信息,让用户快速、有效发现潜伏在系统中的威胁信息。

多元行为检测与响应

即便是可信的人在可信的环境中使用可信的设备,也可能进行不可信的动作,被信任的个体状况是在动态变化的。在零信任安全原则中,所有的访问都应当被记录、可溯源。杰思猎鹰通过操作系统的定点监控、纵深行为动态跟踪,以及横向海量差异化检测,能快速找到异常行为轨迹,上下文关联还原事件调用关系。而这也恰恰是“行为零信任”的聚焦所在。

此外,用户身份的连续认证,也是重要因素之一。杰思猎鹰提供标准的syslog接口或json接口,能与身份认证、态势感知、威胁情报、杰思安全实验室、智能沙箱等第三方进行外部协同联动,建立立体多元的零信任安全架构,为用户提供更全面的安全保障。