1、吴异刚/资深安全解决方案架构师/IBM现任 IBM 大中华区安全解决方案架构师、资深安全专家,具有超过20年的网络安全、数据安全方面的从业经验,主持并参与国内各大企业客户的安全态势感知系统、安全运维中心的架构设计与搭建等大型项目,在金融、制造、汽车、电商、通信、物流等领域拥有丰富的方案规划与设计、项目实践与落地的成功经验。演讲主题:运用零信任威胁管理,迈向安全的关键一步运用零信任威胁管理,迈向安全的关键一步吴异刚IBM 大中华区资深安全架构师2020年行业地区威胁分布情况勒索软件勒索软件23%23%勒索软件在攻击事件中所占的比例 超过超过1.231.23亿美元亿美元攻击者通过主要勒索软件所得利
2、润(估计值)43%43%的数据窃取攻击欧洲成为受攻击最欧洲成为受攻击最多的地区多的地区16%16%欧洲的攻击来自内部人员亚洲亚洲在数据窃取攻击方面领在数据窃取攻击方面领先先供应链、制造业和能源行业面临的威胁供应链、制造业和能源行业面临的威胁#2#2制造业在受攻击最严重行业中的排名#3#3能源在最受攻击行业中的排名后疫情时代新的业务发展模式推动数字化转型进程5应用和数据基础设施用户和终端.由此产生的复杂性降低了安全性和信任度数据广泛分布,扩大共享利用范围数据安全法,行业法规和管理办法使用任意设备,位于任意场所,访问数字化资源跨混合多云环境的计算和网络资源隐含信任零信任客户不再问:“什么是零信任?
3、”或者“为什么我要采取零信任?”问题会是,“我该怎么做?”80%的企业计划在未来24个月内开始或推进零信任的采用1FORRESTERFORRESTERNIST 800-207NIST 800-207GARTNERGARTNER1 451 Research,Voice of the enterprise Information Security,2020永远不会信任,总是验证假定被攻陷实施权限最小化消除基于边界的控制持续提升IBM基于可扩展的开放系统上,基于零信任思想,提供集成化的服务和产品,保护数字化资产7保持一致安全策略与业务管理防御不断变化发展的威胁保护数字化用户,资产和数据现代化使安全更
4、加开放,支持多云环境评估|业务优先级|规划零信任加速服务(ZT Framing/Discovery Workshop)|风险量化服务开放协作|统一工具,连接数据|AI赋能分析,快速采取行动数据安全数据全生命周期安全数据安全风险评估合规性遵从IAM 自适应访问验证(Access)身份治理(Identity)特权访问管理(PAM)洞察洞察 资源可视化 风险评估 合规执行执行 访问控制 风险评估 策略编排检测和响应检测和响应 威胁可视化 检测 调查 响应 恢复系统实施,集成和托管服务SIEMSOAR威胁情报AI辅助调查业务优先的安全策略意味着对最高优先级数字化资产应用零信任原则8“零信任有助于我们在
5、管理安全性的同时启用关键业务功能”-CISO,全球化工制造企业确保远程工作场景的安全性保证BYOD和非托管设备安全替代VPN提供无密码体验保护混合多云环境管理和控制所有访问监控云活动和配置确保云原生工作负载安全性保护客户隐私简化获客流程,确保安全性和合规性管理用户偏好和许可执行隐私条例及控制降低内部威胁的风险执行最小权限访问发现用户风险行为结合威胁情报零信任解决方案蓝图9保护混合云确保远程/混合工作模式安全降低内部威胁风险保护客户隐私基于零信任思想,降低内部威胁风险总体蓝图 场景功能 窃取凭证,采取钓鱼行动可疑内部人员盗取数据并外泄特权账户违规使用获取洞察网络安全风险管理数据发现与分类统一终端
6、管理 执行保护活动监控自适应性访问身份和数据治理多因子认证特权访问管理 检测&响应终端检测和响应网络检测安全信息与事件管理安全编排自动化与响应用户和实体行为分析现代化PAM实现零信任原则:“永远不能信任,总是验证,执行最少的权限”用户验证基于场景下的适时访问请求管理环境加固赋予当前任务仅够用最小权限自适应控制审计所有操作建立信任MFAJIT“干净”访问源JEP有针对性的攻击生命周期最初攻陷点建立落脚点提升权限内部侦察完成任务获得进入目标的初始权限加强巩固目标内的位置窃取有效的用户凭证确定目标数据打包并窃取目标数据横向移动保持阵地PAM在防范网络威胁方面发挥的作用利用现代PAM来防范网络威胁 建
7、立身份确认,最小权限和安全的访问源 通过主机强制MFA和基于工作流的适时(JIT)访问请求防止横向移动 通过仅够用的特权(JEP)强制执行最小特权 尽量减少共享帐户的使用 记录并监控主机上的所有特权访问,无法被绕过 MFA提升权限JIT PAM&MFA数据源侧安全 Use Cases对敏感数据进行未授权访问,特别是拥有DBA权限的开发人员和外包人员;DBA查看重要业务数据和个人隐私信息;执行高风险操作,如:删库删表;后台篡改数据;大量数据被异常访问;关键数据库服务器发生权限变更;13CategoryCategorySub CategorySub CategoryUse Case NameUse
8、 Case NameData Security(DS)Data Security(DS)DS-02:Data-in-transit ProtectionDS-02:Data-in-transit Protection识别共享凭证的特权用户识别共享凭证的特权用户Data Security(DS)Data Security(DS)DS-02:Data-in-transit ProtectionDS-02:Data-in-transit Protection对业务敏感对象进行访问和变更对业务敏感对象进行访问和变更Data Security(DS)Data Security(DS)DS-02:Data
9、-in-transit ProtectionDS-02:Data-in-transit Protection执行删表或删库操作执行删表或删库操作Data Security(DS)Data Security(DS)DS-02:Data-in-transit ProtectionDS-02:Data-in-transit Protection对生产数据库进行变更。在非工作时间;使用未授权应用;没有获得变更对生产数据库进行变更。在非工作时间;使用未授权应用;没有获得变更ticketsticketsData Security(DS)Data Security(DS)DS-02:Data-in-tran
10、sit ProtectionDS-02:Data-in-transit Protection对敏感业务对象进行未授权变更对敏感业务对象进行未授权变更Data Security(DS)Data Security(DS)DS-02:Data-in-transit ProtectionDS-02:Data-in-transit Protection对敏感业务对象进行未授权访问,特别是对敏感业务对象进行未授权访问,特别是DBADBA,开发人员,外包人员,开发人员,外包人员Data Security(DS)Data Security(DS)DS-02:Data-in-transit Protection
11、DS-02:Data-in-transit Protection追踪并监控对敏感业务对象的访问追踪并监控对敏感业务对象的访问Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II登录登录BASELBASEL金融服务器失败金融服务器失败Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II登录登录BASELBASEL金融服务器五分钟内至少三次失败金融服务器五分钟内至少三次失败Data Security(DS)Data Security(DS)DS-03:Ba
12、sel IIDS-03:Basel II访问访问BASELBASEL金融服务器出现金融服务器出现SQL ERRORSQL ERRORData Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II登录登录BASELBASEL金融服务器出现金融服务器出现SQL ERRORSQL ERROR,返回特定的高风险错误信息,返回特定的高风险错误信息Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II记录对记录对BASELBASEL金融服务器中的金融对象的访问金融服务器中的金
13、融对象的访问Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II黑名单用户访问黑名单用户访问BASELBASEL金融服务器金融服务器Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II管理员用户访问管理员用户访问BASELBASEL金融服务器金融服务器Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel IIBASELBASEL金融服务器发生权限变更金融服务器发生权限变更Data Sec
14、urity(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II未授权用户访问未授权用户访问BASELBASEL金融服务器金融服务器Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR管理员登录管理员登录GDPRGDPR服务器失败服务器失败Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR登录登录GDPRGDPR服务器五分钟内至少三次失败服务器五分钟内至少三次失败Data Security(DS)Data Security(DS)DS-0
15、4:GDPRDS-04:GDPR登录登录GDPRGDPR金融服务器出现金融服务器出现SQL ERRORSQL ERROR,返回特定的高风险错误信息,返回特定的高风险错误信息Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPRGDPRGDPR服务器发生权限变更服务器发生权限变更Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR记录对记录对GDPRGDPR服务器包含敏感个人信息对象的访问和变更操作服务器包含敏感个人信息对象的访问和变更操作Data Security(DS)Data Se
16、curity(DS)DS-04:GDPRDS-04:GDPR管理员访问管理员访问GDPRGDPR敏感个人信息对象敏感个人信息对象Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR未授权用户访问未授权用户访问GDRPGDRP敏感个人信息对象敏感个人信息对象Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR为核准客户端为核准客户端IPIP地址访问地址访问GDRPGDRP敏感个人信息对象敏感个人信息对象Data Security(DS)Data Security(DS)DS-05:DL
17、PDS-05:DLP潜在数据泄露潜在数据泄露Data Security(DS)Data Security(DS)DS-05:DLPDS-05:DLP潜在数据外逃潜在数据外逃Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授权文件创建未授权文件创建Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授权文件删除未授权文件删除Da
18、ta Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授权文件修改未授权文件修改Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授权文件访问未授权文件访问Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protecti
19、on未授权目录创建未授权目录创建Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授权目录删除未授权目录删除Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授权目录修改未授权目录修改Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Dat
20、a-at-Rest Protection未授权目录访问未授权目录访问Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授权文件权限变更未授权文件权限变更Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授权目录权限变更未授权目录权限变更违规使用Root账号14l按规定,除非在应急的情况下,root或者domain admin特
21、权账号是不能被使用的;l绕过PAM系统直接以root身份登录主机;lSIEM系统发出警告;违规创建可用于访问数据库的特权账号IBM Security/2019 IBM Corporation后续,违法创建的账号登录后台主机违法创建的数据库账号违规/恶意访问数据库IBM Security/2019 IBM CorporationRoot账号正常使用IBM Security/2019 IBM Corporationl管理员登录PAM系统(MFA)l申请在一个时间段内使用root账号,填写申请理由l运维经理审阅后批准l管理员将root账号从PAM系统中check out(由于存在共享账号的情况)lc
22、heck out操作被PAM系统记录,并实时发送给SIEMl“无密码”访问后台主机l操作全程录像,并记录执行命令l操作完成,执行check in,系统自动修改密码Root账号正常创建数据库特权账号数据库特权账号被PAM纳管,执行访问策略,密码修改策略等账号本身拥有操作能力,但被加以限制,实现JEPl设置命令黑白名单l使用普通账号登录,根据全策略进行提权账号操作可被追溯至用户合法用户,合规账号,违规操作同样会被系统检测到23Cloud Pak for SecurityQRadarSplunk将单点产品进行集成,防范特权访问风险,防止数据泄露执行:定义数据和用户级别策略分析:分析数据与特权访问有关
23、联的威胁响应:拦截数据访问并隔离嫌疑用户监控数据访问行为检测策略违规Guardium(数据活动监控和保护)威胁事件日志评估用户行为与网络流量分析结果进行关联触发响应流程Verify Privileged Access(特权访问管理)基础基础优化优化执行:监控敏感数据访问活动检测:发现违规/未授权访问响应:采取补救措施响应:基于验证过的Playbook响应安全事件,执行补救措施提升:基于威胁模式更新数据安全策略高级高级检测策略违规更多集成Threat IntelIBM SecurityX-ForceAlien VaultIBM Security QRadar XDR 开放互联25NDRSOARE
24、DRSIEMIBM Security QRadar XDR Connect基于IBM和开放的第三方集成,连接安全工具,自动化SOC开源和标准化IBM Security QRadar XDRIBM SecurityQRadar SOARIBM SecurityQRadar NDRIBM SecurityQRadar SIEMMicrosoft AzureMySqlElasticSearchAzure SentinelWindows DefenderVectra新的QRadar XDR能力26 通过对EDR,NDR,SIEM等数据源的自动化分析,提高威胁可见性和调查深度、速度和一致性 在QRadar XDR套装中,包括计划中的ReaQta,提供预集成和优化的检测和响应 在快速检测和响应,降低风险的同时充分利用既有投资 自动化的根本原因分析,响应动作智能化,更快的遏制威胁感谢您的聆听!