明明部署了防火墙,服务器为什么还是被入侵了?
2022-9-14 08:33:14 Author: 天驿安全(查看原文) 阅读量:18 收藏

防火墙就像防盗门,虽然大部分情况下它都能拦住来历不明的陌生人,保障住户的安全,但如果有人强行绕过或者伪装通过,防盗门就失去了它的安全防护作用。

防火墙作为网络安全的代表性产品,时至今日依然在防御网络威胁中发挥着重要作用,但大部分企业组织已经意识到单靠防火墙远远不够

因此,很多人想了解的问题是:“除了防火墙以外,我还需要部署什么设备才能保障核心数字资产的安全呢?

本文针对这个问题,从纵深防御的角度解释为什么单靠防火墙并不能保证内网的安全?以及除了防火墙以外,还要部署什么产品才能最大程度实现服务器安全?希望对各种规模的企业组织网络安全体系建设都能有所帮助。

扫码下载“红队攻击全流程示意图”

什么是纵深防御?

对承载着企业核心资产的服务器来说,一个成熟的网络安全防御体系,从纵深的角度看,其防护工程从外到内可以分为四层:暴露面收敛、边界防护、访问控制、主机安全。当然,除了这些,还有针对社工、钓鱼等攻击的安全意识培训等安全措施

这种类似于在城堡周围盖多层防御围城的网络安全防御被称为“纵深防御”,即在信息系统上实施多层的安全控制策略。纵深防御的目标是提供了多层的安全防御,也就是说一种安全措施失效或被攻破后,还有另一种安全防御来阻止进一步的威胁,纵深防御的目标就是降低攻击者攻击成功的机率。

  • 暴露面收敛:减少可能会成为黑客攻击入口的点,比如VPN、弱密码、系统漏洞等;

  • 边界防护以防火墙为代表,边界防护是防御系统的大门,把可能的攻击抵挡在门外;

  • 访问控制:对核心资源、网络、应用等设置访问控制,增加攻击难度;

  • 主机安全:如果说前三层防御都是与服务器有一定距离的围绕在其周边的保护,那么主机安全就是对核心系统的“贴身保护”。

例如上文中的四层防御就是层层递进的关系,每一层都能对突破上一层的攻击做出进一步防御,直到攻击者拿下靶标或攻击被中断。一般来说,服务器承载着企业组织的核心资产,大部分网络攻击的最终目标都是服务器或服务器上存放的数字资产。因此,对服务器的纵深防御体系建设就显得尤为重要

边界防护的不足催生了纵深防御体系

以防火墙为代表的边界防护,多年来在网络边界防御上拥有不可或缺的地位。基于“把内外网隔离开”的安全理念,防火墙相当于在网络边界建起了“城门”,把住了进入网络的必经通道,以此来限制某些网段之间不互通,或有条件地互通,这种方式拦截了大部分的网络威胁,降低了系统被攻击的概率不过,它也存在一些不足之处

1.只能抵御来自外部的一些攻击,不能防范来自内部的攻击;

2.对有意绕过它进出内网的流量无法筛选和阻止,系统安全带来隐患 

3.不能抵御未知的威胁。基于威胁特征库的检测方式,能较好地防备已知的威胁,但不能自动防御所有新的威胁 

4.为了提高安全性,防火墙通常会限制和关闭一些有用但存在安全缺陷的网络服务,给用户带来了很大不便

随着网络攻击技术的发展,绕过防火墙对专业的网络攻击者来说轻而易举。这意味着传统的防火墙的防御效果已经大打折扣,企业组织必须寻找新的防护措施来应对攻击者“突破防火墙”之后的阶段,这就催生了由多层防御措施组成的纵深防御体系。

但就现状而言,大部分企业在对服务器的纵深防御上做得并不全面,很多企业只停留在边界防护(即防火墙)上,没有更深入的防御措施,这也意味着攻击者一旦突破这层边界,就可以为所欲为。

边界防护的下一道防线——主机安全

除了上述防火墙本身固有的缺陷以外,外部环境的变化也使得防火墙的防护效果逐渐弱化。一方面,云计算与虚拟化、远程办公,以及业务外包合作等新的技术和商业运营模式等技术的大规模运用,极大地改变了IT的基础设施和业务架构,传统IT架构中的网络边界正在消失,相应地,以防火墙为代表的边界型防御也逐渐失去意义。

另一方面,攻击方式不断进化和增多,传统的防护手段很难起到良好的防护效果。很多边界防御,比如防火墙,很多时候几乎形同虚设。此外,服务器周围的防护产品虽然种类繁多,但各产品之间彼此孤立,没有实现信息互通,对高隐蔽性、高复杂度的攻击防御效果非常有限。

种种迹象都表明:这种简单粗暴的将内网“圈起来”的安全手段已经不足以应对不断出现的新型攻击方式。

这个时候,我们不妨换个安全防护思路:既然防火墙防御的最终目的是为了保证主机(常指服务器)的安全,那么与其在主机周围圈起围墙,不如让主机自身变得更安全

所以我们应该把重点放在纵深防御体系的第四层——主机安全上,这样的话,即使攻击者攻破了边界,主机可以自己保护自己,不至于处于“裸奔”的状态

这里需要强调的是,“主机安全”并不是一个产品,而是对应一个需要被保护的位置,“主机安全”即主机侧的安全保护。

主机安全的核心内容包括安全应用交付系统、应用监管系统、操作系统安全增强系统和运维安全管控系统。它的具体功能是指保证主机在数据存储和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。

目前市场上有很多安全产品宣称可以解决主机侧的安全问题,但大部分都是由其他产品改装而来的,很难满足主机侧“安全与稳定兼顾”的需求,比如针对PC等终端的EDR(这点可以参考笔者之前的文章:明明已部署EDR,服务器为什么还是被入侵了?)等。

最有效的主机安全防护产品应该是针对主机专门研发的,充分考虑了主机侧稳定需求>安全需求的特性,既能对主机侧的威胁做到及时、有效的检测,又能保证业务的连续性,结合相应的人工介入来对威胁进行响应,以实现对业务影响的最小化。

因此,在选择主机安全产品的时候,要考虑如下几个因素:

  • 是否会影响业务;

  • 部署步骤及成本是否简介低廉;

  • 是基于特征库还是基于攻击行为进行入侵检测;

  • 对威胁的监测是否是持续性的;

  • 功能模块是否全面并且可按需扩展,如资产清点、合规基线、微隔离等。

青藤万相作为国内首个主机安全领域的原生产品,采用自适应安全架构,充分运用云、大数据、AI等技术,只需一个轻量级Agent即可打造集“预测、防御、监控和响应”一体的安全闭环,其核心功能包括资产清点、风险发现、入侵检测、合规基线、病毒查杀等多个模块,各功能模块之间无缝联动,帮助企业有效预测风险,精准感知威胁,提升响应效率。兼顾安全、稳定、低消耗,对业务0影响。

凭借领先的技术和理念优势,青藤万相连续6年入选Gartner CWPP市场指南,位列Frost&Sullivan云主机安全市场领袖梯队,并在赛迪云主机安全报告中市场占有率第一,为金融、政府、运营商、互联网、国央企等20+行业的1000+头部客户提供了主机防护。如果你对这个领域有任何疑问或有主机安全防护需求,可以拨打400-188-9287转1咨询青藤安全专家。如果您想获取更多网络安全报告,可以进入青藤云安全官网(www.qingteng.cn)进行下载, 点击“阅读原文”申请万相免费试用~


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNjIxNDQyMQ==&mid=2247492280&idx=1&sn=695195a2a332abcd407136c5c2ed8f94&chksm=c151e542f6266c54e50d571417f3be77fb14b03e9f0170903ecb87a47ebfb9ecafbd65a263dd#rd
如有侵权请联系:admin#unsafe.sh