青藤云安全

云时代下,如何做好安全最后一公里?

安全进入无边界阶段,威胁无处不在,安全防御变得尤为重要。青藤云安全帮助中国煤炭地质总局实时了解资产变化,持续监控分析,精准发现主机风险,建立全方位、多层面的联合防御体系。

安全主动防护机制 持续动态监控分析 安全能力协同联动
云时代下,如何做好安全最后一公里?

中国煤炭地质总局信息化管理处 王金辉

“建议企业在选择安全合作伙伴时,可以重点考察那些能够做到对服务器进行持续监控分析,能够自内而外构建安全防护体系的厂商。此外,能够精准的发现主机风险、实时的进行入侵检测和细粒度进行资产清点也非常重要。”

关于中国煤炭地质总局

中国煤炭地质总局成立于1953年,先后隶属于燃料工业部、煤炭工业部,现为国务院国资委管理的中央勘查企业,是煤炭、化工资源勘查及煤炭、化工地质单位的行业管理机构。

非常荣幸邀请到中国煤炭地质总局信息化管理处 王金辉先生,为我们讲解《网络安全法》、主动安全防护、云安全防护、主机安全以及产品选型等问题,下文内容为部分核心观点,详细精彩内容请观赏视频~~



随着信息化技术快速发展,对安全的认识需要站在一个全新的维度来看待,这是因为安全本身是动态发展的,是随时代和技术进步的,它体现在来自安全领域的挑战越来越没有边界。


安全已进入无边界阶段,安全威胁、安全危机无处不在,但是安全防御无法跟上安全威胁发展的速度。如何清楚了解企业自身资产状况?如何避免一点突破导致全网突破?又如何做好云计算、大数据等新技术下安全防护?此类诸多问题都成为了安全从业人员亟需解决问题。


知己知彼,才能避免成为黑客跳板


对资产"看得全,理的清,查得到",已经成为企业在日常安全建设中首先需要解决的问题。对于一些老旧系统和资产,应该及时清理。虽然有人可能更中意遗留系统的稳定性,但遗留系统通常不接受更新和补丁。于是,它们更易遭到安全漏洞的侵袭,甚至可能缺乏新技术都配备了的安全功能。


攻击者可以利用横向渗透攻击技术,以这些老旧系统漏洞为跳板,访问其他主机,获取包括邮箱、共享文件或凭证信息在内的敏感资源。在此基础上,进一步控制其他系统、提升权限或窃取更多有价值的凭证。建议企事业单位部署一些资产清点工具,实时了解企业资产变化,对于一些老旧资产进行及时清理。


如何避免一点突破,全网突破?


当下很多重要行业的专网,重边界防护,轻内部防护,且缺乏分区,分域隔离和域内防御措施不到位。根据以往经验,为避免陷入一点突破全网突破的窘境,企业信息安全建设应该做出两点调整。


首先,从单兵防护向联合防护转变。以前各行各业主要是采用传统安全防护手段,比如防病毒、防木马、防攻击等手段。但是这些技术主要是单兵作战,自成一体,缺乏全方位,多层面的联合防御,没有很好地整合达到高效整体防护效益。因此,建立整合、联动、集约化安全防护体系成为下一步安全工作重要切入点。


其次,建立由内而外安全主动防护机制。传统安全的实现方法是在数据中心的出入口添加设备,对进出流量进行分析,将已知的黑客行为提炼成规则,用规则匹配流量数据,匹配到有问题的流量将其拦截,反之则放过。不过这种边界式防御的效果会越来越差,一是因为很多公司都对通讯信息进行加密和私有化,流量分析变得越来越困难;二是黑客攻击方式层出不穷,基于已知攻击来制定对抗规则,根本无法抵御快速变化的、未知的攻击。


这样,不过无论黑客使用什么方法入侵,都会在系统内部引发变化,如果能有效监控这些变化,就能从这些变化中识别出黑客攻击来。这就是自内而外的防护,也是未来的安全技术发展趋势。要监控变化,需要根据业务的运行情况,生成细粒度的指标。通过对这些指标进行持续的监控和分析,便能第一时间识别攻击并迅速响应,检测效果更快、更准确。


在云时代下,如何做好安全最后一公里


以云计算为代表新一代安全技术,为各行各业发展带来巨大动力,但因此而带来风险和威胁也不容忽视。随着云时代的来临,业务变得越来越开放和复杂,固定防御边界已经不存在,而黑客的手段却越来越多样化。大多数企事业单位还是优先使用拦截和防御以及基于策略的控制手段将危险拦截在外,但高级定向攻击总能轻而易举地绕过传统防火墙和基于黑白名单的预防机制。


当然,云安全并不需要一个全新的事件响应框架,只需将原有的响应程序、处理机制和工具与云计算相关的环境对应起来。但是,云计算的某些特征会影响事件响应的效果,主要包括以下三方面:(1)云计算属于按需自服务,云租户在处理安全事件时基本不可能从云服务商那里获得协助。(2)云服务的资源池化可能会导致事件响应过程复杂化。(3)在多租户场景下,收集和分析事故的非直接数据和原始数据可能引发对隐私问题的担忧。


当然了,云计算对于事件响应来说也算是有好处的。云的持续监控机制,可以减少事件响应频率或事件处理时间。相比传统数据中心技术,虚拟化技术和云计算平台固有的弹性特质减少了服务中断时间,让响应恢复措施更有效。


对于距离数据最近的主机,应该以工作负载为核心进行保护,要能够做到持续感知业务端的运行状态,第一时间识别出攻击并迅速做出响应,并且要能够做到比传统防御手段更快、更准地检测和响应未知威胁,主要包括两个方面内容:


(1)持续监控与分析


传统安全防护难以应对高级定向攻击或持续攻击,"应急响应"已不再是正确的思维模式,企业要持续、动态地监控自身安全,并加强快速分析和响应能力。


(2)安全能力协同联动



各项安全能力要能够协同联动,以智能、集成和联动的方式应对各类攻击。通过协同打破数据的孤岛和鸿沟,对网络攻击进行同源性分析、溯源和打击。


因此,建议企业在选择安全合作伙伴时候,可以重点考察那些能够做到对服务器进行持续监控与分析,并且能够自内而外构建安全防护体系的厂商。与此同时,能够精准发现主机中存在风险、能够实时进行入侵检测和细粒度资产清点也非常重要,这些方面都需要进行全面统筹考虑。


案例相关产品和服务

为1000+大型客户,800万+台服务器
提供稳定高效的安全防护

预约演示 联系我们
电话咨询
售前业务咨询
400-800-0789转1
售后业务咨询
400-800-0789转2
复制成功
在线咨询
扫码咨询
扫码咨询
预约演示 下载资料