杭州美創科技有限公司總經理 柳遵梁零信任架構是美創數據安全實踐的核心遵循思想。美創從數據不應該自動信任任何人的基本觀點開始,從2010年開始實踐,在2015年左右正式形成了零信任架構1.0版本,在美創科技的每個數據安全產品中無縫落地。在經過5年的成熟實踐之后,近期美創科技零信任架構即將升級為2.0版本,以更好的滿足數據安全和網絡安全的訴求。零信任架構1.0包含四大基本原則和六大實踐原則,具體內容如上圖所示。在本文中講六大實踐原則,六大實踐原則是四大基本原則的具體落地措施,其中知白守黑已經在上篇中做過講解,不再重復。1. 從保護目標開始當你連自己的保護目標是誰,在哪兒都不清楚的時候,很難想象施加的保護措施會是有效的。保護和防御總是從理解目標、懂得目標開始,我們需要保護的目標是資產。在數據安全中,數據或者敏感數據就是最顯而易見的資產。我們要知道數據在哪里,數據是什么,做數據認責,確定數據的責任人,做敏感數據發現和識別,做敏感數據分級分類。2. 由內而外進行保護而不是由外而內防御當我們具有明確的保護目標并清晰的認知它,我們就開始圍繞著資產進行保護。越靠近保護目標的措施就越有力,這是個人人都懂的常識。顯然,在零信任架構中,首先構建緊貼數據的保護措施,然后逐步由內而外構建防御體系是一種自然選擇。3. 以身份為基礎而不是以賬戶為基礎賬戶可以說是IT基礎架構的基礎,無論是操作系統,數據庫還是各種業務系統都依賴于賬戶體系生存。但是賬戶在網絡環境中具有高度的不確定性,天生可以被冒名、盜用、碰撞、密碼的管理復雜度等弱點。特別是賬戶共享機制直接剝奪了賬戶的私密性,使其完全不具有確定性。從nist宣布實踐了40多年的復雜密碼體系破產可以看出賬戶管理體系的復雜性和高風險度。在零信任架構中,網絡中充滿著不確定性,除了明晃晃的資產可以被信任之外,包括傳統網絡中的位置和賬戶都存在天生的不可信任性。零信任架構或者安全的本質就是在不可信任的網絡環境掌控可以信任的因素,生活中的人顯然是一個可以確定的因素。如果可以把生活中的人映射到網絡中,就可以成為一個相對確定性的因素。我們把人在網絡中的映射表述為身份,人和身份之間的映射確定程度則體現為身份的確定性程度。4. 特權管理和三權分立在生活中,大部分情況下每個人對于自己擁有的東西具有絕對的處置權。我們的信息化系統的訪問控制體系也是基本按照這個體系建立起來的,這個體系被表述為自主訪問控制體系。操作系統,數據庫,中間件以及各種業務系統,基本都遵循這個體系來構建訪問控制。隨著信息化的不斷普及以及數據價值的不斷提高,自主訪問控制體系中必然存在的超級賬戶這個幽靈的威脅在不斷放大又無能為力。生活中除了完全自由處置權之外,事實上還運行著另一套機制:三權分立機制。當涉及到大眾利益或者重要權力的時候,往往是需要多方決策制衡,一致同意才可以完成。甚至于重要的私人物品,比如文物孤品,收藏家未必具有完全的處置權,比如私有林場,林場主未必有自由砍伐權。非常遺憾的是,生活中的三權分立機制并沒有被廣泛引入到網絡世界的基礎設施中。比如操作系統,數據庫等基礎設施都采用自主訪問控制體系,充斥著超級賬戶和特權賬戶。正是因為如此,特權賬戶會成為網絡世界中的最大威脅之一。零信任架構的保護目標都是高價值目標,必須以做到消除特權賬戶,實現三權分立為基礎。如果無法做到三權分立,要實現零信任架構是存在悖論的,或者是無法達成的。5. 基于訪問鏈的動態驗證零信任架構的高價值的目標,比較傳統網絡安全對于確定性的要求要高出很多。美創零信任架構通過資產的確認和身份的認知,建立了在不確定網絡中兩個確定性支點。但是客觀來說,再確定性的身份都會存在被脅迫、劫持、冒用和盜用的風險,也就是說身份的不確定性始終是存在的。為了可以進一步提升資產訪問的確定性,需要對身份在訪問生命周期進行持續的動態驗證,不斷通過附加因素來增強其確定性,比如環境上下文,比如時空上下文,比如操作上下文,比如路徑依賴等等。我們不僅要看其相貌,還要觀其言,察其行,才可以最終確定是否真正是我想要的那個人。訪問鏈是美創零信任架構的一個重要的概念,其承載了兩個基本事實:一是貫穿全局(訪問生命周期)的身份,二是當上下文發生明顯變化的時候持續對身份進行驗證,動態增加或者降低身份的信任程度。6. 知白守黑知白守黑不僅是美創零信任架構的實踐指南,也是美創零信任架構的四大基本原則之一。知白守黑已經在前文中做過詳細說明,這里不再展開。工控安全漫談 今天
本文介紹ACT-IAC(美國技術委員會-工業咨詢委員會)于2019年4月18日發布的《零信任網絡安全當前趨勢》(《Zero Trust Cybersecurity Current Trends》)報告的主要內容。該報告的目錄如下:執行摘要項目背景何為零信任建立信任是基礎零信任的好處部署零信任的建議步驟聯邦政府中對零信任的挑戰最后結論筆者之前介紹了美國國家標準技術研究所(NIST)和美國國防部國防創新委員會(DIB)對零信任的認識。DIB可以視為美國軍方的代表;NIST可以視為美國標準(或美國民間)的代表;ACT-IAC這一篇可以視為美國聯邦政府的代表。從不同的角度看看,也是蠻有意義的。筆者計劃,在介紹完《零信任網絡安全當前趨勢》這個報告之后,再次放出對NIST《零信任架構》草案的詳細介紹(之前的介紹只是非常概要的)。原本是想等到NIST放出正式標準后,再全文翻譯的。可是,日子只會溜走,等待只會遺憾。相比《零信任網絡》一書,上述這些材料雖然薄了點,但也算是美國比較官方的零信任材料,還是非常值得學習借鑒的。若不細看上幾遍,不那么容易領會精髓。項目背景美國技術委員會(ACT)是一個非營利性的教育組織,旨在建立一個更加高效和創新的政府。ACT-IAC(美國技術委員會-工業咨詢委員會)提供了一個獨特的、客觀的、值得信賴的論壇,政府和行業高管正在共同努力,通過使用技術來改進公共服務和代理業務。本報告所載的調查結果和建議是以協商一致為基礎的,并不代表任何特定個人或組織的意見。為了保持其合作過程的客觀性和完整性,ACT-IAC不接受政府資助。2017年5月,總統成立了美國技術委員會(ATC),以促進聯邦政府安全有效地使用IT,并指示它編寫一份關于聯邦IT現代化的報告。2017年晚些時候發布的IT現代化報告和相關的行政命令2,將使機構“……從保護他們的網絡邊界和管理傳統的物理部署,到保護聯邦數據和云優化部署”。它承認,這項工作的成功需要新的方法和戰略。2018年5月,聯邦首席信息官理事會服務、戰略和基礎設施委員會要求ACT-IAC承擔一項與零信任(ZT)和潛在聯邦機構采用有關的項目。與此同時,聯邦機構將從2023年3月開始,將網絡服務從目前的總務管理局(GSA)合同轉到新的企業基礎設施解決方案(EIS)合同。聯邦政府有一個獨特的機會,來利用IT現代化和EIS過渡的匯合,以深刻變革機構的網絡服務交付和數據保護。ACT-IAC建立了政府和工業志愿者的項目團隊,主要來自其網絡、電信和網絡安全社區。他們的工作被設計為評估ZT技術和服務的技術成熟度和可用性,并識別和解決與潛在的聯邦機構采用相關的其他重要問題。該項目側重于兩個工作流程:第一個工作流程:評估了市場上支持ZT的實際工具,并確定了尚未實現的概念化能力。市場研究側重于評估技術成熟度和準備度、適合性、可擴展性和基于實際實現的可承受性。這包括六家公司(Cisco, Duo, Palo Alto, Zscaler, Fortinet, Cyxtera)的展示和演示,他們已經向商業和公共部門提供了其產品和服務中的ZT元素。第二個工作流程:主要集中在信任算法上。這些動態算法用于生成信任分數,這對于全面的ZT解決方案是必不可少的。信任分數用于根據定義的標準授予、限制或拒絕訪問。項目團隊開發了對現有信任算法工作的理解,以向聯邦機構提供關于這個主題的建議。執行摘要今天的系統正在擴展和演變為移動和云的環境,將傳統的基于邊界的網絡安全方法擴展到了臨界點。一種稱為“零信任(ZT)”的新方法,可能大幅改變和提高機構保護他們的系統和數據的能力。ZT是一個安全概念,其基礎是組織需要主動控制人員、數據和信息系統之間的所有交互,以將安全風險降低到可接受的水平。ACT-IAC被聯邦CIO理事會要求評估ZT技術的成熟度,它們的準備性和在政府中的適用性,以及如果他們選擇使用ZT,機構將面臨的問題。本報告提供了該評估的結果。現代IT安全解決方案需要結合幾個最小特性:在信任框架內隔離用戶、設備、數據和服務,以確保每一個訪問請求都被驗證并故意允許或不批準;能抵抗攻擊和對攻擊有彈性,而沒有大的管理負擔;能夠容易、快速地(如果不是自動地)適應不斷變化的服務環境,也沒有很大的管理負擔。ZT通過處理所有用戶、設備、數據和服務請求,來滿足這些特性。ZT本質:它從一個組織中所有資產都是開放和可訪問的傳統安全策略,轉變為需要持續的身份驗證和授權才能訪問任何資產。這個根本的變化是ZT的本質。ZT不是你要買的東西,它是一個安全概念、策略和架構設計方法。ZT解決方案現狀:ZT解決方案是廣泛可用的,目前正在私營部門使用。市場上也存在著良性競爭。目前沒有一家供應商提供單一的、整體的ZT解決方案。要獲得一個全面的解決方案,需要集成多個供應商的產品和服務。一些不同的ZT架構方法可供機構選擇。實施ZT的條件:實施ZT不需要大規模更換現有網絡或大量獲取新技術。ZT應該增加其他現有的網絡安全實踐和工具。許多聯邦機構已經在其基礎設施中擁有ZT的元素,并遵循在日常運作中支持它的實踐。諸如身份憑證和訪問管理(ICAM)、基于信任算法的訪問標準、自動策略決策和連續監視等元素,是成功的ZT的關鍵補充。ZT采用的是漸進式方法。它在規模、步調、風險偏好和最終實現程度上給機構提供了很大的自由度。然而,在開始實施ZT之前,組織必須牢牢把握他們的用戶和他們的角色、他們的數據和他們的技術資產。實施ZT需要“整個機構”的努力。由于ZT可以影響任務計劃系統的安全性、風險性和性能,機構負責人和受影響的項目負責人必須與IT人員一起合作設計和實施ZT。ZT需要由任務驅動,而不是只為了自己的利益而由IT驅動。何為零信任2004年,零信任作為一個安全設計的概念,由Jericho論壇引入, Jericho論壇是一個總部設在英國的首席信息安全官(CISO)群體。他們看到由于云和移動計算的加速使用,導致訪問和授權的方式改變之后,這個有遠見的團體假設了一個安全模型,這個模型對于傳統的邊界正在消失或變得不相關的世界是正確的,工作流正在移動到云,而移動端點對于應用程序訪問正成為規范。近年來,我們看到了這一加速,因為向健壯、快速的5G網絡移動,導致一些組織懷疑他們是否應該提供網絡服務。2010年, John Kindervag(約翰德金瓦格)在Forrester進行研究時,創造了“零信任”或“零信任網絡”這一術語,以解決Jericho論壇提出的問題。從那時起,零信任的興趣增加,作為解決溶解或不斷移動邊界的潛在安全方法。大多數現有的企業網絡都是扁平的,即數據和用戶網絡之間幾乎沒有分離。傳統的中心輻射網絡模型的弱點在于其架構。通過防火墻跨越信任與不信任之間的鴻溝,從本質上說是危險的。相反,零信任不再區分“內部”和“外部”網絡周邊。一般來說,零信任:提供用戶從任何地方以任何方式訪問任何地方的數據的一致性安全策略;在訪問服務和/或數據時,采取“從不信任并始終驗證”的立場;無論源于何處的請求位置,都需要持續授權;增加整網可視性和分析性。此外,零信任依賴于五個基本斷言:網絡總是被認為是懷有敵意的;網絡外部和內部威脅始終存在;網絡位置不足以決定網絡中的信任;每個設備、用戶和網絡流都經過認證和授權;策略必須是動態的,并根據盡可能多的數據來源進行計算。零信任概念安全模型的六大支柱零信任可以被認為是一項戰略舉措,與組織框架一起,使決策者和安全領導人能夠達成務實和有效的安全實現。( 1 )零信任的支柱概念安全模型有助于理解和組織這些組件。零信任安全模型見下圖:任務焦點IT能力存在于組織內,是為了使任務得以實現,而不是為了自身目的而存在。這種邏輯可以擴展到零信任。信息保護的需求應該由任務驅動,由IT組織來完成。IT組織應該與任務和高層領導一起工作以獲得支持,并為創建對于零信任的組織需求而奮斗。數據基礎零信任架構的目的是保護數據。對一個組織的數據資產的清晰理解,是成功實現零信任架構的關鍵。組織需要根據任務關鍵性,來分類他們的數據資產,并使用這些信息來開發數據管理策略作為其整體ZT方法的一部分。支柱1-用戶:人員/身份安全可信用戶的持續身份驗證對ZT至關重要。這包括使用身份、憑證和訪問管理(ICAM)和多因素認證(MFA)等技術,并持續監測和驗證用戶可信度,以管理其訪問和權限。防護和保護用戶交互的技術,如傳統的Web網關解決方案,也很重要。支柱2-設備:設備安全實時的網絡安全態勢和設備的可信性是ZT方法的基本屬性。一些“記錄系統”解決方案(如移動設備管理器)提供可用于設備信任評估的數據。此外,對每個訪問請求應進行其他評估(例如,入侵狀態的檢查、軟件版本、保護狀態、加密啟用等) 。支柱3-網絡:網絡安全有人認為,邊界保護對于網絡、工作流、工具和操作變得越來越不重要。這不是由于單一的技術或用例,而是許多新技術和服務的匯聚,允許用戶以新的方式工作和通信。零信任網絡有時被描述為“無邊界”,這有點誤入歧途。零信任網絡實際上試圖從網絡邊緣和片段中移動邊界,并將關鍵數據與其他數據隔離。周界仍然是一個現實,盡管是以更細粒度的方式。傳統的基礎設施防火墻邊界“城堡和護城河”的做法是不夠的。邊界必須更接近于數據與微分段,以加強保護和控制。隨著代理將其網絡部分或完全過渡到軟件定義網絡(SDN)、軟件定義的廣域網(SD-WAN)和基于Internet的技術,網絡安全正在擴展。關鍵是:(a)控制特權網絡訪問;(b)管理內部和外部數據流;(c)防止網絡中的橫向移動;(d)具有可視性,以便對網絡和數據流量進行動態策略和信任決策。分段、隔離和控制網絡的能力,仍然是零信任網絡安全的關鍵點。支柱4-應用:應用程序和工作負載安全確保和適當地管理應用層以及計算容器和虛擬機是ZT采用的核心。具有識別和控制技術堆棧的能力,有助于更細粒度和準確的訪問決策。毫無疑問,多因素身份驗證(MFA)是在ZT環境中為應用程序提供適當訪問控制的一個日益關鍵的部分。支柱5-自動化:安全自動化和編排和諧、成本高效的ZT充分利用安全自動化響應工具,通過工作流自動化跨產品的任務,同時允許最終用戶的監督和交互。安全操作中心(SOC)通常使用其他自動化工具進行安全信息和事件管理(SIEM)以及用戶和實體行為分析(UEBA)。安全編排連接這些安全工具,并協助管理不同的安全系統。這些工具可以以集成的方式工作,大大減少體力勞動和事件反應時間,并降低成本。支柱6-分析:安全可見性和分析你不能對抗一個你看不見或無法理解的威脅。ZT利用諸如安全信息管理、高級安全分析平臺、安全用戶行為分析和其他分析系統這樣的工具,使安全專家能夠實時地觀察正在發生的事情和更智能地定向防御。對網絡相關事件數據的分析,有助于在實際事件發生之前制定主動安全措施。( 2 )其他零信任安全模型其它幾種模型可用于幫助組織理解概念并指導他們在其環境中引入零信任的努力:零信任擴展( ZTX )生態系統框架:由Forrester開發,該框架被描述為一個安全架構和運行手冊。持續適應性風險和信任評估(CARTA)模型:來自Gartner,CARTA被描述為一種在高級威脅環境中支持數字業務轉型的方法,這種環境需要一種新的安全方法。零信任可以是整個CARTA安全方法的子組件。( 3 )隱私關注將隱私集成到ZT架構設計和生命周期過程中是非常重要的。隨著我們將計算推向“邊緣”,導致日益復雜的IT信息系統和設備的世界,圍繞IT投資的隱私問題也在增加。將隱私控制到安全控制目錄的完全集成,是下一代NIST SP 800-53(Rev 5)安全和隱私控制標準的主要目標。ZT實施可能有新的和不同的方法,來監視用戶行為和/或跟蹤用戶身份。ZT從業者需要確保他們遵守適用的隱私法律、法規、標準和政策。通過與機構隱私官員密切協調設計和開發工作,這一領域的成功是可以實現的。特別重要的是,根據20026電子政務法第208條的要求,確保所有的ZT實施在機構隱私影響評估(PIA)中有適當的披露。( 4 )谷歌“BeyondCorp”模型谷歌“BeyondCorp”模型是關于零信任實現的最早討論和文檔化的例子。BeyondCorp提供了一個實際的零信任實現的例子。雖然Google是一家商業企業,但其許多內部組件應該是任何企業都熟悉的。BeyondCorp基于原始零信任前提:傳統的基于邊界的安全不足以保護內部網絡和數據。此外,谷歌認識并促進云技術的發展,并將應用程序從本地數據中心移動到云提供的應用程序和服務。BeyondCorp零信任支柱:從特定網絡的連接,不得確定您可以訪問哪些服務;到服務的訪問權限,基于我們對您和您的設備的了解授予。所有到服務的訪問,必須經過認證、授權、加密。BeyondCorp組件:可以映射到上述零信任支柱的以下組件:單點登錄訪問代理訪問控制引擎用戶清單設備清單安全策略信任知識庫組件交付方式:這些組件是作為Google云平臺的一部分交付的,許多組件是由Google集成訪問代理交付的。由于這是一個只通過云的交付策略,所以使用基于虛擬軟件的解決方案,來配合軟件定義邊界的使用是必要的。應用程序被遷移到云中,在云中可以交付細粒度的訪問控制。這消除了授權應用程序訪問谷歌Intranet的必要性。Google使用一種基于代理的方法作為強制點,來控制對在Google云平臺上交付的托管應用程序的訪問。該代理方法已被改進,并作為云身份感知代理產品交付,它控制了零信任的基本支柱。建立信任是基礎作為一個框架,零信任意味著天生的不信任(“ 默認拒絕”),需要一種強調 持續監測和評估的 自適應部署模型。問題一:在這種 以信任為中心的轉變中,首要的問題之一是“我們如何確定某事物的 可信度?”許多安全組織很難回答這個問題。傳統程序:假定所有數據和事務都是可信的,而實際上,入侵、數據丟失、惡意參與者等都會降低信任。零信任:則是按動了 信任計算,通過假設所有數據和事務從一開始就不受信任。問題二:新的問題是“我們如何獲得 足夠的信任?“雖然一些關鍵概念和組件可以應用于所有部署,但沒有可應用于每個組織的 固定公式。信任會隨著組織的需要和關注而改變。( 1 )零信任三角零信任環境集成了數據、用戶、設備、應用程序的控制,以管理所有事務的可信性。信任引擎:是一種用于通過賦予 信任分數來動態評估網絡中的用戶、設備或應用程序的總體信任的技術。信任引擎使用計算出的信任分數,為每個事務請求做出基于策略的授權決策。信任分數:是由組織預先定義或選擇的因素和條件計算出的值,用于確定給定用戶、設備或應用程序的可信性。諸如位置、時間、訪問時長和采取的行動等信息,是確定信任分數的潛在因素的例子。微分段:是一種安全技術,能夠將細粒度安全策略分配給數據中心應用程序, 粒度可以降到工作負載級別和設備層面。這意味著安全策略可以與虛擬網絡、虛擬機、操作系統或其他虛擬安全目標進行同步。在零信任三角內,信任引擎通過使用信任分數來評估進入網絡的任何代理的可信性。代理(或“網絡代理” ):是指在網絡請求中已知的關于參與者的 數據組合的術語,通常包含用戶、應用程序、設備。該數據組合,根據需求實時地查詢,以提供情境上下文以使最佳授權決策成為可能。在計算出信任分數之后, 用戶、應用、設備、分數被綁定以形成代理。然后, 策略可以應用到代理上,以授權請求。( 2 )零信任架構中的控制和數據平面零信任架構基于控制平面/數據平面模型(見下圖):控制平面:由 接收和處理來自希望訪問(或準許訪問)網絡資源的 數據平面設備請求的組件組成。控制平面協調和配置數據平面。數據平面:零信任架構中的幾乎所有其他事物都被稱為數據平面。數據平面包含所有應用程序、防火墻、代理、路由器,它們直接處理網絡上的所有流量。圖中所示的架構,支持訪問受保護資源的請求,該請求首先通過控制平面發出,其中設備和用戶都必須經過身份認證和授權。細粒度策略可以應用于該層,可能基于組織中的角色、一天中的時間、或設備類型。訪問更安全的資源,還可以要求更強的身份驗證。一旦控制平面決定允許請求,它將 動態配置數據平面,以接受來自該客戶端(并且僅限于該客戶端)的流量。此外,它還可以協調請求者和資源之間 加密隧道的細節。這可以包括臨時的一次性使用憑據、密鑰和短暫端口號。雖然可以在這些措施的強度上做出一些折衷,但 基本思想是:一個權威的來源或可信的第三方,被授予一種能力,即 基于各種輸入,能夠實時地認證、授權和協調訪問。代理中包含的 富化信息,允許非常靈活但細粒度的訪問控制,它可以通過在策略中包括評分組件來適應不同的條件。如果請求被授權,則控制平面向數據平面發送信號以接受傳入的請求。此操作還可以配置加密詳細信息。加密可以應用于在設備級、應用級或兩者之上的靜止數據和移動數據。至少需要一個用于保密性。利用這些認證和授權組件,以及在協調加密信道的控制平面的幫助下,零信任模型可以 斷言網絡上的每一個流,都是經過認證和預期的。主機和網絡設備可以丟棄尚未應用所有這些組件的流量,從而顯著降低敏感數據泄漏的可能性。此外,通過記錄每一個控制平面的事件和動作,網絡流量可以容易地在 逐個流量或 逐個請求的基礎上進行審計。零信任的益處當對遷移到零信任架構進行評估時,組織內的技術和業務領導者都必須看到潛在的好處。核心ZT成果應集中于:創建更安全的網絡,使數據更安全,減少違規帶來的負面影響,提高合規性和可視性,實現更低的網絡安全成本,并提高組織的整體風險態勢。實施的好處 取決于部署ZT原則的程度和所使用的操作模型。丟失的或被盜的數據、外泄的知識產權和其他類型的違規行為,會損害組織的資金和聲譽。避免這種情況是成功采用ZT的關鍵。( 1 )更加安全的網絡實施一個“從不信任,永遠驗證”的方法,應該加強對網絡中正在發生的事情的可見度。新工具可以提供對訪問請求的任何人的用戶、設備、位置、信譽的更高可見性。運營者很難防止或修復他們看不見的東西,所以可見性是關鍵。如果用戶、設備或行為未被識別或超出用戶基線風險評分,它們將被丟棄。ZT還 細分了內部架構,以限制常與系統滲透漏洞相關的 用戶“漫游”。傳統上,企業已經部署“內部防火墻”作為一種分段方法,但是現在可以使用增強的方法來實現 微邊界。有了ZT,用戶就不能再登錄并擁有“網絡旅行”。相反,它們被授權只能使用與預先確定的信任級別和訪問相關聯的特定的微邊界。( 2 )關注更安全的數據保護數據在網絡中的傳輸和存儲,是任何網絡價值的主要部分。保護所有數據,無論是靜止的還是運動的,都是ZT架構的主要支柱。有助于這種保護的關鍵技術包括加密、虛擬專用網絡(VPN)和數據防泄漏功能。網絡運營商可以為每種類型的保護選擇單獨的工具,也可以選擇提供多種功能的整合工具。與云計算和“物聯網”設備的增加相關的最近趨勢,已經拓寬了網絡的邊緣。這可能為數據的操作創造了機會。因此,當數據在互連網絡周圍移動時,對數據進行保護是很重要的。ZT方法強調識別高價值數據并優先保護它。通過網絡分段來保護數據,可以幫助避免“磚塊”攻擊(刪除數據),并且反過來,可以保持數據完整性更高,并減少代價昂貴的補救訴訟的可能性。( 3 )改進對現有和演化的威脅的保護傳統上,威脅的演變速度與安全研究人員發布漏洞修補程序的速度一樣快。隨著時間的推移,前沿企業了解到,以“漏洞賞金”的形式支付漏洞研究,是一種非常有效的(盈利的)方法,在漏洞被利用之前識別脆弱的系統。事實上,這會使合法的安全研究人員對抗敵對的“黑客”:他們之間的競爭,繼續演變為威脅景觀。然而,盡管漏洞市場對組織是有利的,但國家敵對行為體也發展了。國家資助的黑客訓練有素,資源充足,堅持不懈。有足夠的證據表明,許多國家有攻擊性的網絡能力,這是全職工作。使用新的戰術、技術和程序,如人工智能和機器學習結合國家級開發代碼(例如,永恒之藍),正在呈指數增長。這可能會使易受攻擊的組織的安全操作團隊無法處理更多的事件。它還可以使攻擊者橫向移動,在一個受損的組織中,以前看不見的速度和準確性。任何新的安全能力必須適應新的現實,并有效地降低外部(互聯網可發現)和內部(內部威脅)攻擊面。零信任以類似的、不折不撓的方式解決這兩個問題:未經充分認證則拒絕對任何服務或數據的訪問。在標準的當前網絡設計中,網絡代理通常通過產生一個記憶口令和令牌碼或硬件認證器的兩個因素的過程,而被授予訪問權限。添加ZT組件,與行為信任評分、位置ID和微分段相關聯,將增強是否允許代理進入網絡的決定。一旦進入網絡,它將 阻止漫游到未經授權的區域。將ZT能力與傳統工具(如下一代防火墻、數據防泄露、行為啟發)結合起來,可以進一步加強網絡。( 4 )減少違規行為的影響實施ZT架構時,由于網絡分段以及用戶獲得有限訪問權限,將減少違規造成的影響。違規造成的更小影響,將減少業務中斷并保持較低的補救成本。違規造成的更小影響,可以幫助維持組織的聲譽和客戶和干系人的信任。分段是限制受到漏洞影響的區域的關鍵技術。將訪問權限限制為僅允許單個用戶訪問的網絡區域,有助于減少違規的影響。( 5 )提高合規性和可見度聯邦機構網絡不缺少現有或未決的合規要求,包括:聯邦信息安全管理法案、聯邦風險和授權管理程序(FedRAMP)、可信互聯網連接(TIC)3.0、國家標準與技術研究所(NIST)出版物。在整個網絡中應用這些要求,可能是一項挑戰;但是,通過 分段的方法,合規性通常可以通過更小、更相關的審計來解決,從而使機構能夠更快地滿足合規性要求。可重用模板方法可用于具有類似特征的網絡分段。關鍵的好處是合規的速度。在ZT架構中提高可見性也有好處。提高了誰、什么和哪里的可見性,使網絡運營者能夠更密切地記錄行為和活動。從改進的可視性處理的分析,進一步有利于網絡運營者。( 6 )提高潛在成本縮減更低的成本,可以從更好的集成工具、減少VPN使用、簡化運營模式、避免丟失數據、訴訟和損壞聲譽來產生。當與ZT架構相結合時,政府組織可能會尋求使用低成本的 商品線路(就風險而言)來更新基礎設施。這些較低成本的直接互聯網接入線路,也促進了更安全的軟件定義廣域網( SD-WAN)連接的附加好處。評估一個機構已經部署的(或即將部署的)零信任的各種支柱的組件/元素。這些是沉沒成本,可能不需要包括在新的投資回報率計算或討論中。此外,與現有工具的集成,可以極大地降低操作ZT所需的投資。底線—— 零信任必須簡化而不是復雜化您的安全策略,以節省資金部署零信任的建議步驟( 1 )部署零信任的考慮如果計劃在安全策略中包含零信任,則當前環境可能已經包含可以利用的ZT工具和組件。例如,一個機構已經擁有強大的 ICAM實現,具有 多因素認證,則可以利用它來支持零信任“ 用戶支柱”能力。類似地,如果一個機構擁有 移動設備管理或 系統清單工具,它們可以被用于“ 設備支柱”組件。在安全架構的任何變化中,重要的是考慮已有的投資可以被利用以及新模型如何以及在哪里快速實現。重要的是要確保在規劃階段盡早選擇正確的方法。在選擇特定的ZT解決方案時,決策必須平衡安全和成本,并能夠解決 今天和明天的挑戰。零信任可以提供一種成熟的解決方案, 它不需要增加運營復雜性或要求主要的架構改變。事實上,它可以 簡化運營,同時提高安全性并保護關鍵的高價值資產。查看和驗證誰有權訪問應用程序和數據,并確保受信任的流量沒有受到損害的能力,至關重要。解決方案應能夠分析活動威脅、惡意軟件、病毒、受損憑據和受限敏感數據的允許通信量。行為分析和自動化可以應用于整合日志記錄,以阻止隱藏的不良行為體看起來可信。零信任是一種使用支柱進行粒度、受限和驗證的訪問控制。一個共同的框架,將允許這些支柱協同工作,同時通過整合和戰略伙伴關系來降低復雜性。( 2 )零信任成熟度模型零信任網絡轉換不必一次完成。ZT成熟度模型可以幫助指導組織 踏上零信任之旅。該模型可以幫助組織、跟蹤和溝通正在進行的工作。這些模型可以定制,以說明工作從哪里開始和跟蹤進展的主要里程碑。下圖包含了一個成熟度模型的示例:您的組織是否有一個明確的與業務需求相一致的 ICAM戰略,導致了由 基于風險的策略所支持的 MFA解決方案的全面實施和集成?您的組織是否有一個最新的 資產清單,可區分 托管和非托管設備,作為集成IT和安全功能的一部分,對它們進行健康檢查?您的組織是否有一個受信任的 設備策略,提示用戶在管理的過程中針對已度量的 漏洞更新其設備,并報告 策略外設備?您的組織是否通過一個 集中管理的策略來 控制用戶訪問,該策略能識別異常并根據異常采取行動?您的組織是否有一個由 架構和一組 過程支持的 與業務對齊的零信任策略,使用戶能夠無縫訪問 內部和云應用程序?零信任是Gartner CARTA發展路線圖上的第一步。大多數企業數據中心都與公共網絡隔離,并與最終用戶硬件分離。與最終用戶訪問公共互聯網一樣,對數據中心的訪問是基于信任的,信任通常是通過驗證IP地址建立的。在數據中心,專有的企業信息和應用是 橫向存儲的。這種 扁平的層次結構意味著,如果一個壞角色滲透到數據中心,所有信息都有風險。攻擊者在一個服務器上獲得立足點,可以很容易地橫向傳播(東/西)到其他系統。“這種 橫向移動是威脅傳播的通用向量——想想近期的Cryptolocker和Petya惡意軟件感染。另一種選擇是使用SDP來實現訪問而不犧牲安全性。
有了SDP,用戶無論是在網絡內部還是外部,都可以 直接連接到資源,無論資源位于云中、數據中心、互聯網;所有這些都 不需要連接到公司網絡。SDP安全軟件在每個用戶的網絡流量周圍建立一個安全的周界,可以說,創建了 一個人的網絡。例如,谷歌為自己的員工開發了名為 BeyondCorp的SDP。用戶(或SDP主機)不能發起或接受與另一個SDP主機的通信,只有在連接到對事務進行授權的SDP控制器之后才可以。SDP方法中的一個關鍵概念:SDP控制器對SDP主機的指令,消除了DNS信息和端口對“外部”的可見性需求,實現了有效“隱身”或對外部人員創建了一個不可見的“黑暗”網絡。SDP代表了一種網絡安全方法,它圍繞高價值企業應用程序和數據訪問,創建了一個保護屏障。這種技術,以及其他類似的技術,可以保護應用基礎設施免受現有和新出現的網絡威脅。例如,現有的攻擊(如憑據竊取和服務器利用被動態地阻止,因為這些技術只允許從已注冊到認證用戶的設備訪問,這是一個 關鍵的零信任元素。SDP能力可以以不同的方式成功交付,例如通過代理、在線軟件、云服務,甚至場內方式。SDP通過維護每個事務的默認拒絕狀態,來實現零信任。策略是由用戶和上下文(通常包括行為分析)定義的,比單獨的微分段降低了風險。未經授權的橫向移動風險也被消除,因為所有事務都以與企業防火墻內部或外部相同的方式進行評估。致力于采用 基于軟件的安全模型,是SDP成功的關鍵。SDP允許經過身份驗證的用戶,訪問在任何環境中運行的授權應用程序和數據,而無需將用戶放進網絡或將私有應用程序暴露給互聯網。如前所述,零信任是一種安全策略,由當今在聯邦空間中 非常常用的元素組成。然而,在部署和運行任何新技術方面都存在挑戰。還有一些挑戰是特定操作環境所特有的。在聯邦政府部署成功的ZT解決方案面臨的最大挑戰是網絡安全成熟度的普遍缺乏。其中包括普遍缺乏標準化的IT能力和網絡可見性。采用ZT成熟度模型的方法,可以幫助解決關鍵能力,以成功和更快速地解決路障,并將機構移入日益成熟的網絡安全態勢。( 2 )共享的系統和網絡鏈接成功的零信任部署的另一個挑戰是聯邦IT中廣泛的系統相互依賴性。幾乎每個聯邦機構都從其他聯邦機構接收或提供服務(例如,計費、時間和出勤、旅行、人力資源等)。這可能對大規模的超級機構的依賴性特別有影響,它們受到高度管制(例如,金融和衛生部門)。最后,這些依賴性是雙向的:當私營部門的合作伙伴轉移到ZT解決方案時,聯邦機構可能期望支持需求。在所有情況下,及早和經常與服務提供商、合作伙伴和客戶進行溝通,將有助于克服這些挑戰。( 3 )遠離合規驅動網絡安全需求的增長速度超過了解決這些問題的預算。這導致:關注于管理風險的較少,更多關注于從鏈條上看到的可報告元素。例如,連續監測是任何有效的網絡安全計劃的關鍵方面,但威脅情報和紅隊演習也是如此:但只有一個報告。將零信任指定為政府范圍內的 優先事項,可以促進更廣泛和更快的采用。( 4 )納入TIC 3.0要求ZT的另一個挑戰,是它如何工作或支持新的可信互聯網連接(TIC)3.0指南。以下是TIC用例表,與TIC 3.0備忘錄一致。DHS計劃這項工作將導致不斷改進和發展更新的TIC用例,用例展示了新興技術和不斷演變的網絡威脅。DHS已經定義了四個不同的用例,以覆蓋諸如 云應用(用例1)、位于機構定義的安全邊界之外的 機構分支辦公室(用例2)、位于機構定義的安全邊界之外的 遠程用戶(用例3)、未在其它DHS TIC用例中覆蓋的 傳統TIC安全(用例4)。以下DHS定義的TIC用例最適合ZT解決方案方法:用例1:云。這些TIC用例覆蓋了當今機構使用的一些最流行的云模型。其中包括:a.基礎設施即服務(IaaS)b.軟件即服務(SaaS)c.電子郵件即服務(EaaS)d.平臺即服務(PaaS)用例2:機構分支辦公室。這個用例假設有一個機構的分支機構,與總部分開,但分支機構利用總部的大部分服務(包括一般的web流量)。這個用例支持那些想要啟用 SD-WAN技術的機構。到ZT FedRAMP批準的SaaS云應用程序的SD-WAN連接,非常適合這個定義的TIC 3.0用例。用例3:遠程用戶。這個用例是原始FTO(FedRAMP TIC Overlay )活動的演變。用例演示了遠程用戶如何使用GFE(政府供應設備)連接到該機構的傳統網絡、云和因特網。FedRAMP ZT解決方案非常適合這種DHS定義的TIC 3.0情況。( 5 )在聯邦市場中獲取零信任網絡的能力現在已經了解到 ZT是一個“框架和架構”,有很多選擇來采購使能技術產品和服務組件。ZT項目很可能涉及服務和產品,因此建議機構尋求能同時滿足這兩種需求的合同工具。關于ZT如何融入一些使用最廣泛的聯邦合同工具的例子包括:GSA SCHEDULE 70、DHS持續診斷和緩解(CDM)、GSA企業基礎設施解決方案(EIS)等。
零信任是一個演進式的框架,而不是革命性的方法。它建立在現有的安全概念之上,并沒有引入一種全新的網絡安全方法。與大多數安全概念一樣,零信任依賴于對組織的服務、數據、用戶、端點的基本理解。關于前期資源投資, 沒有“免費午餐”。策略定義、部署概念、信任確定(和衰退)、執行機制、日志聚合等,都需要在部署解決方案之前考慮。也就是說,許多大型機構(如谷歌、Akamai和Purdue)都已進行了投資,顯示出安全投資的真正回報。ZT本身并不是一項技術,而是網絡安全設計方法的轉變。當網絡設計將多個供應商的產品集成到一個全面的解決方案中時,當前的解決方案領域顯示出非常成熟且經過驗證的解決方案。無論是尋求零信任網絡的解決方案是什么,諸如軟件定義的網絡和身份、憑證和訪問管理(ICAM)等要素,都是成功的長期ZT策略的重要組成部分。ZT可以增強和補充其他網絡安全工具和實踐,而不是取代它們。威脅情報、持續監視、紅隊演習仍然是零信任網絡環境和全面安全方法的重要組成部分。毫無疑問,有效的零信任網絡部署可以顯著改善組織的網絡安全態勢。然而,許多聯邦機構面臨挑戰,包括復雜的數據和服務與其他組織的相互依賴性。在將ZT擴展到關鍵任務、多組織的工作流之前,必須仔細考慮這些依賴關系。ZT是一個成熟的策略,可以提供積極的網絡安全投資回報,但它可能需要前期投資,這取決于機構有哪些已經到位。關鍵基礎設施安全應急響應中心 今天
Wi-Fi是大家熟悉的一個名詞,但是Wi-Fi6似乎就讓人有些熟悉又陌生了。
2020年3月,中國聯通聯合中興通訊正式發布Wi-Fi6技術白皮書。Wi-Fi6這一術語開始進入大眾視野。
實際上,Wi-Fi6是Wi-Fi協議的一次更新,目前更新到了第六代。既然是代代相傳,這就意味著Wi-Fi協議背后實則有一個龐大的家族。
Wi-Fi6全稱叫802.11ax,可以追溯至1997年,當時最早的Wi-Fi 標準是802.11,由IEEE(電氣和電子工程師協會)提出。發展至今,每一次更新都以末尾的字母來相區別。因此,經過了b(二代)、a/g(三代)、n(四代)、ac(五代),而最新的ax就是第六代。
就好比移動網絡中的2G、3G、4G、5G一樣,Wi-Fi網絡也有其自身的更迭,但更快和更穩定的傳輸速度是無線網絡追求的終極目標,而影響網速快慢、穩定程度的因素則是距離、網速和配置。Wi-Fi6相比前幾代,增加一些特性,比如利用OFDMA頻分復用技術、DL/UL MU-MIMO技術、更高階的調制技術等。
如下圖所示,Wi-Fi6能夠承載更多設備,提高數據傳輸速度和穩定程度。那么其中的幾個大功臣當屬OFDMA、MU-MIMO以及更高階的調制技術。
在此之前使用的技術是OFDM,一種將傳輸信道分流的技術。簡單來說,就好像沒有車道且擁擠的道路,車輛多、雜,還容易碰撞,使用了OFDM技術后,可以劃分車道來讓車輛有序而行。
Wi-Fi6引入的一種新型數據傳輸模式為OFDMA,支持上下行多用戶模式,因此可以稱為MU-OFDMA。思路轉變其實并不復雜,之前一條子信道只能允許一個用戶傳輸數據,但是現在允許多個用戶同時進行數據傳輸。
802.11ax又被稱為“高效率無線標準”,即使在很多用戶使用網絡的情況下也能保證網絡流暢,首要解決的是網絡容量問題,因為隨著公共Wi-Fi的普及,網絡容量問題已成為機場、體育賽事和校園等密集環境中的一個大問題。
在802.11ac中使用了下行MU-MIMO,一種用戶從網上下載數據的傳輸技術。而在第六代中,則新增了上行MU-MIMO技術,允許用戶快速地上傳數據資源。
當車流量增大、車道變多時,可能需要一名“交警”來管理指揮,更好地保證車輛的順利通行。Wi-Fi6的主要目標是增加系統容量,降低延時,提高多用戶高密度場景下的效率,更高階的調制技術讓更好的效率和更快的速度并不互斥。
總體而言,多種新技術的加入都是為了最大程度地提高人們在不同場景下的“沖浪”速度。而Wi-Fi6也是應需而生。有了Wi-Fi6,演唱會現場也不怕“斷網”了。
從技術上來說,Wi-Fi6的更新很大程度上提升了數據傳輸速度,改善了穩定程度,但是從網絡安全的視角來看,技術的進步,安全也跟上步伐了嗎?
無線網絡覆蓋人們生活的方方面面,各類Wi-Fi風險也值得關注。比如虛假Wi-Fi釣魚,攻擊者搭建虛假Wi-Fi,設置空密碼或相同密碼引誘用戶連接。一旦用戶連接攻擊者搭建的虛假Wi-Fi,那么傳輸數據就會容易遭到劫持和竊聽,用戶的個人敏感信息都容易泄露。
又或是無線協議安全漏洞,比如之前曝出的協議漏洞導致黑客入侵獲取用戶數據問題,直擊Wi-Fi核心的安全保護標準,這容易導致攻擊者劫持用戶流量,竊聽用戶通信信息。在搜索到不是同一個wif熱點但名稱相同時,自動使用已保存的密碼連接,這對于攻擊者而言,也是可乘之機。
這些只是一些較為常見的Wi-Fi安全風險。涉及群體基數大,攻擊者早已將目光鎖定無線網絡這塊“香餑餑”。數據顯示,全球技術市場咨詢公司ABI Research指出,在新冠疫情期間,Wi-Fi上傳流量激增了80%,這證明了對Wi-Fi應用的需求。萬物互聯的時代,未來這一數字只會不斷攀升。
如今市場上,各大廠商開始出售支持Wi-Fi6功能的路由器,以其速度、穩定、安全為賣點。2018年,Wi-Fi 技術獲得了十年來最大的一次安全更新,開始支持新的安全協議WPA3。
眾所周知,WPA3為支持Wi-Fi的設備帶來重要改進,增強配置、加強身份驗證和加密等問題,主要包括防范暴力攻擊、WAP3正向保密、加強公共和開放Wi-Fi網絡中的用戶隱私、增強對關鍵網絡的保護。Wi-Fi6支持WPA3意味著其有著更高的安全性。
長期來看,物聯網設備的接入增多才是讓網絡流量激增的主因,所以協議的不斷更新也是為了滿足未來人們的多設備、多場景上網需求。雖然技術不斷更新,但是攻擊者通過協議入侵物聯設備仍時常發生,用戶在使用公共Wi-Fi時還是需要警惕。新一代協議的更新也會吸引攻擊者的注意,因此個人用戶在迎接這波新技術浪潮時,也要注意:
當然,雖然Wi-Fi6迅速火熱,但是尚且還存在不足,比如支持設備少、成本高,在特定場合優勢才能突顯等問題。
總而言之,Wi-Fi6步入人們的生活是大勢所趨,未來也會看到越來越多的承載設備推出,安全風險也是相伴而生,人們不僅要享受技術福利,也要積極應對技術帶來的風險挑戰。
關鍵基礎設施安全應急響應中心 今天
以下文章來源于Tide安全團隊 ,作者VIITomFord
Tide安全團隊
Tide安全團隊以信安技術研究為目標,致力于分享高質量原創文章、開源安全工具、交流安全技術,研究方向覆蓋網絡攻防、Web安全、移動終端、安全開發、物聯網/工控安全/AI安全等多個領域,對安全感興趣的小伙伴可以關注我們。
近幾年來,由網絡安全問題引發的工控事件時有發生,在國外電力系統中因為網絡安全而引發的事故屢見不鮮,造成了巨大的經濟損失。我國雖未發生重大事故,但電力系統作為了重要的關鍵信息基礎設施,關系到老百姓的切身利益,這不得不引起我們的重視。智能變電站系統作為電力系統重要的組成部分,它的安全問題直接影響到了電力系統整體的安全,因此如何做好變電站系統的安全成為了重中之重,本文就IEC 61850通信協議體系、智能變電站的安全性做了簡要分析。
IEC 61850標準是電力系統自動化領域唯一的全球通用標準。它通過標準的實現,實現了智能變電站的工程運作標準化。使得智能變電站的工程實施變得規范、統一和透明。不論是哪個系統集成商建立的智能變電站工程都可以通過SCD(系統配置)文件了解整個變電站的結構和布局,對于智能化變電站發展具有不可替代的作用。
( 1 ) 定義了變電站的信息分層結構
變電站通信網絡和系統協議IEC 61850標準草案提出了變電站內信息分層的概念,將變電站的通信體系分為3個層次,即變電站層、間隔層和過程層,并且定義了層和層之間的通信接口。
( 2 ) 采用了面向對象的數據建模技術
IEC 61850標準采用面向對象的建模技術,定義了基于客戶機/服務器結構數據模型。
( 3 ) 數據自描述
該標準定義了采用設備名、邏輯節點名、實例編號和數據類名建立對象名的命名規則;采用面向對象的方法,定義了對象之間的通信服務。
( 4 ) 網絡獨立性
IEC 61850標準總結了變電站內信息傳輸所必需的通信服務,設計了獨立于所采用網絡和應用層協議的抽象通信服務接口(ACSI)。
智能化變電站是由智能化一次設備(電子式互感器、智能化開關等)和網絡化二次設備分層(過程層、間隔層、站控層)構建,建立在IEC61850標準和通信規范基礎上,能夠實現變電站內智能電氣設備間信息共享和互操作的現代化變電站。在此基礎上實現變電站運行操作自動化、變電站信息共享化、變電站分區統一管理、利用計算機仿真技術實現智能化電網調度和控制的基礎單元。
智能變電站是采用先進、可靠、集成和環保的智能設備,以全站信息數字化、通信平臺網絡化、信息共享標準化為基本要求,自動完成信息采集、測量、控制、保護、計量和檢測等基本功能,同時,具備支持電網實時自動控制、智能調節、在線分析決策和協同互動等高級功能的變電站。
如圖所示,IEC 61850從邏輯上將智能變電 站劃分為站控層、間隔層和過程層的三層體系結構。
1)站控層:站控層設備負責匯總全站的實時數據信息,將相關數據發送至調度或遠方控制中心,同時,也要對過程層和間隔層設備執行接收到的調度或控制中心命令,具有人機系統功能。
2)間隔層:間隔層設備包括保護測控裝置、故障錄波裝置和計量裝置,主要功能是:收集本間隔的過程層實時數據,保護和控制一次設備,完成本間隔操作閉鎖、操作同期等控制功能。
3)過程層:過程層是一、二次設備的交匯處,主要完成電氣量測量、設備狀態檢測和操作控制命令執行這三大功能。
由于計算機網絡具有互聯性、開放性、連接方式的多樣性及終端分布的不均勻性等特點,再加上計算機網絡具有難以克服的自身脆弱性和人為的疏忽,導致了網絡環境下的計算機系統存在很多網絡安全問題。IEC 61850作為一個基于通用網絡通信平臺的國際標準,很多計算機網絡所面臨的威脅,基于IEC 61850變電站計算機網絡也會面臨同樣的威脅。
變電站計算機網絡上的通信面臨以下的四種威脅:
攻擊者從網絡上竊聽他人的通信內容。信息在傳輸過程中被直接或是間接地竊聽,攻擊者通過對其進行分析得到所需的重要信息。并且數據包仍然能夠到到目的結點,其數據并沒有丟失,如圖所示:
攻擊者有意中斷他人在網絡上的通信。信息在傳輸過程中被非法中斷,并且目的結點不能收到該信息,即信息在傳輸過程中丟失了,如圖所示:
攻擊者偽造信息在網絡上傳送。源節點并沒有發出任何信息,但攻擊者偽造出信息并偽裝成源結點發出信息,目的結點將收到這個偽造信息,如圖所示:
攻擊者故意篡改網絡上傳送的報文。信息在傳輸過程中被攻擊者截獲,并且修改其截獲的特定數據包,從而破壞了數據的完整性,然后攻擊者再將篡改后的數據包發送到目的結點。在目的結點的接收者看來,數據似乎是完整的,但其實已經被攻擊者惡意篡改過,如圖所示:
目前我國的智能變電站都是采用“三層兩網”結構,即過程層、間隔層和站控層,這三層的設備之間是通過站控層網絡和過程層網絡進行通信。
站控層網絡和過程層網絡通常有兩種組建方案:
( 1 ) 獨立過程層網絡,站控層網絡與過程層網絡不聯通,智能變電站的通信網絡是一個兩層物理網絡;
( 2 ) 全站唯一網絡,站控層網絡與過程層網絡相互聯通,智能變電站的通信網絡是一個物理網絡。
獨立過程層網絡:獨立過程層組網方式,該方式中站控層設備不能直接訪問過程層,站控層網絡和過程層網絡是兩個獨立的網絡。間隔層保護測控智能電子設備(IED)通過交換機與站控層設備相連,調度或遠方控制中心通過路由器接入站控層網絡,并可直接訪問間隔層IED。
全站唯一網絡:即智能變電站內的所有智能設備(包括ETC和EVC)都需要接入同一個網絡,且任意智能設備之間,特別是過程層設備與站控層設備之間,都能夠直接通過唯一網絡完成信息交換。
目前,我國智能變電站的網絡建設都遵循“橫向隔離”安全策略,即變電站內網與外部Internet從物理上完全隔離,包括許多電力部門人員在內都認為變電站網絡是非常安全的,他們也不理解系統中增加安全措施的道理。事實上,網絡化的普遍和額外信息訪問需求的增長使得智能變電站通信網絡遠不是我們想象中的那樣安全。
一方面,智能變電站的通信基于TCP/IP網絡,有可能會受到以網絡為主要傳播途徑的病毒和黑客的攻擊,且電力信息工作站的應用系統大多采用Windows平臺,站內IED也沒有安全內核,存在不少安全隱患;另一方面,人機接口(HMI)、控制、維護、規劃和施工等應用系統可通過網關直接接入智能變電站站控層網絡,直接訪問站內相關信息。所以,無論是智能變電站站內通信還是外部通信,都面臨著安全威脅。
因此,結合實際業務解決電力變電系統高風險項,為系統提供全方位的安全保障,通過技術手段輔助管理執行,降低安全運營風險;
關鍵基礎設施安全應急響應中心 今天
如今,移動安全的防護不再是一種可有可無的東西,而是必不可少的安全防護之一。在過去的十年中,采用自帶設備辦公(BYOD)的人數一直不斷激增,他們經常會使用自己的個人設備進行工作。更何況目前冠狀病毒在全球范圍內蔓延的情況下,在家工作的要求更是水漲船高,大多數的人不得不選擇在家辦公的方式。但是,移動設備使用量的迅速增加,加上較低的安全級別,使其成為網絡犯罪分子試圖突破公司數據安全性的最常見突破口之一。根據我們的2020網絡安全報告,全球近三分之一的組織遭受過針對移動設備的攻擊,并且60%的IT安全專業人員對其公司是否能夠避免移動安全漏洞產生懷疑。考慮到目前的趨勢所迫,這些數字可能還會上升。因此,現在必須對移動設備的保護加以重視。在這里,我們分享了五種主要威脅,以及提供有關如何優化其保護的建議,這些威脅使移動設備的安全性面臨風險。安裝應用程序會帶來多種安全風險,例如數據泄漏。使用此類程序可以使設備容易感染移動惡意軟件(在《 2020網絡安全報告》中看到的主要網絡威脅之一),例如憑據竊賊,鍵盤記錄程序和遠程訪問木馬。這樣的威脅為網絡犯罪分子提供了一種簡單有效的方法,可以直接發起攻擊,并可以利用移動設備傳播到網絡。與此同時,產生的其他威脅將取決于用戶是否會接受允許應用程序訪問設備中存儲的信息的條款。
2. 設備的漏洞
正如我們的報告中所強調的那樣,全球27%的公司已成為網絡攻擊的受害者,這些攻擊破壞了移動設備的安全性。因此,無論是Android還是iOS,各個組件或操作系統中的漏洞都會對數據安全性造成嚴重威脅。此外,除了安全漏洞外,這些設備的“弱”安全設置也是網絡犯罪分子的潛在攻擊目標,因為它們可以訪問所有存儲的信息,從而使數據安全面臨巨大風險。
3. 網絡釣魚
網絡釣魚仍然是成功率最高的威脅之一。實際上,根據Verizon的一項研究,所有網絡攻擊中有90%是從網絡釣魚活動開始的。因此,網絡罪犯往往利用移動設備上的一些消息來傳遞應用程序,從而將用戶定向到虛假網站。通常,網絡釣魚通過私人或公司電子郵件、SMS或信息傳遞應用程序(例如Slack,Facebook Messenger和WhatsApp)進行。這些使網絡犯罪分子可以訪問大量信息,有時還能獲得經濟利益。
4. 中間人(MitM)攻擊
移動設備使用戶可以從世界任何地方進行連接和通信。每天,都會發送數百萬條包含敏感信息的消息,網絡犯罪分子則會通過MitM攻擊來利用這些信息,MitM攻擊是一種能夠攔截設備與惡意Wi-Fi接入點之間的數據流量的方法。例如,對在線銀行服務的這種網絡攻擊將使攻擊者可以輕松的修改銀行轉賬的詳細信息。
5. 基于網絡的攻擊
為了避免各種攻擊,分析設備接收和發送的通信非常重要。原因是大多數移動惡意軟件變體都需要與設備的Command and Control服務器建立連接,才能成功產生數據泄漏。因此,檢測到這些惡意通信渠道可以阻止通信,從而防止多種攻擊。
對于企業而言,重要的是要認清移動設備的管理和保護是兩個不同的措施。有些人錯誤的認為,根據安裝的操作系統,移動設備的安全性可能會更好。的確,Android和iOS都提供了自己的工具來優化設備的安全性,但沒有操作系統可以獨立運行。兩者都容易遭受安全性破壞。因此,就安全性,風險管理和威脅可見性而言,應像對待企業網絡的任何其他連接點一樣對待移動設備。
因此,為了具有最高的安全標準,必須遵守一些策略(例如設備加密)并實施解決方案(例如遠程數據刪除)。一些移動威脅防御(MTD)解決方案還可以幫助組織保護公司設備免受高級移動攻擊。此外,他們還可以保護員工設備上未受感染的應用程序、通過Wi-Fi的MitM攻擊、操作系統漏洞、消息傳遞應用程序中的惡意鏈接。通過對移動安全采取更主動的方法,組織將為預防和避免最復雜的網絡攻擊做好準備。
參考及來源:
https://blog.checkpoint.com/2020/04/24/aimed-at-moving-targets-five-cyber-threats-that-put-mobile-devices-at-risk/
以上圖文均轉自互聯網。關注我們請掃描或長按并識別二維碼,或點擊上端藍色字體“南國微聞”
親,常來看看哦!
商品已成功加入購物車