6吳異剛-運用零信任威脅管理邁向安全的關鍵一步（27頁）.pdf

1、吳異剛/資深安全解決方案架構師/IBM現任 IBM 大中華區安全解決方案架構師、資深安全專家，具有超過20年的網絡安全、數據安全方面的從業經驗，主持并參與國內各大企業客戶的安全態勢感知系統、安全運維中心的架構設計與搭建等大型項目，在金融、制造、汽車、電商、通信、物流等領域擁有豐富的方案規劃與設計、項目實踐與落地的成功經驗。演講主題：運用零信任威脅管理，邁向安全的關鍵一步運用零信任威脅管理，邁向安全的關鍵一步吳異剛IBM 大中華區資深安全架構師2020年行業地區威脅分布情況勒索軟件勒索軟件23%23%勒索軟件在攻擊事件中所占的比例 超過超過1.231.23億美元億美元攻擊者通過主要勒索軟件所得利

2、潤（估計值）43%43%的數據竊取攻擊歐洲成為受攻擊最歐洲成為受攻擊最多的地區多的地區16%16%歐洲的攻擊來自內部人員亞洲亞洲在數據竊取攻擊方面領在數據竊取攻擊方面領先先供應鏈、制造業和能源行業面臨的威脅供應鏈、制造業和能源行業面臨的威脅#2#2制造業在受攻擊最嚴重行業中的排名#3#3能源在最受攻擊行業中的排名后疫情時代新的業務發展模式推動數字化轉型進程5應用和數據基礎設施用戶和終端.由此產生的復雜性降低了安全性和信任度數據廣泛分布，擴大共享利用范圍數據安全法，行業法規和管理辦法使用任意設備，位于任意場所，訪問數字化資源跨混合多云環境的計算和網絡資源隱含信任零信任客戶不再問：“什么是零信任?

3、”或者“為什么我要采取零信任?”問題會是，“我該怎么做?”80%的企業計劃在未來24個月內開始或推進零信任的采用1FORRESTERFORRESTERNIST 800-207NIST 800-207GARTNERGARTNER1 451 Research,Voice of the enterprise Information Security,2020永遠不會信任，總是驗證假定被攻陷實施權限最小化消除基于邊界的控制持續提升IBM基于可擴展的開放系統上，基于零信任思想，提供集成化的服務和產品，保護數字化資產7保持一致安全策略與業務管理防御不斷變化發展的威脅保護數字化用戶，資產和數據現代化使安全更

4、加開放，支持多云環境評估|業務優先級|規劃零信任加速服務(ZT Framing/Discovery Workshop)|風險量化服務開放協作|統一工具，連接數據|AI賦能分析，快速采取行動數據安全數據全生命周期安全數據安全風險評估合規性遵從IAM 自適應訪問驗證(Access)身份治理(Identity)特權訪問管理(PAM)洞察洞察 資源可視化 風險評估 合規執行執行 訪問控制 風險評估 策略編排檢測和響應檢測和響應 威脅可視化 檢測 調查 響應 恢復系統實施，集成和托管服務SIEMSOAR威脅情報AI輔助調查業務優先的安全策略意味著對最高優先級數字化資產應用零信任原則8“零信任有助于我們在

5、管理安全性的同時啟用關鍵業務功能”-CISO,全球化工制造企業確保遠程工作場景的安全性保證BYOD和非托管設備安全替代VPN提供無密碼體驗保護混合多云環境管理和控制所有訪問監控云活動和配置確保云原生工作負載安全性保護客戶隱私簡化獲客流程，確保安全性和合規性管理用戶偏好和許可執行隱私條例及控制降低內部威脅的風險執行最小權限訪問發現用戶風險行為結合威脅情報零信任解決方案藍圖9保護混合云確保遠程/混合工作模式安全降低內部威脅風險保護客戶隱私基于零信任思想，降低內部威脅風險總體藍圖 場景功能 竊取憑證，采取釣魚行動可疑內部人員盜取數據并外泄特權賬戶違規使用獲取洞察網絡安全風險管理數據發現與分類統一終端

6、管理 執行保護活動監控自適應性訪問身份和數據治理多因子認證特權訪問管理 檢測&響應終端檢測和響應網絡檢測安全信息與事件管理安全編排自動化與響應用戶和實體行為分析現代化PAM實現零信任原則:“永遠不能信任，總是驗證，執行最少的權限”用戶驗證基于場景下的適時訪問請求管理環境加固賦予當前任務僅夠用最小權限自適應控制審計所有操作建立信任MFAJIT“干凈”訪問源JEP有針對性的攻擊生命周期最初攻陷點建立落腳點提升權限內部偵察完成任務獲得進入目標的初始權限加強鞏固目標內的位置竊取有效的用戶憑證確定目標數據打包并竊取目標數據橫向移動保持陣地PAM在防范網絡威脅方面發揮的作用利用現代PAM來防范網絡威脅 建

7、立身份確認，最小權限和安全的訪問源 通過主機強制MFA和基于工作流的適時(JIT)訪問請求防止橫向移動 通過僅夠用的特權(JEP)強制執行最小特權 盡量減少共享帳戶的使用 記錄并監控主機上的所有特權訪問，無法被繞過 MFA提升權限JIT PAM&MFA數據源側安全 Use Cases對敏感數據進行未授權訪問，特別是擁有DBA權限的開發人員和外包人員；DBA查看重要業務數據和個人隱私信息；執行高風險操作，如：刪庫刪表；后臺篡改數據；大量數據被異常訪問；關鍵數據庫服務器發生權限變更；13CategoryCategorySub CategorySub CategoryUse Case NameUse

8、 Case NameData Security(DS)Data Security(DS)DS-02:Data-in-transit ProtectionDS-02:Data-in-transit Protection識別共享憑證的特權用戶識別共享憑證的特權用戶Data Security(DS)Data Security(DS)DS-02:Data-in-transit ProtectionDS-02:Data-in-transit Protection對業務敏感對象進行訪問和變更對業務敏感對象進行訪問和變更Data Security(DS)Data Security(DS)DS-02:Data

9、-in-transit ProtectionDS-02:Data-in-transit Protection執行刪表或刪庫操作執行刪表或刪庫操作Data Security(DS)Data Security(DS)DS-02:Data-in-transit ProtectionDS-02:Data-in-transit Protection對生產數據庫進行變更。在非工作時間；使用未授權應用；沒有獲得變更對生產數據庫進行變更。在非工作時間；使用未授權應用；沒有獲得變更ticketsticketsData Security(DS)Data Security(DS)DS-02:Data-in-tran

10、sit ProtectionDS-02:Data-in-transit Protection對敏感業務對象進行未授權變更對敏感業務對象進行未授權變更Data Security(DS)Data Security(DS)DS-02:Data-in-transit ProtectionDS-02:Data-in-transit Protection對敏感業務對象進行未授權訪問，特別是對敏感業務對象進行未授權訪問，特別是DBADBA，開發人員，外包人員，開發人員，外包人員Data Security(DS)Data Security(DS)DS-02:Data-in-transit Protection

11、DS-02:Data-in-transit Protection追蹤并監控對敏感業務對象的訪問追蹤并監控對敏感業務對象的訪問Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II登錄登錄BASELBASEL金融服務器失敗金融服務器失敗Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II登錄登錄BASELBASEL金融服務器五分鐘內至少三次失敗金融服務器五分鐘內至少三次失敗Data Security(DS)Data Security(DS)DS-03:Ba

12、sel IIDS-03:Basel II訪問訪問BASELBASEL金融服務器出現金融服務器出現SQL ERRORSQL ERRORData Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II登錄登錄BASELBASEL金融服務器出現金融服務器出現SQL ERRORSQL ERROR，返回特定的高風險錯誤信息，返回特定的高風險錯誤信息Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II記錄對記錄對BASELBASEL金融服務器中的金融對象的訪問金融服務器中的金

13、融對象的訪問Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II黑名單用戶訪問黑名單用戶訪問BASELBASEL金融服務器金融服務器Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II管理員用戶訪問管理員用戶訪問BASELBASEL金融服務器金融服務器Data Security(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel IIBASELBASEL金融服務器發生權限變更金融服務器發生權限變更Data Sec

14、urity(DS)Data Security(DS)DS-03:Basel IIDS-03:Basel II未授權用戶訪問未授權用戶訪問BASELBASEL金融服務器金融服務器Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR管理員登錄管理員登錄GDPRGDPR服務器失敗服務器失敗Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR登錄登錄GDPRGDPR服務器五分鐘內至少三次失敗服務器五分鐘內至少三次失敗Data Security(DS)Data Security(DS)DS-0

15、4:GDPRDS-04:GDPR登錄登錄GDPRGDPR金融服務器出現金融服務器出現SQL ERRORSQL ERROR，返回特定的高風險錯誤信息，返回特定的高風險錯誤信息Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPRGDPRGDPR服務器發生權限變更服務器發生權限變更Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR記錄對記錄對GDPRGDPR服務器包含敏感個人信息對象的訪問和變更操作服務器包含敏感個人信息對象的訪問和變更操作Data Security(DS)Data Se

16、curity(DS)DS-04:GDPRDS-04:GDPR管理員訪問管理員訪問GDPRGDPR敏感個人信息對象敏感個人信息對象Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR未授權用戶訪問未授權用戶訪問GDRPGDRP敏感個人信息對象敏感個人信息對象Data Security(DS)Data Security(DS)DS-04:GDPRDS-04:GDPR為核準客戶端為核準客戶端IPIP地址訪問地址訪問GDRPGDRP敏感個人信息對象敏感個人信息對象Data Security(DS)Data Security(DS)DS-05:DL

17、PDS-05:DLP潛在數據泄露潛在數據泄露Data Security(DS)Data Security(DS)DS-05:DLPDS-05:DLP潛在數據外逃潛在數據外逃Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授權文件創建未授權文件創建Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授權文件刪除未授權文件刪除Da

18、ta Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授權文件修改未授權文件修改Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授權文件訪問未授權文件訪問Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protecti

19、on未授權目錄創建未授權目錄創建Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授權目錄刪除未授權目錄刪除Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授權目錄修改未授權目錄修改Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Dat

20、a-at-Rest Protection未授權目錄訪問未授權目錄訪問Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授權文件權限變更未授權文件權限變更Data Security(DS)Data Security(DS)DS-01:Data-at-Rest ProtectionDS-01:Data-at-Rest Protection未授權目錄權限變更未授權目錄權限變更違規使用Root賬號14l按規定，除非在應急的情況下，root或者domain admin特

21、權賬號是不能被使用的；l繞過PAM系統直接以root身份登錄主機；lSIEM系統發出警告；違規創建可用于訪問數據庫的特權賬號IBM Security/2019 IBM Corporation后續，違法創建的賬號登錄后臺主機違法創建的數據庫賬號違規/惡意訪問數據庫IBM Security/2019 IBM CorporationRoot賬號正常使用IBM Security/2019 IBM Corporationl管理員登錄PAM系統(MFA)l申請在一個時間段內使用root賬號，填寫申請理由l運維經理審閱后批準l管理員將root賬號從PAM系統中check out(由于存在共享賬號的情況)lc

22、heck out操作被PAM系統記錄，并實時發送給SIEMl“無密碼”訪問后臺主機l操作全程錄像，并記錄執行命令l操作完成，執行check in，系統自動修改密碼Root賬號正常創建數據庫特權賬號數據庫特權賬號被PAM納管，執行訪問策略，密碼修改策略等賬號本身擁有操作能力，但被加以限制，實現JEPl設置命令黑白名單l使用普通賬號登錄，根據全策略進行提權賬號操作可被追溯至用戶合法用戶，合規賬號，違規操作同樣會被系統檢測到23Cloud Pak for SecurityQRadarSplunk將單點產品進行集成，防范特權訪問風險，防止數據泄露執行:定義數據和用戶級別策略分析：分析數據與特權訪問有關

23、聯的威脅響應：攔截數據訪問并隔離嫌疑用戶監控數據訪問行為檢測策略違規Guardium(數據活動監控和保護)威脅事件日志評估用戶行為與網絡流量分析結果進行關聯觸發響應流程Verify Privileged Access(特權訪問管理)基礎基礎優化優化執行：監控敏感數據訪問活動檢測：發現違規/未授權訪問響應：采取補救措施響應：基于驗證過的Playbook響應安全事件，執行補救措施提升：基于威脅模式更新數據安全策略高級高級檢測策略違規更多集成Threat IntelIBM SecurityX-ForceAlien VaultIBM Security QRadar XDR 開放互聯25NDRSOARE

24、DRSIEMIBM Security QRadar XDR Connect基于IBM和開放的第三方集成，連接安全工具，自動化SOC開源和標準化IBM Security QRadar XDRIBM SecurityQRadar SOARIBM SecurityQRadar NDRIBM SecurityQRadar SIEMMicrosoft AzureMySqlElasticSearchAzure SentinelWindows DefenderVectra新的QRadar XDR能力26 通過對EDR，NDR，SIEM等數據源的自動化分析，提高威脅可見性和調查深度、速度和一致性 在QRadar XDR套裝中，包括計劃中的ReaQta，提供預集成和優化的檢測和響應 在快速檢測和響應，降低風險的同時充分利用既有投資 自動化的根本原因分析，響應動作智能化，更快的遏制威脅感謝您的聆聽！