免费领取办理费用
行业咨询 > 天磊百科 >

什么给等保2.0设置一个“麻烦”

作者:天磊咨询 发表日期:2021-01-03 来源:天磊咨询
作为我国网络安全领域的基本国策、基本制度、等保2.0的重要意义,行业已经进行了充分的讨论,本文没有提到。 作为在网络安全第一线工作的团队,我想分析更具体的技术要求以保证2.0。

关于新的技术标准,业界对云计算等新的商业场景的要求在增加,但实际上,等保2.0在基础技术要求部分也进行了相当大的调整,对整个安全管理理念进行了非常深刻的变革本文有两点

这个“天坑”是怎么挖的

1 .白名单

等保1.0中,只提出了对网络安全访问控制部设置访问控制设备,能够提供状态检测能力和一部分应用程序检测能力。 但是,是否应用白名单机构进行访问控制尚未明确表示,等保2.0明确表示访问控制中应该使用白名单机构!

在此,科普在访问控制策略的设计中大致分为黑名单和白名单两种机制,黑名单默认释放所有通信,除非通过策略明确阻止通信。 默认情况下,白名单会阻止所有通信,除非策略明确允许通信。

一般来说白名单当然是更安全的战略设计机制,但白名单风险很大,有可能中断业务。 因为必须明确指定允许什么样的通信,所以网络安全管理者往往没有业务的理解,不能有效地设计完整的白名单。 

相反,安全管理者理解安全问题和威胁的挑战,关于应该阻止什么,通常有丰富的知识,因此黑名单成为网络安全实践中普遍采用的机制。

当然,黑名单也有黑名单的风险。 那就是攻击逃跑,战略迂回。 由于黑名单一般依赖于签名信息,攻击者很容易通过一些技术手段改变自己的特征来避免签名匹配过滤,但如果绕过该签名,黑名单机制下攻击会很顺利。 

因此,以往攻击和防御总是猫捉老鼠的游戏,恶意代码迅速变种,签名生产者必须尽快抓住新变种,但攻击的难度远远小于防御,黑名单机制依然

在这种情况下,业界开发了基于UEBA、EDR等行动的下一代分析方法,老实说,这些技术至今在实战水平上还没有发挥重要作用,相反,将黑名单机构切换为白名单机构也是等保2.0的技术因此,第一个大洞,即白名单机制,需要让许多安全管理员了解业务,根据业务设定白名单战略。 

作为安全的退役军人,我们知道对安全管理者的压力有多大。 疏忽切断业务,之后是铺天盖地的电话问题和事后的说明责任。

2.东西方向

8.1.2.5侵入防止

b  )必须检测、防止或限制在重要网络节点上从内部发起的网络攻击行为

在等保1.0的入侵防止部分,要求防御边界指定的类型的攻击,没有强调是防御内还是防御外,但从上下文的观点分析,当时的规范作者可以考虑防止外来攻击,从其配置位置来明确,但等保2.0是内部威胁

3 .当我遇到白名单时

白名单是个大洞,东西也是个大洞,但东西遇到白名单的时候,这个洞是史诗般的空洞。

如果你在边界摆白名单,其实很幸运。 因为一个数据中心对外提供的服务一般是已知的、规范的、有限的,基本上很容易理解。 但是,如果把场景切换到内部,就会发现无数私人协议和应用程序,没有人知道他们的网络特性,也没有人正确知道这样的私有化应用程序在内部。 

据说,曾经大型中央企业的安全部门尝试整理内部业务已经过了将近半年,但连冰山的一角都不知道,不得不放弃这个尝试。

同样,即使说东西安全地只采用黑名单机制,幸运的是,因为不需要理解内部的业务是什么,所以只要把已知的威胁加入黑名单即可。 这既进行内部防御又进行业务破坏,一制作白名单,场景就回到刚才提到的场景。 总之,还是那句话。 遇到白名单的时候,恭喜你。
收藏
发送