近年来,全球范围内的制造业安全事件频发,安全形势不容乐观。根据 IBM Security 年度 X-Force 威胁情报指数,勒索软件和网络钓鱼是 2021 年企业面临的首要网络安全问题,而制造业成为勒索软件攻击的重灾区。
2021 年与 2020 年前 10 大行业遭受的攻击率(资料来源:IBM Security X-Force)
勒索软件攻击往往导致企业生产线停顿,造成巨大损失。制造业企业面对迅速恢复产能的巨大压力,更倾向于向攻击者支付赎金。
那企业到底是怎么中的勒索病毒呢?其实勒索病毒非常善于伪装,就潜伏在我们身边:
面对这些勒索病毒,该怎么防范?企业常规的防御思维是见招拆招,比如告诫员工不要打开陌生人或来历不明的邮件,给办公电脑安装杀毒软件,安装系统补丁,定期备份文件,定期安全培训,定期更改密码……虽然没什么毛病,但怎么看都像是兵来将挡水来土掩,被动挨打。
正确的防勒索病毒手段,一定是以不变应万变。举个例子,疫情期间,乘坐飞机的时候都知道禁止携带易燃易爆等危险物品,并提供 48 小时核酸阴性证明,但大家都会遵守这个规定吗?不确定,所以会有安检通道,除了检查乘客是否携带危险物品,还要查验 48 小时核酸检测报告,只有全部符合机场要求,才会放行。
安全基线的概念便是如此。机场设置了安全规则,相当于乘客进入机场必须满足的安全基线,而安全检查是保证安全基线牢固的手段。本文接下来要讲到的终端准入控制,就类似于机场的安全检查手段。企业设置了安全规则,通过终端准入控制,确保接入企业网络的每台终端都是安全的、符合规范的,以此来提升企业内网的安全准入基线,从而主动防御勒索病毒。
接下来我们就结合一个制造业真实的客户案例,看看他们是怎么通过终端准入控制方案防范勒索病毒的。
某公司是全球领先的笔记本电脑代工厂商,成立于上世纪 80 年代,经过三十多年发展,该公司在亚洲、欧洲、美洲等区域均有多个生产和制造基地,员工规模庞大,仅大陆一个生产基地员工规模就已超 5 万人。
该公司信息化建设起步早,办公、生产区均以 Windows 终端为主,IT 管理规范,部署了微软 AD 域来统一管理 IT 资产。
随着移动化办公普及,公司业务规模快速扩张,越来越多的 BYOD(自携带设备)、IoT(物联网终端)、Mac、Linux 类型的终端涌入企业内部,基于 Windows 环境的微软 AD 域无法纳管这些泛终端,终端安全无法管控,公司随时有被勒索软件攻击的风险。
如何确保接入企业网络的终端安全、合规,是摆在IT部门安全负责人张经理面前的一道难题。
张经理坦言:“前不久,我们一个友商因为生产线上的哑终端漏洞被勒索软件攻击,面临上亿元的巨额赎金。这给我们敲响了警钟,必须要对接入企业网络的每一台终端进行检测,确保安全合规。否则下一个被勒索的很可能就是我们,我们不想这么被动,必须要先发制人,提前预防。”
在寻找解决方案的期间,张经理找到了几个做准入控制的安全厂商,但在方案选择上却犯了难。
传统的终端准入方案思路是借助 802.1x 客户端来进行终端识别、准入控制和策略执行,服务端仅负责下发策略,甚至还集成了DLP、杀毒等多合一功能。对于中小企业来说,多合一的方案可能更有吸引力,但对于大型制造业企业来说,安全要求更高更严格,安全设备各司其职、分工明确才更“专业可信”。
宁盾终端准入控制思路有两点不同:一是将客户端“减轻”,由服务端来做终端识别、准入控制和策略执行,客户端仅负责向服务端汇报收集到的终端信息。二是引入零信任理念,永不信任,持续验证。将传统准入方案的纵深防御变为主动防御,实时检测入网终端的合规性,做到违规不入网,入网必合规。
该公司办公区和生产线上均以 Windows 终端为主,那么需要解决的问题是如何基于AD域环境,提升企业内网安全准入基线。
宁盾无客户端准入方案正是通过接入AD域,利用域探测的方式来检测 Windows 终端的合规性。而 IoT、BYOD终端,也可以免装客户端就能识别终端类型,利用流量镜像进行检测。对于Mac、Linux 终端,则可以基于轻量化客户端来探测终端的“内部”信息。
经过调研选型及 POC 测试,该公司最终决定采用宁盾无客户端准入方案,目前实施已超 20000 点终端。
传统802.1x客户端准入方案因“重任”都压在客户端上,导致客户端“庞大”、“繁重”,兼容性较差,项目实施及后续运维代价大不说,用户体验也有待提高。
宁盾无客户端准入方案最直观的优势是用户体验性很好。IT 管理人员无需再下发客户端给上万点终端,也无需手动调试安装,减轻了 IT 运维工作量,用户的日常登录行为也丝毫不受影响,全程无感知。
但它对于IT部门的效率提升和业务持续性方面更有优势。“宁盾无客户端准入方案最让我惊喜的是可以快速上线,2万多个终端仅用了1周时间就部署完成。当出现问题时,它可以快速定位,帮我们找出问题所在,极大地减轻了我们的压力,运维效率肉眼可见地提升。”张经理说到。
张经理继续补充道:“让领导满意的是部署了宁盾无客户端准入方案后,我们的生产线没有受到干扰,至今已经平稳运行了一年多时间。”
如果按照传统准入方案实施,20000 点终端,每台终端都需要安装客户端,后续需要人员驻场,会影响员工正常办公、生产,对企业而言,投入的成本也更高。
大型制造企业存在多线场景,例如研发场景、测试场景、生产区、办公区等,不同场景对终端安全合规的要求也不尽相同,就需要配置不同的安全准入策略。以前,企业一般是将策略需求提交给准入厂商,由厂商定制开发。但业务发展快速,安全要求也不断变化,依靠定制开发不仅影响交付时间,连上手操作可能都需要花费更多精力去学习。
如何根据企业办公场景、业务需求灵活设置安全策略?这就要提到宁盾无客户端准入的另一大亮点:无代码策略引擎。
顾名思义,无代码策略引擎就是无需写代码,即可快速配置出任何你想要的准入策略。宁盾“预判”了准入场景中的策略需求,将其做成一个“策略智库”,只要自然语言能表达的管控效果,无代码策略引擎都可以实现。
策略引擎管控的范围可以是网段、IP段、标签,“if”条件灵活自定义,可以任意、组合或具体条件,而行为则更加灵活多变,例如添加标签、应用虚拟防火墙、通知消息、网页通知、网页重定向、Portal认证、不合规踢下线CoA、审计联动......企业想实现的准入策略基本都包含在内。
在该公司的准入方案中,IT 人员统共做了5个策略。
对所有 IP,将 PC 类终端和非 PC 类终端进行分类,并添加标签标记。
对 PC 类终端进行加域检查,并添加标签标记。
对 PC 类终端且非隔离网段的IP,进行合规状态检查,对未加域和未运行杀毒软件的终端分别标记为“不合规”。
针对生产网段不合规的标签,做 CoA(踢下线)处理。
针对隔离网段做合规性检查,并可针对不合规的 PC 类终端做提醒通知或告警。
无代码策略引擎对 IT 安全部门而言,优势明显:
“高端制造业最贵的是人才。我们注重用户体验,更注重用最高效经济的方式保护企业的信息安全,无论是对员工还是对IT运维人员来说,宁盾无客户端准入方案都是我们最理想的选择。”张经理最后补充到。
宁盾无客户端准入方案,以客户的需求进化为核心,采用迭代、循序渐进的方法逐步提高制造企业安全基线,降低被勒索软件攻击的风险。如果您所在企业有防范勒索病毒的需求,可访问宁盾官网了解更多解决方案。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)