新闻中心

    新闻中心  >  我们需要一款怎样的零信任SDP产品??
    我们需要一款怎样的零信任SDP产品??
    背景图 2023-11-03 19:54:46

    在之前的文章中,,,,芯启时光提出,,,零信任不止于远程办公,,应逐步向更广泛的场景进发,,诠释安全接入的全新范式。。(点击跳转:零信任=VPN???只能做远程办公????芯启时光零信任坦诚解答您的疑问)

    在帮助用户向更广泛的应用场景进发过程中,,,,我们识别到零信任还面临两大挑战:

    挑战一:零信任SDP无法缓解人的脆弱性带来的安全风险。。。。

    挑战二:零信任SDP所设想的最小权限过于理想,,,,落地障碍巨大。。

    此间种种真实案例,,,,篇幅有限,,,,在此就不一一赘述。。。

    对此,,芯启时光不禁思考:我们需要的是一款怎样的零信任SDP产品???

    一张太极八卦图,,可以很好描述我们的启发性思考。。。。

    太极八卦图

    浩瀚宇宙间,,一切事物和现象都包含着阴和阳,,,相反相成,,缺一不可。。。。

    实战攻防中,,黑白并举,,,,攻守兼备,,,,方能谓之业务安全接入防护之“道”。。。。

    用户真正需要的零信任SDP产品,,,,除了具备体系化与纵深化的被动防御能力,,,还应该扩展主动防御能力。。。而这两种能力,,,,需要以超前稳定的底层架构内核能力为支撑。。。。

    由此,,芯启时光在业界率先推出零信任全新能力X-SDP ——集“被动防御+主动防御”于一身,,扩展升级传统SDP架构,,,,创新融合“鉴白”“鉴黑”逻辑,,,实现零信任SDP产品的又一大能力跨越,,,助力用户安全领先一步。。。

    一个视频了解芯启时光零信任X-SDP是什么

    △一个视频了解芯启时光零信任X-SDP是什么

     

    01三道防线 层层守护

    ——体系化与纵深化的被动防御能力

    体系化与纵深化的被动防御能力

    从攻防对抗视角看,,,当SDP构建起业务防护边界,,攻击者一般只能从SDP账号、、SDP终端和暴露在外网的SDP设备入手。。

    攻击者需要突破这三道防线,,,才能攻击受保护业务系统。。

    基于此,,芯启时光零信任围绕“账号、、终端、、设备”体系化建设,,,,深挖战壕,,构建层层纵深防护的三道安全防线。。

     

    第一道:设备安全防线

    设备安全防线

    SDP设备的自身安全是业务访问安全的基石。。。。

    在设备被攻破前,,,,芯启时光零信任提供SPA单包授权、、、RASP自防护、、、、防中间人攻击的三道子防线。。。。即使在极端情况下,,设备被攻破,,,芯启时光零信任也可以提供、、、、HIPS防护、、、、安全内核的两道子防线,,层层守护设备自身安全性。。

    其中,,,芯启时光持续引领SPA单包授权技术的发展和创新,,,,率先推出第四代SPA“一次一码”,,,完美规避以往安全码泄露、、、冒用等潜在风险。。。。

     

    第二道:账号安全防线

    账号安全防线

    基于攻击视角,,芯启时光零信任账号安全防线可以分为两个阶段:

    • 在账号登录前,,需经首次认证、、终端认证、、、准入检查、、、多因素认证、、、增强认证,,,,五道认证机制,,,,层层审核。。。

    • 在账号登录后,,,,通过权限鉴权、、动态权限访问控制,,,,告别以往“非黑即白”的粗放式管理,,,,形成精细化管控。。。

    第三道:终端安全防线

    终端安全防线

    假设终端已经失陷的情况下,,芯启时光零信任终端安全防线可通过基线核查、、、进程安全、、网络隔离、、、终端数据防泄漏、、权限鉴权、、动态权限访问控制,,,有效防止攻击者通过已失陷终端作为跳板攻击业务系统。。。。

    芯启时光零信任提供驱动级终端网络隔离能力,,,,支持10+终端基线检查,,在“办公不上网,,,,上网不办公”的场景,,用户连接办公网则自动断开互联网等不安全网络,,,,有效防止终端远控。。。。

     

    02零误报鉴黑 秒速自阻断

    ——可扩展的主动防御能力

    威胁诱捕——请君入瓮 手到擒来

    零信任SDP是对传统边界安全机制的升级,,,,在解决传统边界模糊、、不可控的问题时,,,随着社工钓鱼、、远控内部终端等攻击手法愈发常见,,,仍然面临着利用人员的习惯性疏忽进行攻击、、、、最小化权限过于理想以致难以落地等挑战。。。

    为了逆转实战中攻防不对等的局面,,,,零信任SDP需要进一步演化升级,,,向协同式的“被动防御+主动防御”进行转变,,,切实兑现业务安全接入的承诺。。。。

    芯启时光零信任X-SDP创新扩展主动防御能力,,通过威胁诱捕和安全雷达两大核心能力,,,持续强化和升级主动防御和主动预警的能力,,,,实现原生零误报鉴黑、、、、秒速自阻断。。

    威胁诱捕——请君入瓮 手到擒来

    当终端被攻陷,,攻击者需要通过失陷终端查找网络路由DNS、、、、翻找浏览器记录和磁盘敏感文件、、、、访问业务应用等方式进行扫描侦察。。。

    零信任X-SDP通过主动部署终端多维诱饵、、、应用诱饵,,以及独创的原生无交互蜜罐,,,推送终端文件、、、、浏览器记录、、、、网络路由等多种类型的信息类诱饵,,,引导潜入终端的攻击者暴露攻击行为,,快速精准发现终端钓鱼、、、、帐号泄露等事件,,,,实时阻断攻击通路,,,,快速回溯攻击路径。。。。

    并且,,,,这种信息类诱饵类似于在终端放置一张“纸条”,,推送后不占用终端CPU和内存资源,,,实现部署零消耗,,,,向攻击者反向钓鱼,,,实现精准鉴黑。。

    安全雷达——顺藤摸瓜 一网打尽

    安全雷达可细分为行为洞察、、、实体调查和防线可视三个子能力,,,实现零信任访问体系内的全链路行为追踪洞察、、、、用户实体AI智能风险预警、、防线纵深流量可视,,,完成事前预警、、、、事中运营处置、、、事后溯源闭环。。。

    1.全链路行为追踪洞察

    基于完整的账号/终端/进程信息,,,通过会话跟踪技术串联日志上文,,,,快速还原事件的完整登录及访问行为路径,,,对事件进行定性分析,,,并通过关联分析,,,,对明确的攻击以点带面、、以面及网,,,,顺藤摸瓜,,,,所有潜在威胁一网打尽。。。。

    2.用户实体AI智能风险预警

    依托全身份化的访问记录,,,,利用AI智能分析引擎,,,,对关键实体(账号、、、IP、、、、终端)进行深入调查分析和风险评级,,,,高危实体及时预警,,,高效支撑事中运营处置。。。

    3.防线纵深流量可视

    以桑吉图可视化的形式,,,展示端到端全流程用户访问应用过程,,通过设备/账号/终端三道防线及15+子防线的的流量分布和流向,,,,帮助安全管理员全方位、、、、实时掌握安全态势。。。。

     

    03稳稳承载单用户超百万并发

    ——超前稳定的底层架构内核能力

    能力持续演进的背后,,离不开超前稳定的底层架构内核能力。。

    作为支撑业务安全访问的设施,,,芯启时光零信任潜心打磨数十载,,,,以高性能隧道传输技术X-Tunnel和自研分布式高可靠架构X-Performance,,,,为X-SDP提供超前稳定的底层内核支撑,,,稳稳承载单用户超百万并发,,两倍超压下业务成功率高达90%。。。

     

    芯启时光零信任X-SDP,,被动防御+主动防御一体化新能力,,,正如太极阴阳两仪,,既矛盾对立,,,,又交融统一,,两者缺一不可,,,,是实战场景中攻防兼备的「制胜法宝」。。。

    在今年的实战攻防演练中,,,我们有不少金融、、、能源等各行业用户进行了升级试用,,,X-SDP的效果得以验证并持续优化,,也欢迎更多新老朋友成为X-SDP体验官,,,携手共创。。

    安全底部动图

    站点地图