深信服零信任上網(wǎng)沙箱方案
這道“沙箱防線”是如何守護(hù)用戶終端安全的?
沙箱內(nèi)外網(wǎng)絡(luò)隔離:攻擊者無法觸及本地網(wǎng)絡(luò)
通過在終端創(chuàng)建與本地環(huán)境隔離的“安全上網(wǎng)空間”:本地桌面與上網(wǎng)空間網(wǎng)絡(luò)是邏輯隔離的���,上網(wǎng)空間無法訪問本地網(wǎng)絡(luò)�����。該空間內(nèi)運(yùn)行的軟件(應(yīng)用)還具備SSL加密通信��、落地文件加密����、網(wǎng)絡(luò)隔離�����、剪切板控制�����、外設(shè)管控�����、程序管控��、文件外發(fā)管控���、屏幕水印等全方位數(shù)據(jù)保護(hù)功能�����。
即便對抗類安全產(chǎn)品被繞過�,上網(wǎng)沙箱也能切斷攻擊通路,讓攻擊者無法觸及核心網(wǎng)絡(luò)—— 這就是“最后一道防線” 的核心價(jià)值��。
上網(wǎng)沙箱用戶使用界面
底層邏輯:從根源切斷C2與木馬的致命連接
用戶所有互聯(lián)網(wǎng)訪問操作均被嚴(yán)格限制在沙箱內(nèi)��,并配合進(jìn)程白名單(僅允許運(yùn)行主流合規(guī)軟件)����。這從根本上切斷了“連接C2”與“運(yùn)行木馬”的致命連接:
能連C2,無法運(yùn)行木馬:沙箱內(nèi)應(yīng)用雖可聯(lián)網(wǎng)(可能連上C2)��,但受白名單限制�,遠(yuǎn)控木馬無法在沙箱內(nèi)執(zhí)行。
能運(yùn)行木馬��,無法連C2:個(gè)人桌面默認(rèn)不允許訪問互聯(lián)網(wǎng)�,即使惡意程序僥幸在本地桌面運(yùn)行,也會因網(wǎng)絡(luò)隔離無法連接C2服務(wù)器�。
從根源切斷C2與木馬的致命連接
兼顧成本與體驗(yàn):低成本、好管理���、易操作
與傳統(tǒng)雙終端����、雙BYOD/CYOD(雙桌面)方案相比,深信服零信任上網(wǎng)沙箱方案有幾個(gè)顯著優(yōu)勢:
低成本�,易部署:直接利用用戶終端現(xiàn)有的硬件資源,業(yè)務(wù)數(shù)據(jù)隔離加密存儲于本地�,用戶側(cè)部署僅需安裝客戶端軟件���,無需額外操作系統(tǒng)�����,開箱即用��。
管理便捷高效:安全團(tuán)隊(duì)可以預(yù)設(shè)不同的網(wǎng)絡(luò)環(huán)境�����,每個(gè)網(wǎng)絡(luò)環(huán)境可以基于應(yīng)用���、目標(biāo)地址、人員組織等靈活設(shè)置網(wǎng)絡(luò)訪問權(quán)限�����,員工在終端可以一鍵切換網(wǎng)絡(luò)環(huán)境,滿足不同的辦公訴求���,提升辦公效率��。
用戶體驗(yàn)感好:在員工使用終端的過程中��,可以通過本地空間的進(jìn)程白名單能力不改變其原有業(yè)務(wù)操作習(xí)慣�����,或者在訪問互聯(lián)網(wǎng)時(shí)�,通過鏈接或程序自適應(yīng)提示即可自動拉起上網(wǎng)空間�����,操作簡單��,讓“小白用戶也能輕松使用”�。
“通過沙箱預(yù)設(shè)終端網(wǎng)絡(luò)環(huán)境的功能是個(gè)很大的亮點(diǎn),很實(shí)用��。我們根據(jù)公司實(shí)際需求設(shè)置了多種網(wǎng)絡(luò)環(huán)境模式�,并根據(jù)使用需求分配給不同的用戶和終端�����,用戶可以在這些網(wǎng)絡(luò)環(huán)境中隨時(shí)靈活切換��。目前使用體驗(yàn)比之前好很多�,功能性和便捷性都十分契合我們的需求�����?�!?該安全負(fù)責(zé)人表示�。
金融行業(yè)用戶之聲:讓紅隊(duì)的186個(gè)木馬全部失效了
金融行業(yè)歷來是網(wǎng)絡(luò)攻擊者的 “必爭之地”�,其安全建設(shè)標(biāo)準(zhǔn)本就嚴(yán)苛,基礎(chǔ)防護(hù)體系也是各行業(yè)中最為完善的���。但隨著協(xié)同辦公軟件的普及���,以及關(guān)鍵人員工作中越來越多的互聯(lián)網(wǎng)訪問需求,內(nèi)網(wǎng)終端開放互聯(lián)網(wǎng)權(quán)限已成常態(tài)��,這就導(dǎo)致終端面臨的釣魚�����、遠(yuǎn)控、中毒及數(shù)據(jù)泄露陡增��。
“對金融行業(yè)來說����,用戶終端不僅存儲著海量的敏感數(shù)據(jù),同樣也連接著金融專網(wǎng)����,因此對于安全的要求是‘零容錯(cuò)’的,沒有失敗的機(jī)會——一旦被攻破����,企業(yè)的經(jīng)營、財(cái)產(chǎn)��、信譽(yù)都可能遭受毀滅性損失����。我們要的不是‘大概率安全’,而是近乎100%無死角的萬全之策�。在終端安全方面,目前基于木馬�、行為檢測和對抗式的方案都滿足不了這個(gè)要求��,更別說未來還需要考慮再疊加對數(shù)據(jù)安全的需求����?!蹦辰鹑谛袠I(yè)用戶的安全負(fù)責(zé)人直言。
在近期的實(shí)戰(zhàn)攻防演練中�,該金融行業(yè)用戶正是依靠這一機(jī)制,成功遏制多起高級釣魚攻擊—— 攻擊者雖誘導(dǎo)用戶運(yùn)行了木馬�,但全部因被沙箱隔離從而無法實(shí)現(xiàn)遠(yuǎn)控。
“我們收集了186個(gè)紅隊(duì)在攻防演練實(shí)戰(zhàn)中使用的遠(yuǎn)控木馬�,直接在終端上運(yùn)行后,實(shí)測均無法突破上網(wǎng)沙箱的這層防線�����?����!?/strong>該安全負(fù)責(zé)人表示�。
對于未來的發(fā)展��,這位安全負(fù)責(zé)人給出了積極的期待�����,也提出了更多要求:
“實(shí)際上,沒有任何一種安全產(chǎn)品和方案可以實(shí)現(xiàn)100%的防御��,上網(wǎng)沙箱的非對抗��、原生安全防御理念也并非完美無缺���。在改變當(dāng)前終端安全攻防方式的同時(shí)��,對產(chǎn)品自身的安全質(zhì)量也提出了更高的要求��。
未來��,以上網(wǎng)沙箱為基石����,輔以輕量化的EDR�����、DLP終端安全方案���,有望在終端安全的戰(zhàn)場上實(shí)現(xiàn)安全和體驗(yàn)的平衡����,打破“被動響應(yīng)、資源消耗��、技術(shù)滯后”式的惡性循環(huán)��,重塑終端安全體系�����?�!?/p>
深信服零信任上網(wǎng)沙箱方案�����,致力于為對安全有極致要求的用戶���,構(gòu)建保護(hù)終端安全的“最后一道防線”�����。通過“本地重辦公+沙箱輕上網(wǎng)”的新思路,實(shí)現(xiàn)辦公空間和上網(wǎng)空間網(wǎng)絡(luò)與數(shù)據(jù)的安全隔離,在提供開箱即用便捷體驗(yàn)的同時(shí)��,提供極致的安全保護(hù)����, 讓用戶在復(fù)雜網(wǎng)絡(luò)環(huán)境中,真正實(shí)現(xiàn)“安全無死角”�����。
