深信服零信任上網(wǎng)沙箱方案
這道“沙箱防線”是如何守護(hù)用戶終端安全的���?
沙箱內(nèi)外網(wǎng)絡(luò)隔離:攻擊者無(wú)法觸及本地網(wǎng)絡(luò)
通過(guò)在終端創(chuàng)建與本地環(huán)境隔離的“安全上網(wǎng)空間”:本地桌面與上網(wǎng)空間網(wǎng)絡(luò)是邏輯隔離的,上網(wǎng)空間無(wú)法訪問(wèn)本地網(wǎng)絡(luò)�����。該空間內(nèi)運(yùn)行的軟件(應(yīng)用)還具備SSL加密通信���、落地文件加密����、網(wǎng)絡(luò)隔離��、剪切板控制��、外設(shè)管控�、程序管控����、文件外發(fā)管控、屏幕水印等全方位數(shù)據(jù)保護(hù)功能����。
即便對(duì)抗類安全產(chǎn)品被繞過(guò),上網(wǎng)沙箱也能切斷攻擊通路,讓攻擊者無(wú)法觸及核心網(wǎng)絡(luò)—— 這就是“最后一道防線” 的核心價(jià)值�。
上網(wǎng)沙箱用戶使用界面
底層邏輯:從根源切斷C2與木馬的致命連接
用戶所有互聯(lián)網(wǎng)訪問(wèn)操作均被嚴(yán)格限制在沙箱內(nèi),并配合進(jìn)程白名單(僅允許運(yùn)行主流合規(guī)軟件)��。這從根本上切斷了“連接C2”與“運(yùn)行木馬”的致命連接:
能連C2��,無(wú)法運(yùn)行木馬:沙箱內(nèi)應(yīng)用雖可聯(lián)網(wǎng)(可能連上C2)�,但受白名單限制,遠(yuǎn)控木馬無(wú)法在沙箱內(nèi)執(zhí)行��。
能運(yùn)行木馬���,無(wú)法連C2:個(gè)人桌面默認(rèn)不允許訪問(wèn)互聯(lián)網(wǎng)�,即使惡意程序僥幸在本地桌面運(yùn)行�����,也會(huì)因網(wǎng)絡(luò)隔離無(wú)法連接C2服務(wù)器�。
從根源切斷C2與木馬的致命連接
兼顧成本與體驗(yàn):低成本、好管理����、易操作
與傳統(tǒng)雙終端、雙BYOD/CYOD(雙桌面)方案相比���,深信服零信任上網(wǎng)沙箱方案有幾個(gè)顯著優(yōu)勢(shì):
低成本����,易部署:直接利用用戶終端現(xiàn)有的硬件資源,業(yè)務(wù)數(shù)據(jù)隔離加密存儲(chǔ)于本地�����,用戶側(cè)部署僅需安裝客戶端軟件���,無(wú)需額外操作系統(tǒng)�����,開(kāi)箱即用�����。
管理便捷高效:安全團(tuán)隊(duì)可以預(yù)設(shè)不同的網(wǎng)絡(luò)環(huán)境,每個(gè)網(wǎng)絡(luò)環(huán)境可以基于應(yīng)用��、目標(biāo)地址�����、人員組織等靈活設(shè)置網(wǎng)絡(luò)訪問(wèn)權(quán)限,員工在終端可以一鍵切換網(wǎng)絡(luò)環(huán)境���,滿足不同的辦公訴求���,提升辦公效率。
用戶體驗(yàn)感好:在員工使用終端的過(guò)程中�����,可以通過(guò)本地空間的進(jìn)程白名單能力不改變其原有業(yè)務(wù)操作習(xí)慣�����,或者在訪問(wèn)互聯(lián)網(wǎng)時(shí)�,通過(guò)鏈接或程序自適應(yīng)提示即可自動(dòng)拉起上網(wǎng)空間,操作簡(jiǎn)單����,讓“小白用戶也能輕松使用”�����。
“通過(guò)沙箱預(yù)設(shè)終端網(wǎng)絡(luò)環(huán)境的功能是個(gè)很大的亮點(diǎn)����,很實(shí)用。我們根據(jù)公司實(shí)際需求設(shè)置了多種網(wǎng)絡(luò)環(huán)境模式����,并根據(jù)使用需求分配給不同的用戶和終端,用戶可以在這些網(wǎng)絡(luò)環(huán)境中隨時(shí)靈活切換�。目前使用體驗(yàn)比之前好很多,功能性和便捷性都十分契合我們的需求�。” 該安全負(fù)責(zé)人表示��。
金融行業(yè)用戶之聲:讓紅隊(duì)的186個(gè)木馬全部失效了
金融行業(yè)歷來(lái)是網(wǎng)絡(luò)攻擊者的 “必爭(zhēng)之地”����,其安全建設(shè)標(biāo)準(zhǔn)本就嚴(yán)苛,基礎(chǔ)防護(hù)體系也是各行業(yè)中最為完善的�����。但隨著協(xié)同辦公軟件的普及��,以及關(guān)鍵人員工作中越來(lái)越多的互聯(lián)網(wǎng)訪問(wèn)需求�,內(nèi)網(wǎng)終端開(kāi)放互聯(lián)網(wǎng)權(quán)限已成常態(tài)���,這就導(dǎo)致終端面臨的釣魚(yú)���、遠(yuǎn)控�����、中毒及數(shù)據(jù)泄露陡增�����。
“對(duì)金融行業(yè)來(lái)說(shuō)����,用戶終端不僅存儲(chǔ)著海量的敏感數(shù)據(jù)����,同樣也連接著金融專網(wǎng),因此對(duì)于安全的要求是‘零容錯(cuò)’的���,沒(méi)有失敗的機(jī)會(huì)——一旦被攻破����,企業(yè)的經(jīng)營(yíng)�、財(cái)產(chǎn)、信譽(yù)都可能遭受毀滅性損失�����。我們要的不是‘大概率安全’,而是近乎100%無(wú)死角的萬(wàn)全之策����。在終端安全方面,目前基于木馬����、行為檢測(cè)和對(duì)抗式的方案都滿足不了這個(gè)要求,更別說(shuō)未來(lái)還需要考慮再疊加對(duì)數(shù)據(jù)安全的需求�����?��!蹦辰鹑谛袠I(yè)用戶的安全負(fù)責(zé)人直言���。
在近期的實(shí)戰(zhàn)攻防演練中,該金融行業(yè)用戶正是依靠這一機(jī)制�,成功遏制多起高級(jí)釣魚(yú)攻擊—— 攻擊者雖誘導(dǎo)用戶運(yùn)行了木馬,但全部因被沙箱隔離從而無(wú)法實(shí)現(xiàn)遠(yuǎn)控���。
“我們收集了186個(gè)紅隊(duì)在攻防演練實(shí)戰(zhàn)中使用的遠(yuǎn)控木馬�����,直接在終端上運(yùn)行后���,實(shí)測(cè)均無(wú)法突破上網(wǎng)沙箱的這層防線?��!?/strong>該安全負(fù)責(zé)人表示�����。
對(duì)于未來(lái)的發(fā)展���,這位安全負(fù)責(zé)人給出了積極的期待,也提出了更多要求:
“實(shí)際上���,沒(méi)有任何一種安全產(chǎn)品和方案可以實(shí)現(xiàn)100%的防御���,上網(wǎng)沙箱的非對(duì)抗、原生安全防御理念也并非完美無(wú)缺��。在改變當(dāng)前終端安全攻防方式的同時(shí),對(duì)產(chǎn)品自身的安全質(zhì)量也提出了更高的要求����。
未來(lái),以上網(wǎng)沙箱為基石�,輔以輕量化的EDR、DLP終端安全方案�����,有望在終端安全的戰(zhàn)場(chǎng)上實(shí)現(xiàn)安全和體驗(yàn)的平衡�����,打破“被動(dòng)響應(yīng)��、資源消耗���、技術(shù)滯后”式的惡性循環(huán)�����,重塑終端安全體系����。”
深信服零信任上網(wǎng)沙箱方案�,致力于為對(duì)安全有極致要求的用戶,構(gòu)建保護(hù)終端安全的“最后一道防線”�。通過(guò)“本地重辦公+沙箱輕上網(wǎng)”的新思路,實(shí)現(xiàn)辦公空間和上網(wǎng)空間網(wǎng)絡(luò)與數(shù)據(jù)的安全隔離�����,在提供開(kāi)箱即用便捷體驗(yàn)的同時(shí)�����,提供極致的安全保護(hù)�, 讓用戶在復(fù)雜網(wǎng)絡(luò)環(huán)境中��,真正實(shí)現(xiàn)“安全無(wú)死角”�����。
