1.终端安全风险
对于一个企业来说,90% 以上的员工需要每天使用PC终端办公,而终端是和互联网“数据交换”的重要节点,且员工的水平参差不齐,因此企业网 络中80%的安全事件来自于终端。终端已经成为黑客的战略攻击点。 黑客攻击的目的是获取有价值的“数据”。他们控制终端以后,可以直接种植勒索病毒勒索客户,更严重的是,黑客的目标往往是那些存储着重要 “数据”的服务器。受控的终端将成为黑客的跳板,黑客将通过失陷主机横向扫描内部网络,发现组织网络内部重要的服务器,然后对这些重要服务器发起内部攻击。
互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说,僵尸网络是最为严重的安全问题,黑客利用病毒木马蠕虫等等多种入侵手段控制终端,形成僵尸网络,进一步实现终端存储的信息被窃取 、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。
黑客可以利用僵尸网络展开更多的危害行为,如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的,危害非常大。
僵尸网络的主要危害有:
1.本地渗透扩散
2.敏感信息窃取
3.脆弱信息收集
4.高级持续威胁
5.看不见的风险
2.终端安全检测和防御技术
看似正常的网络中,隐藏着诸多安全风险,仅仅看到IP/端口/特征已经无法区分是否安全
终端安全检测和防御技术
基于七层应用的深度数据包检测可实现终端安全可控
2.1应用控制策略
应用控制策略可对应用/服务的访问做双向控制。
NGAF存在一条默认拒绝所有服务/应用的控制策略。
1.基于应用的控制策略:
通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。
2.基于服务的控制策略:
通过匹配数据包的五元组(源地址、目的地址、源端 口、目的端口、协议号)来进行过滤动作,对于任何包可以立即进行拦截动作判断
WEB过滤是指针对符合设定条件的访问网页数据进行过滤。
包括URL过滤、文件过滤。 根据HTTP不同动作进行区分。 可以针对HTTPS URL进行过滤