两高一弱，一键治理——蔷薇灵动“两高一弱”专项整治解决方案

“两高一弱”是困扰企业网络安全的一项顽瘴痼疾，具体是指高危漏洞、高危端口和弱口令。俗话说“苍蝇不叮无缝的蛋”，在攻击者眼中，“两高一弱”广泛存在且容易利用，是攻击效率最高的方式。近一时期，声势浩大的“两高一弱”专项整治行动伴随实战化攻防演练的号角，在各行业掀起一轮热潮，相关政策要求各级组织及时发现并消除网络和信息系统“两高一弱”问题，实现问题清零。

当前，“两高一弱”的发现已不是最大的难题，但要“消除”并实现“清零”，着实面临诸多困难。基于传统方式，企业无法保证能够修复所有高危漏洞，封堵所有高危端口并彻底消除弱口令存在，通过零信任访问控制方式治理“两高一弱”问题逐渐成为共识。蔷薇灵动基于多年来的微隔离技术实践，探索出了一条通过“一键策略”即可实现“两高一弱”治理的新路。

• “两高”怎么治？

本轮“两高一弱”专项行动共明确出高危漏洞2000余个、高危端口100余个。过去的知识告诉我们，最直接有效的“两高”治理是打补丁、关端口，但现实中很多停服的老旧系统已无法获得补丁，很多补丁打上就会带来系统崩溃，很多组织补丁管理流程繁冗、过程漫长，很多高危端口是承载基础网络服务的常用端口，用打补丁、关端口的方式显然无法做到“消除”并“清零”。

一面是巨大的存量，一面是无法修补封禁的困难，要实现限期整改的难度可见一斑。通过蔷薇灵动解决方案，只需三步即可实现“两高”治理。

• 第一步：全面评估，分面向识别攻击面

治理“两高”，首先得清楚它们在攻击者眼中“长什么样子”，了解它们“向谁暴露”。相当一部分安全人员最关注外部攻击面，其次是办公网攻击面，但并不重视内部攻击面。从实战攻防视角看，外部攻击面确实最危险，但内部攻击面被利用的后果往往最严重，尤其是在虚拟化、云化环境里，由于所有资产全向互通，内部攻击面风险并不亚于外部，安全人员应当对各个“面向”的攻击面充分识别。

对于外部攻击面，企业可以通过资产测绘、漏洞扫描等方式发现，而对于内部攻击面则因缺少必要的数据而无从获悉。基于微隔离系统独有的零信任数据，蔷薇灵动方案具备针对所有业务资产的漏洞攻击面和端口暴露面发现能力。基于漏洞和端口的网络可见性，攻击面和暴露面按互联网、办公网、业务间和业务内四个“面向”进行独立识别和展示，它们分别代表着漏洞和端口到底能够被哪个位置的攻击者所“看见”并利用。用户通过基于面向的暴露面、攻击面识别，可以更为深刻的洞察“两高”风险，并更为合理有序的规划治理方案。

<图：基于面向的攻击面、暴露面识别>

• 第二步：初级治理，一键封堵无访问端口

在长期的微隔离实践中，我们发现超过70%的监听端口本无必要暴露、却又赫然存在。这些端口本身并不提供任何服务，大多是因为不规范的系统或服务配置所造成，不但不符合等级保护的要求，还给漏洞和攻击提供了可乘之机。

通过持续的连接学习，蔷薇灵动方案能够快速统计出一定周期内完全未发生过有效访问的工作负载监听端口。从理论上讲，只要学习周期足够，这些无访问端口的“非必要性”就会更加明确，通过这些统计数据，安全人员可以毫无压力的封禁它们。此外，通过方案提供的“初级治理”功能，安全人员可以利用系统对这些非必要暴露端口自动批量的生成黑名单策略，从而让无访问的“两高”瞬间“消失”。

<图：非必要暴露端口统计及处置>

• 第三步：分级治理，一键缩减攻击面

与非必要暴露的端口相比，最难的情况是有些资产明明存在高危漏洞和高危端口，却既不方便补丁修复、也无法关停封堵。此时，通过微隔离策略限制它们的访问源范围是唯一可行的方法了。

蔷薇灵动方案提供的“策略规划”功能，将微隔离策略分为5个级别，从最低的基础级到最高的严苛级，策略管控的粒度逐级精细。该功能可以按照不同级别对已纳管资产提供白名单策略规划建议，并持续评估业务资产在各级策略下的连接稳定性。业务连接稳定性越高，意味着在该级策略下造成业务误阻断风险越低，随着学习周期的结束，当该项指标达到预设值后，用户便可通过“一键微隔离”选项对业务资产下发相应级别的微隔离策略，从而使“两高”攻击面大幅缩减。

<图：分级治理微隔离策略规划>

根据经验，在条件允许的情况下策略的级别越高越好，但从攻击面治理的时效性考虑，快速将已经稳定的连接关系固定为白名单策略，在“两高”治理中不失为一种更为务实的做法，而通过微隔离策略实现业务间的隔离，通常情况下仅需要两周的时间。此外，对于个别的高风险资产，我们还能够对它们的策略做“精细规划”，通过逐条确认连接关系和更为精细的白名单放行，进一步下降它们的攻击面。

• “一弱”怎么防？

与“两高”相比，弱口令的治理有着截然不同的困难。一方面，弱口令的存在与“人”的因素息息相关，可以说只要是人在使用密码，那么弱口令就无法根除。另一方面，口令到底是否“弱”，并不取决于它是不是“123456”或爆破字典里的其他组合，而是要看攻击者猜解它们的难度是否足够简单，而这件事本身是没有标准的。例如，如果某用户习惯使用自己的手机号码作密码，那么一旦他的联系方式泄露，那么即便密码位数足够长，恐怕还是极容易被猜解和爆破的。

因此，弱口令问题看似是因口令强度不够而导致，实则是“密码”这种认证方式存在天然的弱点。要更为有效的屏蔽弱口令风险，应当从认证方式上提升强度和复杂度。

在企业网络中，弱口令造成危害的场景主要是两类，一类是资产的系统管理账号容易被弱口令爆破，另一类是业务应用的登录账号易被弱口令利用。利用蔷薇灵动方案全流量零信任管理能力，能够对这两个场景的登录认证实施高效的强度升级，从而规避弱口令风险。

• 系统管理认证增强：堡垒机绑定

最为安全的资产管理方式，是统一通过授权的运维平台进行登录，等级保护对此也做出了明确要求。而在多数组织的内网中，“跳堡垒机”现象比比皆是、屡禁不绝，安全人员一面对此深恶痛绝，一面又缺乏有效措施。然而，“口子”扎不紧，系统管理员的弱口令就可能被更多人所利用。

解决这个问题，对于微隔离而言易如反掌。安全人员仅需通过微隔离平台向所有纳管资产下发一条全局白名单策略，允许由“堡垒机”入访的运维管理流量，即可使其他访问源发起的TCP/22、TCP/3389等管理访问被直接阻断并记录日志，从此，清查并阻止脱审违规运维便能轻松拿捏。而更为重要的是，在统一运维平台多因素认证登录、精细化权限控制和全过程监控审计的保护下，系统管理员的弱口令风险被大大降低了。

<图：堡垒机绕行管理>

• 应用登录认证增强：零信任访问

对于用户发起的业务访问登录，同样可以利用零信任访问的方式提升认证强度，从而降低应用本身的弱口令风险。

通过在微隔离平台实施用户访问业务的策略，能够强制用户在访问应用系统前进行更为复杂的身份认证，系统将基于用户身份判别其是否能够访问对应的业务，并提供加密的安全通道来保护业务应用。值得一提的是，针对业务访问策略，微隔离平台同样提供了策略自学习的能力，能够帮助用户一键定义策略、平滑生效策略。

<图：面向身份的业务授权访问>

当然，这种基于用户身份的强访控方式确实需要对网络架构和用户体验做出一定的改变。在用户终端IP地址较为固定的场景，另一种更为简单的方式是直接利用微隔离系统执行面向IP地址的策略，用户可以基于场景需求灵活应用。

• 两高一弱，一键治理

“两高一弱”是与网络安全长期伴生并动态发展的问题。基于上述分析，无论是在补丁、封堵无法实施的情况下，还是面向高风险脆弱性的应急处置和日常防护中，零信任技术都能够帮助用户以较小的代价实现攻击面的大幅缩减。

蔷薇灵动“两高一弱”治理方案，能够为用户提供一个统一的管理平台，帮助用户更为合理的评估“两高一弱”风险，并基于“一键策略”能力封堵非必要暴露、缩减业务攻击面，同时极大规避弱口令带来的系统和应用风险，从而使用户高效率、低成本的应对“两高一弱”的困扰。

给我两周，跟“两高一弱”说再见！