您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[腾讯]:腾讯零信任iOA新品能力发布 - 发现报告
当前位置:首页/其他报告/报告详情/

腾讯零信任iOA新品能力发布

2024-09-12腾讯在***
腾讯零信任iOA新品能力发布

基于iOA构建一体化办公安全平台 打造终端安全新范式 主讲人: 腾讯iOA产品负责人刘登峰 日益严峻的终端安全发展趋势 数字化转型让网络安全趋势日益严峻 疫情 数字化 集约化 移动化 1.网络边界弱化 2.接入形式各异 • 过去:内外网边界明确,通过 边界判断是否安全 现在:业务和终端广泛分布… • • • 过去:PC接入,局域网、VPN 现在:PC终端、移动终端、IoT终 端,分支接入、云端访问… 3.系统形态丰富 4.用户角色多样 •过去:C/S+B/S •现在:移动应用广泛,南北向和 东西向并存、API频繁交互… •过去:内部员工为主 •现在:内部员工,供应商,外包, 合作伙伴… IT环境不断变化 攻防对抗 •攻防对抗演练常态化,边界设备成为首要供给 目标,直接关系安全工作绩效 •中间件漏洞、终端钓鱼、社会工程学窃取凭证 等高级攻击手段层出不穷 •新的IT业态,产生了更多攻击暴露面 •实战攻防中黑灰产专业化、服务化、武器化 数据安全 •数据资产重要性形成各界共识,数据安全合规 监管成为重中之重 •内部人员利用合法身份访问窃取数据,防不胜防,数据安全事件屡禁不绝 •数据资产分布广泛、访问复杂、保护难度高 •安全意识单薄,导致整个组织面临安全威胁 安全挑战不断升级 现有的终端安全架构难以应对复杂的安全挑战 企业需要全新的安全架构:基于零信任思想构建的一体化终端安全保护平台 传统安全边界防御失效 传统安全边界逐渐模糊,伴随着业务上云、 Byod、移动互联网的持续发展,传统的网络安全边界逐渐模糊,对外业务暴露面逐渐扩大。 内网安全可见度较低,过去的网络安全建 设主要聚焦在边界防护上,边界一旦被突破,攻击者在内部几乎可以畅通无阻。 终端安全产品种类繁多 终端安全产品种类繁多,伴随终端安全产品的持续发展,SSLVPN、杀毒软件、桌管软件、EDR、DLP等多种不同的安 全产品为企业IT管理者带来了极大的管理负担。 用户较为排斥安装多个客户端,过大部分 用户都比较排斥在电脑上安装多个客户端,给企业IT也带来了极大困扰。 核心数据资产难以保护 终端防泄密交付较重,终端防泄密DLP 通常需要安装独立的客户端,对企业IT 来说存在较大的推端障碍,整体交付较重,内部实施难度较大,缺少轻量级的防泄密方案 防泄密缺少身份化关联,现有的防泄密安 全体系基本为单点内容检测告警,无法将终端、网络、应用、身份等信息关联起来,告警准确性差。 4 零信任理念诞生带来了新的终端安全建设思路 腾讯公司作为零信任领域的先驱实践者,一直致力于推动零信任安全在国内的发展和实践 2016年,腾讯在企业内部开始推动零信任架构的实践和落地,并逐渐扩展到整个集团 2019年,腾讯零信任安全主导ITU-T国际标准立项,推动全球零信任标准化应用 2020年,腾讯联合零信任产业标准工作组发布《零信任实战白皮书》 2024年,腾讯安全牵头编制的国内首个零信任技术标准《零信任安全技术参考框架》获工信部批准发布 2021-至今 2004年,JerichoForum提出去边界化安全理念,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御 2010年,Forrester的首席分析师JohnKindervag正式提出零信任(ZeroTrust)的概念,并提出零信任的三个核心观点 2004-2010 2011-2014 2015-2018 2011年,Google开启代号为BeyondCorp的项目,在公司内部开始实施零信任,并在2014年Google发表一系列关于BeyondCorp落地的论文 2013年,国际云安全联盟CSA提出SDP软件定义边界概念,成为零信任的第一个技术解决方案 2017年,Gartner在安全与风险管理峰会上提出CARTA模型,并提出“零信任是实现CARTA第一步” 2018年,Forrester发表零信任扩展ZTX架构,包括零信任用户、设备、网络、应用、数据、分析、自动化等七大领域。 此时,国内零信任厂商开始跟进 2018-2022 2019年,《2019中国网络安全产业白皮书》发布,腾讯参与编写,零信任安全成为我国网络安全重点细分领域技术 2022年,中国国标《信息安全技术零信任参考体系架构》征求意见稿发布,众多零信任厂商参与标准制定; 疫情作为“黑天鹅事件”将零信 任热度推至顶峰 2021年,《零信任接口应用白皮书(2021)》发布,零信任接口应用是实现安全行业在零信任领域产品合作以及价值共建的基础 2022年,中国信通院发布《零信任发展研究报告(2023年)》,总结了零信任技术发展趋势,并对零信任产业发展提出建议 2021-2024年,国内也在大力推进零信任安全发展,国际标准、国内标准、行业标准全面立项和推进,零信任产品层出不穷,零信任概念泡沫逐渐破灭,正式进入平稳的落地建设阶段 百花齐放百家争鸣 如何在常态化攻防对抗中更好的应对高级安全威胁? 传统防御手段难以抵御逐渐常态化的高级安全威胁 社工钓鱼攻击事件 PhishingAttack 经过多年发展,网络钓鱼已成为最常见、也最容 易得逞的攻击手段之一。随着网络技术的不断发展,钓鱼攻击的伪装手段也变得愈发狡诈,攻击频次不断提升,各种新奇的攻击方式层出不穷。这对企业组织的业务安全开展和防护工作带来了巨大的风险。为了解决社工钓鱼这种高级安全威 胁,企业亟需一套行之有效的解决方案 漏洞利用攻击事件 Exploitvulnerability 2021年12月,某知名漏洞(CVE-2021-xxxxx) 被发现,其严重危害影响至今。该漏洞允许攻击者通过特制的信息执行任意代码,且由于攻击特征的多样性和复杂性,检测和防御这种攻击变得非常困难。几乎所有使用该库的系统都可能受到 影响。这也影响了大量的企业级用户 供应链攻击 SupplyChainAttack 2020年,黑客入侵了国际某知名软件公司的开发 环境,在合法更新包中植入了恶意代码,并成功入侵了多个更新此软件的企业公司。 2023年,供应链攻击变成攻防演练活动中的加分项,可预见的是供应链攻击将变得愈发常见,如何轻量化的解决供应链的安全问题,成为了防 守方需要重点关注的课题 构建一体化终端安全保护平台 全面升级,基于iOA构建办公安全一体化平台 腾讯iOA 核心模块 零信任 EPP 新 EDR 基础模块 终端DLP 终端管控 SSL卸载 远程协助 软件管家 基于腾讯内部实践与零信任思想,构建的终端安全一体化办公平台,为用户打造安全、高效、稳定的办公环境 统一数字办公平台 安全融于业务 随时随地无差别办公 企业文化载体 企业员工视角 统一终端底层平台 内置可插拔安全模块 全平台支持(PC、手机、信创) 腾讯最佳实践沉淀 一体化终端安全管理平台 企业IT管理者视角 一个控制台实现深度联动 一个控制台实现便捷管理 实战对抗安全能力建设评级 围绕终端构建常态化实战对抗防护能力 腾讯iOAiOA企微网关 0 02 完善阶段:补充安全能力 03 成熟阶段:完善终端安全体系 成熟度: 1、部署方案:iOA(零信任接入、EPP、EDR、 UEM)企微网关 2、落地场景:全场景-业务暴露面收敛、统一终端 初级阶段:基础平台建设 成熟度: 初1、部署方案:iOA-零信任接入、企微网关 级2、落地场景:全场景-业务暴露面收敛 阶3、安全能力:PC端、移动端业务安全访问 段4、建设效果: (1)让PC、移动端安全的访问内网业务系统,实现 全链路安全可信能力。 (2)通过单包授权SPA收敛零信任设备自身暴露面,在实战攻防期间,让攻击者难以发起扫描和嗅探攻击,全面保障业务安全。 (3)基于零信任实现权限精细化管理,降低攻击横移 01风险,保护靶机安全 成熟度: 1、部署方案:iOA(零信任、EDR)、企微网关完2、落地场景:全场景-业务暴露面收敛、高级安全威善胁持续检测 阶3、安全能力:PC端、移动端业务安全访问;安全安 段全威胁持续检测 4、建设效果(在第一阶段基础上): (1)基于终端行为开展持续安全监测,利用多终端 关联分析、威胁狩猎等能力及时发现并阻断钓鱼攻击、横移攻击等高级安全威胁 (2)iOA-EDR可轻量化部署(无客户端界面)在用户PC上,与用户现有EPP软件零冲突,可在实战攻防期间快速上线,减少用户推广压力 (3)实战演习期间,腾讯安全专家7*24h在线研判,并提供处置方案,协助用户进行处置,最大化EDR 02安全建设效果 安全建设场景 3、安全能力:PC端、移动端业务安全访问、安 成全安全威胁持续检测、终端设备管控、终端防病毒 熟4、建设效果(在第二阶段基础上): 阶 (1)围绕EPP构建终端防病毒能力,可与EDR、 段 零信任等模块实现风险联动处置 (2)构建终端安全管控能力,帮助企业分支/供应链在备战阶段做好终端安全管控,关闭高危端口、禁用外来U盘等 (3)通过静态特征+动态行为的终端联合安全体系,快速处置已知威胁,持续分析终端风险行为,洞察高级安全威胁(钓鱼、0Day、横移等),确保终端安全落地有声 (4)一个客户端即可实现多种安全能力,让用户 减少额外的端点推广压力,也降低了和各个供应商 03的沟通成本和时间成本 用户可信-重保期间开启多因素认证方案 基于不同场景可灵活组合认证方式,结合安全状态和用户行为实现自适应认证,平衡安全与体验 主认证 登录多因素认证的首次认证 二次认证 登录多因素认证的二次认证 挑战认证 千人千面的自适应认证策略 用户纬度: 针对销售人员(经常远程办公)的用户施以默认双因素认证策略 针对研发人员(经常内网办公)启用默认不启用双因素,远程访问敏感 系统时需要挑战认证的认证策略 设备纬度: 针对哑终端设备的对应目录启用AD域环境免认证 针对PC端启用OTP认证作为二次认证方式 针对移动端启用短信认证作为二次认证方式 办公场景下持续验证可信身份 兼顾体验与安全的自适应认证 使用强主认证因子登录时,豁免二次认证 当用户在非合理位置办公时,需进行挑战认证 当用户在非合理时间段办公时,需进行挑战认证 当用户在使用入域设备登录时,直接豁免认证 启用多种类型的认证方式启用多个同类型的认证方式对启用的认证方式进行个性化组合 认证场景 账号密码(AD/LDAP/本地账密) IAM 企微 钉钉 飞书 扫码认证 Token认证 (短信/邮件/Radius) 内置OTP 主认证 √ √ √ √ √ √ √ x 二次认证 x √ √ √ √ √ √ √ 挑战认证 √ √ √ √ √ √ √ √ 静态令牌安全性不足,不适合启用为登录双因素的二次认证 令牌位数较少,可能被爆破,不适合启用为直接面向用户的主认证 联动终端EDR检测 零信任iOA可以联动EDR进行终端安全威胁监测和处理,对安全事件进行分级分类,基于不同的威胁等级,下发不同的处置策略,确保开会终端的安全性。 可信应用检测 基于腾讯安全多年来的大数据积累,可以判断用户电脑上所运行的应用和进程是否安全。提前感知威胁终端,最大程度保障腾讯会议的安全性。 终端可信-及时阻断风险终端访问资源和业务 终端运行环境评估 支持超过30种终端安全判定条件,可针对终端环境进行安全评估,保证安全合规的终端才允许访问业务,防止通过存在脆弱性或已失陷终端做为跳板攻击业务和数据 对终端安全状态信息进行收集和分析,阻止存在风险隐患的终端接入网络,确保业务和数据安全 企业员工视角 不改变使用习惯,无感访问,极致的访问体验 企业IT管理者视角 企微原生管理界面,配置操作简单。 操作无门槛,无需域名申请备案、应用页面兼容。 1.无需额外安装客户端 原生组件,零交付使用 2.内网地址无差别访问 3.应用访问速度快 连接可信-iOA企微网关保障企微工作台业务“零暴露” Windows MACOS Linux 信创OS 安卓 iOS 数据由客户端进行加密,保证传输链