在现代企业的内部终端管理中,
网络准入控制系统(NAC)
可以说是企业终端安全管理的基础。
缺少了它
上述多种问题无法处理好
再多的数据保护、防病毒系统也没有意义。
而当我们谈NAC时,
其实不是只重视防护手段,
更要先敲定保护对象,
再来谈措施,
因为系统是无法保护你“看不到”的东西的。
资产管理的重要性、复杂性
《企业安全建设指南》中称,
“资产管理是 IT 安全治理永恒的主题之一,
就像阳光、空气和水,不起眼却不可或缺”。
在企业网络中,
资产有硬件资产、软件资产和数据资产,
类型含网站、信息系统、主机、数据库、数据等。
资产为什么容易遭受攻击?
这就好比我们现实生活中最有价值的东西一样,
是最容易遭受攻击,
也是最想要保护的。
当今企业中的网络安全威胁主要集中
在整个网络连接设备范围内的多个攻击面上。
由于泛终端化的进程,终端被攻击的面越来越广:
据IDC发布的相关数据显示,在2020年,50%的教育机构和大型企业将考虑使用VR/AR、智能手环等产品来提升效率。
当各类终端进入企业网络时
为了做到资产安全管理
就需要做到对资产进行多维度的收集(如下图)
资产管理的重要程度↑、复杂化↑
急需高效安全的方案来解决这一问题
传统/下一代网络准入控制系统的资产管控
传统意义上的NAC是无法做好资产管控的
谈这个问题前
我们先来看看NAC的一些小发展史
●2004年,思科首次推出NAC,其主要作用在于对计算机进行入网前的安全检测
●2005-2007年,NAC市场十分火爆
●2008年,热度逐渐消退
●2014年,NAC重返江湖且势头更猛
据相关报告称,企业(机构)使用NAC的主要原因中排名前三的是:
❶移动设备和BYOD策略使用的增加
❷用户移动需求的增加
❸远程访问企业内网需求的增加
......
近年来,企业数字化业务逐步向移动化、自动化、云化发展,企业内部网络架构逐步向适应新的业务场景下转变。同时,在网络攻击呈现产业化、系统化、智能化的趋势下,新的攻击方式不断涌现。为解决当前、未来业务发展及新式网络攻击防御的需求,NAC也必须进行新一轮的迭代更新。
传统NAC的资产管理短板:
(1)传统NAC在管理终端时是通过交换机识别终端IP/MAC,但无法更详细,而设备IP/MAC有仿冒隐患。
(2)在安装客户端模式下,企业通过NAC收集到更加全面的信息,但是依然是没有终端的网络行为数据,也不利于后续网络安全体系的管理运维。
下一代网络准入控制系统如何进行资产管理?
1提供资产的全面可视化
支持通过多种采集技术对网络资产全面发现扫描,包括网络设备、PC终端、移动终端、IoT 等资产类型,精准识别客户网络资产。用自动化、智能化的技术,取代人工方式,实现网络资产发现识别统计,以资产为视角提供安全可视。
2建立数字资产图谱
自动生成树状结构网络拓扑图,含设备的类型、设备厂家、设备状态、设备安全状态、设备之间的连接关系等,支持对PC设备、网络设备、移动设备、IoT设备(含视频终端等)、ICS设备等主流设备类型和厂家的自动识别。同时支持基于IP/MAC、厂商、部门、设备名称、操作系统信息、开放端口、连接关系、设备类型等方式自动分类,生成资产设备指纹。
3持续监控资产变动+威胁检测
对资产设备进行持续的监控跟踪,结合资产全景报表,主动掌控资产动态。区别于传统准入的一次性合规检查,新一代网络控制准入系统会从漏洞、异常行为、威胁行为等多维度对资产脆弱性进行安全检测,有效发现未知威胁,准确发现内部失陷终端。
4自动发现识别资产,可视化呈现资产态势
系统会依据设备的行为和价值,计算企业全网的安全系数;并以定性或者定量的方式展现设备以及全网风险状态;支持全网安全态势系数分析。同时在布控全景中,系统会实时跟踪并展现智能准入、异常行为感知、合规感知、攻击行为感知、脆弱性感知等主要安全防护模块的运行情况(开启、关闭、数量)。
下一代网络准入控制系统的建设之路
应由资产管理开始,
延伸至入网管控和持续性安全监测,
最终实现对内部网络威胁的检测与处置。
我们知道不少厂商已经开始实践了,
国内较早开始研发准入技术的联软科技,
其UniNID,作为下一代网络准入控制系统
不仅可以完全满足上述资产管理要求,
同时能与网络空间资产测绘系统联动,
将内外网的资产全面管控起来,
做到安全防护无死角,
找准网络安全管理中的资产这个“对象”一点也不难!