在网络准入控制系统中,我们可以把不同的人员,各种接入方式,多样的终端,应用服务器以及业务数据纳入到我们的管控当中,实现终端安全一体化防护。就像我们前篇文《网络准入:正在变,即将变?》中指出的网络准入不只是一个安全工具,也是解决安全管理问题的基础设施,为大型机构的网络安全提供直接支撑。
在建设网络准入控制系统中,面对哑终端应用场景的不断延伸,终端本体防护措施部署情况参差不齐、AD域控以及技术部署复杂等方面的问题时,有没有更轻量智能、简单安全的方法来全面实现网络准入控制成了不少企业的需求。联软UniNID作为下一代网络准入控制系统,与传统准入系统相比功能大大增强,通过哑终端的管控和PC无代理准入功能满足企业智能准入的安全需求。
哑终端管控
随着现阶段企业网络中非传统IP设备,即哑终端的数量和种类在不断地增加,例如打印机、IP电话等,这些设备一般安放在企业的多个位置,与企业办公PC混在一起,没有做严格的管控;传统哑终端仅MAC地址认证就能接入企业内网,非法攻击者使用笔记本伪造哑终端IP/MAC地址后进入企业内网;同时缺乏有效的入网控制技术措施及安全行为监控手段,哑终端可能存在潜在的漏洞,易被攻击者利用进而对公司信息网络进行攻击,产生各类入侵威胁。
联软UniNID哑终端安全管控方案将接入企业网络的哑终端设备均纳入管控范围,采用有效的准入手段来对边界的安全风险和安全事件进行实时的监视和在线的管理:
1.集成了多项设备发现检测技术,全网哑终端发现无死角;
2.自动按照哑终端设备的类型、安全状态、指纹特征、使用者身份等信息,自动下发ACL实现最小授权;
3.对哑终端网络访问行为、网络接入行为、设备及流量特征、设备仿冒检查、异常访问检查、异常接入位置等威胁行为进行持续检测,发现未知威胁及失陷哑终端。
作为下一代网络准入控制系统,联软UniNID能够全方位自动发现企业网络中的哑终端设备,形成资产图谱;无需维护大量白名单,可以大大降低网络管理员的运维工作量;通过精准的权限控制和基于设备行为的分析,将哑终端设备风险和威胁控制到最低。
PC无代理准入
在一般的网络准入控制系统中,当Agent安装完成后,才会进行网络准入控制流程。首先进行用户身份认证,然后进行终端合规检查,最后会对用户的接入终端进行安全合规检查(安全检查不合规的会安置到隔离区内强制修复,直至修复合规后才能继续接入);最后,在用户身份合法和终端检查合规后,才允许员工接入到网络里面,这时我们会根据用户角色下发基于角色的动态访问控制授权,同时我们也可以通过Agent下发终端安全、外设管理、数据保护等策略。
随着企业管控面扩大,准入系统中部署的Agent逐渐增多,尤其是有AD域控的企业,面临着推广新Agent的兼容性及阻力大等问题,这一点在制造业和小金融企业中现象较多,针对这种现象,联软新一代网络准入控制系统开发了适应多场景的安全合规检查,企业终端设备无需任何Agent,就可实现电脑终端的安全检查和准入,威胁检测。企业网中的服务器、网络设备、移动终端、哑终端(打印机、摄像头等)等设备可以采用“指纹”认证的准入方式。
在无代理智能准入环境下,测试入网安全检查功能,可以针对加域/防病毒软件/安全软件/补丁/服务进行检查。
联软UniNID作为下一代网络准入控制系统,在终端安全管控的基础上,还可利用主动+被动等多种技术协助用户摸清内网资产,可利用POC扫描、补丁修复等技术管控资产高危风险,可通过机器学习建模、威胁情报、智能幻影等技术发现内网存在的已知(如绕过堡垒机操作服务器的行为、仿冒接入行为)和新型攻击行为(如智能幻影主动捕捉横向扫描探测行为),帮助企业全面识别内网安全风险,控制风险扩散。