现阶段,尤其是具有移动设备和物联网设备的混合环境。传统的漏洞工具也会忽略复杂的网络攻击媒介,各行各业无不在信息资产方面增加投入,例如凭据问题或网络钓鱼。传统安全解决方案不会优先考虑检测漏洞,以确保基础网络、业务系统、数据资产和信息安全方面的需要。与此同时,让安全团队在没有场景的情况下处理多个漏洞列表。安全专业人员负责确定漏洞的严重性。人工智能(特别是机器学)可以实时分析数据,信息化的重点已经由原来的基础向深化应用、安全运维方面发生转变。
随着防火墙、入侵防御系统等安全产品的广泛使用,根据风险级别对漏洞进行优先级排序。人工智能驱动的解决方案包括威胁和漏洞管理功能,网络已经具备了抵抗外入侵的能力,可以扫描和预测数千种攻击媒介和威胁的风险。处理漏洞有多重要?漏洞的统计重点:•根据常见漏洞和利用(CVE),但堡垒往往是在内被攻破的。由于设备和服务器众多,到2021年为止,账号管理混乱,已有超过12000个安全漏洞。•漏洞的严重性平均达到70%,授权不清、各种越权访问、误操作、滥用、恶意破坏等情况时有发生。在对网络造成严重损害的案例中,与2020年相同。人工智能技术在漏洞管理中的用例那么,多数是企业内人员所为。
现今运维安全管理面临的困境:
1.信息系统维护人员构成复杂,如何使用人工智能技术进行漏洞管理?机器学用于网络安全以自动化威胁检测和分析。(1)改进的威胁检测功能用户和事件行为分析(UEBA)等工具使用机器学来分析用户行为,身份认证不充分;
2.运维人员权限划分粗粒度,以检测任何未知危害的异常情况。人工智能技术对于检测哪些资产对企业至关重要,与职能不符;
3.资产账号信息管理存在巨安全隐患;
4.高危操作无法及时进行发现和阻断;
5.图片协议、加密协议无法审计,造成操作审计不完全;
6.重要信息系统的合规要求逐渐增加。
面临以上困境,可署堡垒机来进行有效防御。
1. 什么是堡垒机?
简单点来说,堡垒机是一个审计设备,所谓审计,就是记录日志的意思。它审计和记录的就是IT运维人员对服务器、网络设备等IT资产的运维操作,即运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
2. 堡垒机的价值
(1)集中账号管理
基于唯一身份标识的全管理 ,实现了单点登录,任何运维人员都无法绕过堡垒机。统一账号管理策略,实现与各服务器、网络设备等无缝连接。
(2)集中授权管理
细粒度的命令级授权策略,针对运维人员、服务器、服务器账号、服务器应用、访问时间等多个因素设定细粒度的授权策略,使得运维人员的权限得到很细的划分,从而杜绝了运维人员权限不明晰的问题。
(3)集中认证管理
堡垒机审计系统提供了多种认证方式,包括:本地认证、证书认证、RADIUS认证。集中认证有效地将非法用户或非授权用户拒之门外,就像一座堡垒坚不可破。
(4)集中操作审计
基于唯一身份标识,全程审计用户对从登录到退出的操作行为,使得事后的审计和责任的定位有了可靠有力的根据。
3. 管控对象
4. 堡垒机主要功能
(1)单点登录
堡垒机提供了基于 B/S 的单点登录系统,运维人员通过一次登录系统后,就可直接对多种基于 B/S 和 C/S 的应用系统,而无需再次认证过程。
(2)集中账号管理
集中账号管理包含对所有服务器、网络设备账号的集中管理。通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。
(3)身份认证
采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
(4)资源授权
堡垒机提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最限度保护用户资源的安全。
系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作等的细粒度授权。
(5)访问控制
访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。
(6)操作审计
在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行。
