李臻-从疫情防控看信息安全建设_Palo Alto Networks（36页）.pdf

1、从疫情防控看信息安全建设从疫情防控看信息安全建设李李 臻臻 Jon Li中国区技术总监中国区技术总监 2020年年11月月27议程议程 疫情防护之应检尽检查与信息安全的零信任理念 防疫情扩散封城与网络安全加固（安全的加减法）从疫情防控看信息安全-零号病人、病毒扩散和变异 从疫情防控看信息安全-医疗系统瘫痪与安全能力平行扩展 疫情扩散封城 vs 无边界的网络-云原生安全 疫情防控的新常态与信息安全的持续监控3|2020 Palo Alto Networks,Inc.All rights reserved.疫情防护之应检尽检查疫情防护之应检尽检查 与与 信息安全的零信任理念信息安全的零信任理念4|

2、2020 Palo Alto Networks,Inc.All rights reserved.从疫情防控看信息安全从疫情防控看信息安全 -Zero Trust-Zero Trust DNS、Ping通信可以完全信任吗？CASHY200Unique HostnameRequest type d5 Random CharsSend hostname commandC2 domainCASHY200 Tunneling从攻杀链看成功的入侵如何利用信任从攻杀链看成功的入侵如何利用信任攻击者需要采用大量操作采用才能成功入侵并窃取关键数据而每个单独操作看起来都是“正常”的1 1）内网主机访问）内网主机访

3、问InternetInternet全信任全信任 2 2）利用内网的信任横向移动）利用内网的信任横向移动Connectivity Connectivity rate changerate change零日攻击绕过边界防御恶意软件安装和返连远控横向移动窃取数据8 8|2017,Palo Alto Networks.Confidential and Proprietary.|2017,Palo Alto Networks.Confidential and Proprietary.Repeated access Repeated access to an unusual siteto an unusu

4、al siteUnusually Unusually large uploadlarge upload信任信任 是最具威胁的 漏洞漏洞容易被攻击者利用，如滥用的信任（例外）策略从不信任，总是验证从不信任，总是验证过去过去现在现在默认策略下默认策略下“信任信任”所有内部流量所有内部流量内部设备不受任何控制限制本质上没有任何流量可以被本质上没有任何流量可以被“信任信任”所有访问都必须得到策略批准Trust is an emotion that cant be applied cant be applied to digital systems.信任是一种不适用于数字世界的情感1010|2019,P

5、alo Alto Networks.All Rights Reserved.|2019,Palo Alto Networks.All Rights Reserved.零信任设计概念零信任设计概念专注于业务产出/零信任与业务风险对应/赋能业务从内向外的架构设计思路定义谁需要访问什么Data-数据Assets-资产Application-应用Service-服务检查和记录所有流量持续策略调整和监控NIST SP 800-207 NIST SP 800-207 零信任架构零信任架构 -ZTA-ZTA1212|2019,Palo Alto Networks.All Rights Reserved.|2

6、019,Palo Alto Networks.All Rights Reserved.ZERO TRUST ARCHITECTUREhttps:/nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdfNIST NIST NCCoENCCoE ZTA ZTA实践项目说明实践项目说明/建议建议13|2019,Palo Alto Networks.All Rights Reserved.https:/www.nccoe.nist.gov/sites/default/files/library/project-descript