軟件定義邊界 （SDP） 如何緩解常見安全威脅

-5-軟件定義邊界（SDP）如何緩解常見安全威脅DNS劫持是接入公共WiFi網(wǎng)絡(luò)工作的又一危害。黑客可介入DNS解析，將用戶導(dǎo)引至惡意站點(diǎn)而非其意圖訪問的合法網(wǎng)站。使用惡意軟件或未授權(quán)修改服務(wù)器均可達(dá)成此目的。名為軟件定義邊界(SDP)的遠(yuǎn)程訪問新范式采納零信任方法，以基于身份的細(xì)粒度訪問代替廣泛的網(wǎng)絡(luò)接入，供應(yīng)重要IT資源訪問。

僅僅幾年之前，大多數(shù)工作還是在辦公室里完成的。但如今，大量工作都開頭間續(xù)通過遠(yuǎn)程執(zhí)行至少遠(yuǎn)程工作時(shí)間占比很高。員工可在機(jī)場(chǎng)、咖啡館、酒店和火車上接入工作網(wǎng)絡(luò)。相當(dāng)多的工，比如雇員或承包商，絕大部分時(shí)間都是在家或在WeWork這樣的共享辦公空間遠(yuǎn)程工作。

這一轉(zhuǎn)變對(duì)旨在愛護(hù)邊界的企業(yè)平安造成了重大影響。企業(yè)虛擬專用網(wǎng)(VPN)是供應(yīng)平安遠(yuǎn)程訪問最常見的解決方案，不僅給予遠(yuǎn)程工企業(yè)網(wǎng)絡(luò)接入，還可使他們能夠訪問該網(wǎng)絡(luò)上的應(yīng)用和數(shù)據(jù)。但這種局域網(wǎng)(LAN)上用戶自然?"可信'的過時(shí)認(rèn)知，給攻擊者留出了寬闊的攻擊空間。

幸運(yùn)的是，名為軟件定義邊界(SDP)的遠(yuǎn)程訪問新范式采納零信任方法，以基于身份的細(xì)粒度訪問代替廣泛的網(wǎng)絡(luò)接入，供應(yīng)重要IT資源訪問。SDP愛護(hù)企業(yè)免受多種威逼及黑客技術(shù)侵害，防止罪犯勝利攻破企業(yè)網(wǎng)絡(luò)。

本文中，擔(dān)當(dāng)過MetaNetworks首席執(zhí)行官，目前任職Proofpoint零信任產(chǎn)品副總裁的EtayBogner將為我們點(diǎn)出企業(yè)VPN無法抵擋的八種常見平安威逼，揭示SDP在直面此類威逼時(shí)的有效性。

威逼1：中間人

攻擊者將自身置于用戶與應(yīng)用的會(huì)話中間，竊聽或偽裝其中一方，使信息溝通看起來仍像正常進(jìn)行一樣，這樣的攻擊就叫做中間人攻擊(MITM)。SDP和VPN解決方案都能通過加密隧道供應(yīng)針對(duì)MITM攻擊的防護(hù)。但SDP部署全面，始終在線，可全程愛護(hù)Web流量，供應(yīng)企業(yè)網(wǎng)絡(luò)平安訪問。而許多傳統(tǒng)VPN解決方案為節(jié)約開支和降低延遲，采納單獨(dú)的隧道直接發(fā)送Web流量，將終端置于風(fēng)險(xiǎn)之中。SDP卻通過愛護(hù)開放終端解決了這個(gè)問題。

威逼2：DNS劫持

DNS劫持是接入公共WiFi網(wǎng)絡(luò)工作的又一危害。黑客可介入DNS解析，將用戶導(dǎo)引至惡意站點(diǎn)而非其意圖訪問的合法網(wǎng)站。使用惡意軟件或未授權(quán)修改服務(wù)器均可達(dá)成此目的。黑客一旦掌握了DNS，就能將通過此DNS上網(wǎng)的其他人引至假冒網(wǎng)站布局相像，卻包含額外的內(nèi)容，比如廣告等。也可以將用戶導(dǎo)引至包含惡意軟件或第三方搜尋引擎的頁面。而始終在線的SDP解決方案依托網(wǎng)絡(luò)即服務(wù)架構(gòu)，使用策展式平安DNS服務(wù)執(zhí)行解析，抵擋DNS劫持攻擊。

威逼3：SSL剝離

SSL剝離屬于MITM攻擊的一種，將終端與服務(wù)器間的通信降級(jí)至非加密形式以便能夠讀取其內(nèi)容。防止SSL剝離的一種方式是安裝HTTPSEverywhere掃瞄器擴(kuò)展，強(qiáng)制各處均采納HTTPS通信，阻擋不請(qǐng)自來的攻擊者將通信降級(jí)為HTTP。SDP也能阻擋此類威逼，通過以加密隧道發(fā)送全部流量加以緩解。

威逼4：DDoS

分布式拒絕服務(wù)(DDoS)攻擊中，應(yīng)用因遭受流量洪水過載而無法響應(yīng)正常懇求。由于是分布式的，此類攻擊特別難以阻擋。拒絕服務(wù)攻擊的特征就是攻擊者明顯要堵塞服務(wù)的合法使用。

拒絕服務(wù)(DoS)攻擊主要有兩種形式：搞崩潰服務(wù)的，以及沉沒服務(wù)的。最嚴(yán)峻的攻擊就是分布式的。由于愛護(hù)的是應(yīng)用而非終端用戶設(shè)備，SDP解決方案對(duì)兩種DDoS攻擊都有效。SDP模型中，應(yīng)用（以及托管這些應(yīng)用的基礎(chǔ)設(shè)施）并不直接接入互聯(lián)網(wǎng)。SDP解決方案作為網(wǎng)關(guān)攔阻一切未授權(quán)訪問。

威逼5：端口掃描

黑客運(yùn)用端口掃描定位網(wǎng)絡(luò)上可利用來攻擊的開放端口。平安管理員必需留意與端口掃描相關(guān)的兩大主要關(guān)注點(diǎn)。首先，與開放端口及其服務(wù)供應(yīng)程序相關(guān)的平安及穩(wěn)定性問題。其次，與通過開放或關(guān)閉端口運(yùn)行于主機(jī)上的操作系統(tǒng)相關(guān)的平安及穩(wěn)定性問題。由于SDP解決方案將全部網(wǎng)絡(luò)資源與互聯(lián)網(wǎng)隔離，黑客無法利用此技術(shù)找出進(jìn)入的途徑。

威逼6：可蠕蟲化漏洞利用

就像近期頻登媒體頭條的BlueKeep，蠕蟲就是可以從一臺(tái)機(jī)器爬到另一臺(tái)機(jī)器的漏洞利用。有什么可大驚小怪的？由于用戶只要進(jìn)入網(wǎng)絡(luò)就會(huì)被感染無論可信網(wǎng)絡(luò)還是非受信網(wǎng)絡(luò)。換句話說，殺毒軟件和EDR等常規(guī)終端平安平臺(tái)阻擋不了此類漏洞利用，用戶平安意識(shí)培訓(xùn)也無甚關(guān)心。由于無需用戶操作，僅需用戶的筆記本電腦或手機(jī)接入網(wǎng)絡(luò)的同時(shí)有臺(tái)被感染設(shè)備也接入了同個(gè)網(wǎng)絡(luò)即可。由于網(wǎng)絡(luò)上利用了蠕蟲，大多數(shù)狀況下，企業(yè)防火墻或VPN無法緩解BlueKeep類漏洞利用。零信任SDP為用戶供應(yīng)獨(dú)特的固定身份和微隔離訪問，僅供訪問所需的資源，如此一來，被感染設(shè)備對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生的影響就特別有限了。

威逼7：暴力破解攻擊

與DDoS類似，暴力破解攻擊也是黑客通過反復(fù)登錄嘗試，獵取網(wǎng)絡(luò)或應(yīng)用訪問權(quán)的方式之一。SDP解決方案可馬上檢測(cè)到失敗的登錄嘗試，同時(shí)留意到可疑地理位置或登錄時(shí)段、設(shè)備狀態(tài)轉(zhuǎn)變和終端殺毒軟件缺失或被禁用的狀況，從而拒絕訪問。

威逼8：遺留應(yīng)用

許多遺留應(yīng)用設(shè)計(jì)時(shí)沒考慮過從互聯(lián)網(wǎng)訪問的狀況，缺乏現(xiàn)代軟件即服務(wù)(SaaS)應(yīng)用默認(rèn)的基本平安措施。通過SDP解決方案限制對(duì)遺留應(yīng)用的訪問可以將這些應(yīng)用與企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離，增加適應(yīng)