拆解資料中心安全的重要性與如何應對不斷湧現的威脅
隨著威脅環境的快速演變,新的未知威脅層出不窮。傳統安全解決方案因無法應對這些變化而顯得捉襟見肘。2021 年微軟 Exchange 伺服器遭受攻擊的事件便是最佳例證,說明了為何僅靠傳統端點保護已不足以應對當前的威脅環境。保護像 Exchange 這類關鍵基礎設施免受零日攻擊和未知威脅,變得比以往更為重要。
微軟 Exchange 伺服器的脆弱點
根據微軟威脅情報中心(MSTIC)的調查,2021 年的 Exchange 伺服器攻擊是由HAFNIUM發起,該組織被認為是來自中國的國家支持黑客。根據 Palo Alto Networks 的數據,2021 年 3 月有超過 12.5 萬台 Exchange 伺服器未安裝補丁。這些漏洞在補丁發布前已被利用了兩個月,即使在補丁發布後,這些伺服器也可能已被攻擊者滲透。
隨著零日漏洞成為眾多攻擊者的主要目標,企業該如何有效保護環境免受未來的威脅?
答案在於資料中心安全 Data Center Security, DCS。
資料中心安全 (DCS) 如何運作?
資料中心安全旨在通過強化(hardening)伺服器來抵禦惡意軟體和網路入侵,並減少攻擊面,使攻擊者更難以利用漏洞。強化過程能為傳統安全解決方案所缺乏的操作情境提供支持,從而更精確地判斷哪些行為是允許的。
可以將強化比喻為一座中世紀城堡的防禦系統:入侵者在進入城堡前,需要突破吊橋、守衛、層層屏障,即使擁有正確的“鑰匙”(例如密碼),也必須經過多重防護。
最低權限存取控制 (LPAC)
許多企業內部使用者擁有過多權限,導致潛在風險。透過最低權限存取控制(LPAC),DCS 能有效限制不必要的權限,並監控可疑活動,包括:
進程如何創建
執行哪些指令
哪些使用者負責操作
DCS 使用戶可以自由修改整個組織中所應用的策略。使用者可以在沙盒環境中測試哪些策略適合他們。
DCS 的關鍵強化政策示例:
禁止安裝未授權軟體/執行檔
阻止修改自啟動位置
防止篡改關鍵系統配置檔案
禁止未授權工具(如 cmd.exe、powershell.exe)啟動,除非有例外許可
進一步的保護層級還包括:
應用層級的網路防火牆:控制 IP/埠
進程存取控制:限制高權限進程的啟動
檔案與註冊表存取控制:確保僅信任的進程能進行修改
Symantec Data Center Security 如何保護您的資料中心?
對於絕大多數 Microsoft Exchange 使用者來說,傳統端點解決方案對於特定伺服器的漏洞通常過於籠統且無效。但賽門鐵克針對 DCS 的解決方案,即 賽門鐵克資料中心安全(DCS),提供了一種有針對性的替代方案,可以保護和強化實體和虛擬伺服器,使其免受惡意軟體和網路威脅的侵害。
與傳統的安全解決方案不同,Symantec DCS 利用強化來減少攻擊面,因此即使攻擊者設法繞過初始安全層,他們也會遇到保護系統的附加策略。 DCS 進一步將強化擴展到單純的存取控制之外,結合持續監控、應用程式控制和系統鎖定來防禦已知和未知的威脅。
借助 Symantec DCS,管理員可以為 Microsoft Exchange 伺服器提供零日保護,從而在應用修補程式甚至修補程式可用之前防範未來的威脅。為了在無需持續更新的情況下防範這些未知威脅,DCS 使用了競爭優勢,包括:
全面加固和監控
異質作業系統支援
Exotic/EOL 作業系統支援(AIX、Solaris HP-UX、Win2003)
全面的 Linux 安全堆疊
自訂應用程式強化和監控
事件警報和豐富的事件數據生成
賽門鐵克資料中心安全有哪些優勢?
Symantec DCS 可實現可擴展、應用程式層級、始終在線的威脅防護和強化,以簡化跨資料中心(包括 AWS 和 OpenStack 雲端)的安全監控。與傳統安全產品不同,賽門鐵克的DCS解決方案無需內容更新,安全策略制定後也不收取額外費用。借助賽門鐵克,組織可以「一勞永逸」地保護自己,並將時間和資源分配給更具策略性的任務。
賽門鐵克保護 Exchange 使用者免受哪些侵害?
Symantec DCS 擁有針對備受矚目的 Exchange 漏洞的強大防護歷史,以及針對 mimikatz 等流行攻擊工具的開箱即用防護。與一般安全解決方案相比,其強化方面為使用者提供了獨特的優勢。預設的 Symantec Windows 強化策略包括可立即防止多種攻擊技術的保護措施,例如:
Exchange 目錄中未經授權的檔案部署
惡意工具的下載
試圖竊取憑證
來自伺服器的未經授權的互聯網連接
可以啟用其他 DCS 控制以實現更具體的保護,例如:
阻止可疑程式執行
防止未經授權的文件修改
僅將網路連線限制為受信任的使用者、進程、IP 和連接埠
Comments