深信服零信任上網沙箱方案
這道“沙箱防線”是如何守護用戶終端安全的? 沙箱內外網絡隔離:攻擊者無法觸及本地網絡
通過在終端創建與本地環境隔離的 “安全上網空間”:本地桌面與上網空間網絡是邏輯隔離的,上網空間無法訪問本地網絡。該空間內運行的軟件(應用)還具備SSL加密通信、落地文件加密、網絡隔離、剪切板控制、外設管控、程序管控、文件外發管控、屏幕水印等全方位數據保護功能。
即便對抗類安全產品被繞過,上網沙箱也能切斷攻擊通路,讓攻擊者無法觸及核心網絡—— 這就是“最后一道防線” 的核心價值。
上網沙箱用戶使用界面
底層邏輯:從根源切斷C2與木馬的致命連接
用戶所有互聯網訪問操作均被嚴格限制在沙箱內,并配合進程白名單(僅允許運行主流合規軟件)。這從根本上切斷了“連接C2”與“運行木馬”的致命連接:
能連C2,無法運行木馬:沙箱內應用雖可聯網(可能連上C2),但受白名單限制,遠控木馬無法在沙箱內執行。
能運行木馬,無法連C2:個人桌面默認不允許訪問互聯網,即使惡意程序僥幸在本地桌面運行,也會因網絡隔離無法連接C2服務器。
從根源切斷C2與木馬的致命連接
兼顧成本與體驗:低成本、好管理、易操作
與傳統雙終端、雙BYOD/CYOD(雙桌面)方案相比,深信服零信任上網沙箱方案有幾個顯著優勢:
低成本,易部署:直接利用用戶終端現有的硬件資源,業務數據隔離加密存儲于本地,用戶側部署僅需安裝客戶端軟件,無需額外操作系統,開箱即用。
管理便捷高效:安全團隊可以預設不同的網絡環境,每個網絡環境可以基于應用、目標地址、人員組織等靈活設置網絡訪問權限,員工在終端可以一鍵切換網絡環境,滿足不同的辦公訴求,提升辦公效率。
用戶體驗感好:在員工使用終端的過程中,可以通過本地空間的進程白名單能力不改變其原有業務操作習慣,或者在訪問互聯網時,通過鏈接或程序自適應提示即可自動拉起上網空間,操作簡單,讓“小白用戶也能輕松使用”。
“通過沙箱預設終端網絡環境的功能是個很大的亮點,很實用。我們根據公司實際需求設置了多種網絡環境模式,并根據使用需求分配給不同的用戶和終端,用戶可以在這些網絡環境中隨時靈活切換。目前使用體驗比之前好很多,功能性和便捷性都十分契合我們的需求。” 該安全負責人表示。
金融行業用戶之聲:讓紅隊的186個木馬全部失效了
金融行業歷來是網絡攻擊者的 “必爭之地”,其安全建設標準本就嚴苛,基礎防護體系也是各行業中最為完善的。但隨著協同辦公軟件的普及,以及關鍵人員工作中越來越多的互聯網訪問需求,內網終端開放互聯網權限已成常態,這就導致終端面臨的釣魚、遠控、中毒及數據泄露陡增。
“對金融行業來說,用戶終端不僅存儲著海量的敏感數據,同樣也連接著金融專網,因此對于安全的要求是‘零容錯’的,沒有失敗的機會——一旦被攻破,企業的經營、財產、信譽都可能遭受毀滅性損失。我們要的不是‘大概率安全’,而是近乎100%無死角的萬全之策。在終端安全方面,目前基于木馬、行為檢測和對抗式的方案都滿足不了這個要求,更別說未來還需要考慮再疊加對數據安全的需求。”某金融行業用戶的安全負責人直言。
在近期的實戰攻防演練中,該金融行業用戶正是依靠這一機制,成功遏制多起高級釣魚攻擊 —— 攻擊者雖誘導用戶運行了木馬,但全部因被沙箱隔離從而無法實現遠控。
“我們收集了186個紅隊在攻防演練實戰中使用的遠控木馬,直接在終端上運行后,實測均無法突破上網沙箱的這層防線。” 該安全負責人表示。
對于未來的發展,這位安全負責人給出了積極的期待,也提出了更多要求:
“實際上,沒有任何一種安全產品和方案可以實現100%的防御,上網沙箱的非對抗、原生安全防御理念也并非完美無缺。在改變當前終端安全攻防方式的同時,對產品自身的安全質量也提出了更高的要求。
未來,以上網沙箱為基石,輔以輕量化的EDR、DLP終端安全方案,有望在終端安全的戰場上實現安全和體驗的平衡,打破“被動響應、資源消耗、技術滯后”式的惡性循環,重塑終端安全體系。”
深信服零信任上網沙箱方案,致力于為對安全有極致要求的用戶,構建保護終端安全的“最后一道防線”。通過“本地重辦公+沙箱輕上網” 的新思路,實現辦公空間和上網空間網絡與數據的安全隔離,在提供開箱即用便捷體驗的同時,提供極致的安全保護, 讓用戶在復雜網絡環境中,真正實現 “安全無死角”。
海報生成中...
ITBees科技資訊&itbees.com.cn ©2009-2024 京ICP備18037198號-6 
京
ITBees科技資訊專注新科技新經濟 新商業新經濟生態價值發現平臺