企业简称:宁盾
成立时间:2009-04-09
该方案放弃边界防护思路,采用基于无边界的“零信任”机制解决终端问题,在执行层面,通过全程“可视化”替代传统基于Agent方式来实现终端信息收集问题,通过打造开放性与第三方联动,承担泛终端安全管理连接器及感知中台。
案例介绍:安全挑战:
在以往,电力的端点可以说是家家户户的电表,运维靠的是基层员工走街串巷,查电表、修线路、抓偷电。电力物联网的出现让老一辈抄表员不再跑断腿。随着新能源汽车的兴起,时代要求电力系统做新能源汽车的“加油站”,即充电站。在电网概念中,充电站仍然以电表为端点。但在物联网概念中,充电站是一个子网,这个子网中至少有智能电表、充电桩、摄像头。传统的端点从一个电表变成了几十上百个IoT设备。要保障这一物联网的健康运行,势必要解决合法设备便捷接入网络,防止入侵及IoT设备风险评估等问题,以保护物联网的安全。因此,终端准入与访问控制对于电力物联网而言十分必要。
用户痛点:
1、如何让合法设备便捷地接入网络
新的IoT管理必须为业务高速发展提供支撑。传统准入方法是在IoT设备上配置802.1x认证,或者配置MAC地址白名单。问题在于,一是多数新型哑终端无法支持802.1x认证,抬高了设备门槛,让采购丧失灵活性;二是传统方法基于静态信息,新业务的快速开展一定存在大量的设备增加和变更,甚至设备品牌的变化,基于静态信息的准入让运维效率变得低下。
2、如何探测植入或入侵
电力物联网是一个TCP/IP网,基于防火墙做了网络边界防护。充电站有许多IoT设备暴露在建筑物外部,比如充电桩和摄像头,这些设备在网络边界内部却在物理边界外部,不法人员很容易通过室外的物理端口接入,对网络边界内部发起攻击。
3、如何动态评估IoT设备风险,做到有备无患
IoT设备的一大特点是固件不易升级,安装运维特点是默认密码不修改,为长期运维留下隐患。随着时间的推移,不断会有设备爆出漏洞。对IoT设备进行风险评估是一个比较新的领域,除了对单一设备动态评估,还需要对网络区域安全风险做整体评估、排名,对高风险设备做告警,甚至隔离网络。
解决方案:
解决上述问题,首先要做到“看得到”,从而实现“管得了”。
首先,要探测到网络中所有终端,形成整体视图,能够识别出“合法设备”和“非法设备”。这需要探测终端的设备类型、MAC地址、地理位置等,并且与本地资产库或者联动外部资产库匹配终端,能够匹配的为合法终端,匹配不成功的标记为非法终端。
其次,持续检测终端指纹,一旦终端指纹变化,意味着其MAC地址可能被伪造,需要标记为安全事件,并自动联动网络设备限制其接入。
除此以外,需要联动第三方IoT漏洞检测系统,收集和统计终端威胁,形成风险评估列表,让风险设备也能被看到。
宁盾解决方案中完整的系统组成包括宁盾探针、宁盾IoT中控、IoT漏洞探测(可选)、客户自运维的大数据分析平台(可选):
● 宁盾探针:充当网络“摄像头”和策略执行器,通过流量镜像发现、探测终端信息。探针在IoT设备流量比较小时单台容量很大,每个地市部署1至2台即可;
● 宁盾IoT中控:它是泛终端资产及风险管理中心,它提供集中资产视图(联动)、集中终端视图以及终端风险视图;
● IoT漏洞探测系统:在宁盾探针发现终端设备后,对其定期扫描,丰富终端风险视图,使宁盾系统可根据风险评级自动告警或者限制网络接入;
● 大数据分析平台:客户自有平台,宁盾有可将终端设备的各种信息和动态发送给第三方。
资产定义或联动:
终端集中可视化:
终端风险视图(联动OpenVAS效果):
方案特点
该方案放弃边界防护思路,采用基于无边界的“零信任”机制解决终端问题,在执行层面,通过全程“可视化”替代传统基于Agent方式来实现终端信息收集问题,通过打造开放性与第三方联动,承担泛终端安全管理连接器及感知中台。
创新点如下:
技术优势
用户反馈
“宁盾终端准入产品帮助提升IT基础设施的可视化,有效识别入网终端身份信息及安全情况,阻隔非法终端接入,并自动对异常终端进行隔离,自助修复,保障了企业内网资源安全。”
——来自某人工智能公司
“对于接入网络的终端,宁盾提供完善的终端准入安全审查防护功能,能够有效的对入网终端进行合规性检查。通过客户端/无客户端的模式,简化了用户准入流程,提高了用户产品体验。兼容现有网络架构,无需进行网络改动,支持与第三方平台进行联动,加强企业内部网络安全。方便、经济、高效。”
——来自某芯片半导体公司
“宁盾终端准入解决方案提升企业对终端管控的可视化能力,包括发现连接到企业内部PC、手机、物联网设备、网络设备等,以及受信及非受信终端,并进行灵活的入网安全控制。高效便捷及生态联动能力,实现企业网络环境整体防护。”
——来自某物联网科技公司
“分布式部署模式能够灵活适应企业组织架构,实现企业对终端准入的集中管控要求。通过对终端入网进行安全检查,有效防止不合规终端或不符合安全要求的终端入网,让不安全变得可见。例如,防病毒软件未及时更新、操作系统补丁未及时更新、安全不合规软件等行为。切实提高了企业内网的安全基线。”
——来自某大型金融企业
企业介绍:
宁盾作为企业身份管理提供商,致力于云和移动时代企业身份安全基础设施,提供“多因子认证”、“泛终端准入”、“云身份认证”、“国产化身份目录服务”等一站式身份安全解决方案。目前已服务互联网科技、高端制造、金融等全行业超2000家企业客户。