DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防IP_ddos清洗服务_方法

06-08 DDOS防御

高防IP_ddos清洗服务_方法

2020年1月,美国国防部发布了备受期待的网络安全成熟度模型认证(CMMC)标准的1.0版。CMMC是一系列合规标准中的最新一个,权威机构可以操作,以及其他技术性的障碍,对于那些想与军方做生意的公司来说,CMMC的目的是保护整个国防部供应链中的受控非机密信息(CUI)。然而,与以往的合规控制和流程不同的是,这一项带有牙齿。自我认证不是一种选择。组织必须通过第三方评估机构(3PAO)进行认证。国防部已经预计,CMMC要求最早将于2020年6月出现在合同中。这使得国防工业基地(DIB)的国防部承包商面临着巨大的压力,尽管3PAO认证程序尚未启动和运行。值得庆幸的是,CMMC并没有包含太多的新材料。在大多数情况下,它将安全控制从美国国家标准与技术研究所(NIST)制定的其他政府网络安全标准中重新得到了应用。即使是NIST SP 800-53、NIST SP 800-171、SANS CIS模型,不同的是,公司必须证明自己是合规的,而不仅仅是说他们是合规的。CMMC还分为五个安全级别,从"基本网络卫生"到"高级/主动预防性"。组织必须根据其产品组合和国防部合同的要求,选择他们想要认证的级别。如果当前的实践有任何迹象,国防部机构将几乎完全使用五级。DNS安全是CMMC控制系列中的一个一致主题。虽然为不同级别的认证推荐了不同的策略,但很明显,国防部希望供应商能够完全了解他们的DNS流量以及控制它的能力。下面是DNS安全如何在CMMC控制中发挥作用的简要概述,c防御ddos源码,以及BlueCat如何促进法规遵从性。能力039–系统边界控制通信这是DNS在CMMC遵从性中扮演最明显角色的功能,尤其是在这个控制家族的更高层。第一级(SC.1.175)设定了一个雄心勃勃的基线,要求组织"在信息系统的外部边界和关键内部边界处监控、控制和保护组织通信。"有许多不同的方法来实现这种可视性级别,但是基于DNS的安全解决方案可能是最优雅的解决方案(而且是一种预期更高的CMMC安全级别要求的解决方案)。由于网络上几乎每个设备和应用程序都依赖于DNS进行通信,使用这个公分母来实现可见性和控制是有意义的。通过在任何DNS查询中充当"第一跳"的服务点的使用,BlueCat提供了独特的能力,不仅可以监视和控制外部、"南北"流量,还可以监视和控制内部流量,cdn高防服务器区别,"东西向"流量。这种在网络上的任何地方和任何地方设置DNS控制的能力尤其符合"关键内部边界"的要求。当通过Cisco Umbrella集成与外部边界上的DNS安全相结合时,BlueCat提供了更全面的覆盖以满足此控制。第三级(SC.3.192)为控制网络通信的总体要求增加了一个特定的层次,并与DNS有特定的链接。国防部将此描述为"实施DNS过滤服务"以减少攻击面,但过滤器的选择由各个组织决定。换句话说,组织可以获取外部威胁源并将其应用于DNS流量,或者创建自己的威胁源。任何一种方法都将导致符合此控制。BlueCat的DNS安全解决方案允许任何一种过滤DNS查询的方法。BlueCat提供外部威胁源来过滤已知的坏域,但也允许创建自定义的安全策略。由于它们可以应用于内部和外部流量,这些策略覆盖了整个网络,不仅仅是到达网络边界的请求,大约60%的网络流量是内部的,所以两者之间的差异非常关键。第四级(SC.4.199和SC.4.229)对DNS过滤的要求又向前推进了一步。当第三级控制在如何应用安全策略方面提供了一些灵活性时,第四级明确要求使用威胁情报来定义已知的坏域。威胁情报可以来自行业、政府或其他来源,但假设是,它经过审查和管理,以解决当前的威胁向量。这些控制是CMMC独有的,怎么关闭cc防御,这是国防部供应商的新要求。BlueCat以两种方式解决了这一要求。我们的"标准"威胁源由一家知名提供商提供,该提供商的已知坏域数据库既高度特定,又经过充分研究,从广泛的来源中提取。此外,BlueCat和Cisco Umbrella之间的集成提供了对Cisco大型bad数据库的访问这些域是从世界上最大的网络基础设施提供商的实时数据中提取出来的。单独来看,这些都是同类最佳的威胁源。它们共同代表了一个无与伦比的作战情报来源来实现这种控制。第五级(SC.5.208)也是CMMC独有的,它超越了商业威胁馈送,将DNS安全原则应用于特定的网络体系结构,这种体系结构可能是组织所独有的。在前四级的基础上,这种控制需要实施或"组织定义和定制"保护。我们在BlueCat使用的例子是一次性使用的物联网设备,比如安全摄像头。它整天只向一个服务器发送数据,这是它唯一应该做的事情。如果这个安全摄像头突然向任何其他域发送DNS查询,它显然被感染了。它应该立即关闭。标准的威胁源可能会阻止安全摄像头尝试访问的域,局域网内ddos防御,但这还远不能确定。如果域是新创建的,则它可能还不会出现在威胁源中。在这些情况下,您的DNS安全系统必须能够阻止流量,不仅基于查询的域,而且基于设备类型、应用程序、用户或网络区域。BlueCat作为任何网络查询的"第一跳"的独特地位使得这种安全控制可以在不需要设备代理的情况下实施。凭借基于定义的策略对设备进行分组的能力,BlueCat使得定制的、有针对性的安全控制的创建变得简单,从而在整个企业中实现。能力037–实施威胁监控该控制的第四级(SA.4.173和SA.4.171)要求实施一个威胁搜寻系统,该系统允许安全人员快速识别和破坏异常活动。然后寻找一个系统,在整个组织内利用、整合和共享妥协指标。不幸的是,对于猎人来说,作为一个重要的数据源和威胁级别的关键性数据源,猎人们可以用这些数据来解释这些威胁,许多组织不收集全面的DNS日志,因为他们的DNS体系结构是分散的,并且几乎不可能进行大规模监控。BlueCat为DNS数据提供了一个单一的真实来源,自动收集和传播整个企业的核心基础设施信息,怎么选择ddos防御大小,BlueCat的政府客户已将响应时间从一周多缩短到几个小时或更少,他们还可以使用BlueCat对DNS流量路径的控制,在整个企业范围内简单、轻松地应用安全策略。在我们的DNS防火墙选择指南中了解有关使用DNS保护您的网络的更多信息。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/69434.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9191631访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X