基于 RSoP 的风险暴露指标
Tenable Identity Exposure 使用一组基于 RSoP(策略结果集)的风险暴露指标 (IoE) 评估并确保各个方面的安全性与合规性。此部分深入剖析了特定 RSoP IoE 当前的行为,以及 Tenable Identity Exposure 如何解决与其计算相关的性能问题。
以下依赖于 RSoP 的 IoE 在 Tenable Identity Exposure 的安全框架中发挥作用:
-
特权用户登录限制
-
存在风险的敏感特权
-
对用户应用弱密码策略
-
针对勒索软件的加固不足
-
不安全的 Netlogon 协议配置
这些 IoE 依赖于在需要时初始化的 RSoP 计算结果缓存,以计算应请求而添加的值,而不依赖于预先存在的值。以前,AdObjects 的更改会触发缓存失效,导致在 IoE 的 RSoP 执行期间频繁进行重新计算。
现在,Tenable Identity Exposure 解决了与 RSoP 计算相关的性能影响,具体如下所示:
-
对可能过时的数据进行实时 IoE 分析:即使用于处理的数据可能并非最新数据,依赖于 RSoP 的 IoE 在其发生时仍会实时进行计算(输入/输出事件)。可能会使 RSoP 缓存失效的缓冲事件会保持存储状态,直到事件满足提示预期计算的特定条件。
-
计划的 RSoP 失效:当满足重新计算的条件时,系统会考虑到缓冲事件而在无效化过程中使 RSoP 缓存失效。
-
使用最新缓存重新执行 IoE:缓存失效后,IoE 使用从缓存获取的 AdObject 最新版本,并结合缓冲事件进行重新执行。Tenable Identity Exposure 单独计算每个缓冲事件的每个 IoE。
出于这些原因,依赖于 RSoP 结果的 IoE 优化计算时长会导致与 RSoP 相关的异常行为计算变慢。
增强功能
Tenable Identity Exposure 对处理 RSoP 任务的风险暴露指标进行了更改,以提高总体性能和响应速度。
-
更智能的安全检查:重新设计我们执行某些安全检查(被称为 RSoP 检查)的方式,以降低系统延迟。
-
自适应调整:系统将根据当前工作负载,自动选择运行这些检查的最佳时间。
-
过载保护:我们已部署新的措施,以防忙碌期间发生系统过载。
-
GPO 文件安全分析:现在,系统每 30 分钟处理一次分析 GPO 文件安全性的风险暴露指标,而不是像其他 IoE 一样进行实时处理。
优点
-
更快的响应时间:优化安全检查流程,提高系统响应速度,尤其是高峰使用时间。
-
更高的可靠性:新的自适应调整功能有助于确保重要的安全检查不会干扰您的工作。
-
更流畅的体验:由于得到更好的过载保护,即使在高负荷下,系统的性能也十分稳定。
-
更高的平台稳定性:这些变更将特别有利于 AD 活动频率较高的客户端,可确保稳定的性能。
技术方面
-
RSoP 检查和 GPO 文件安全分析会定期而非实时运行。
-
平台每 30 分钟便会评估一次工作负载。如果确定可以处理分析,平台则会继续,否则便会等到负载减少。
-
实施算法以检测系统过载,并将消息队列长度和处理趋势等因素纳入考虑范围。
-
过载期间,非关键检查会被延迟,以保持系统响应能力。