網絡邊界:護城河防不住空襲
唯邊界網絡防御,無法抵御今日威脅。
涉及網絡安全,內部與外部之間已不存在界限,可防御的邊界這種概念已經過時。
邊界地位曾經尊崇如王:保住邊界,你的資產就守住了。建立防火墻,用深度包檢測(DPI)加固之,設置入侵預防和檢測系統,然后你就可放松了。雖然邊界安全依然需要,層次化的防御也是應對新攻擊方法的必須。
世界上最堅固的邊界,已經被云服務、內部人威脅和BYOD這種模糊了業務與個人生活的方式所滲透。邊界提供的安全感,等同于對不再適應需求的防御系統那危險的過度自信;就好像依賴護城河來防御空襲一樣。
了解自身阿喀琉斯之踵
今日的互聯世界,漏洞是多維度的,意味著你的防御系統也必須是多維度的。對某一領域的過度投資,會導致其他方面的投入不足。
各種云服務讓邊界難以定義,更別說保護它的安全了。如果數據被存儲在云端,你真的知道邊界在哪兒嗎?你的托管提供商到底把數據放在哪里呢?他們對數據設置了什么安全控制措施呢?
然后,內部人員威脅問題,無論是無意內部人還是惡意內部人。從定義上,此類威脅就已經突破了邊界,所以邊界強度也就無關緊要了。內部人可以訪問公司網絡:即便只是低級權限或來賓權限,他們都已身處公司網絡之中。
BYOD,無論是偷偷帶進來的還是本來就有此策略,都往工作場所里引入了大量的潛在滲入者。帶進公司并隨意連接公司數據的個人設備,為攻擊者提供了便利的滲入滲出路徑。
配置邊界設備,比如防火墻、VPN和訪問控制列表(ACL),可能確實是挫敗某些攻擊所需,但不應只關注這些領域。
誰都不信任
按需知密,是最古老最基本的安全原則。網絡空間里,人們需要類似的原則,來將網絡訪問權限制在完成工作所需的最小權限。
通過對所有嘗試訪問網絡或網絡資源的終端要求身份驗證,并在使用后關閉會話以防止非授權訪問,最少權限原則(POLP)可提升企業內部安全性。
在選擇VPN提供商和云托管商之類的服務時,盡職調查是十分關鍵的。你會想要盡一切可能確保在邊界外托管的數據是受到保護的,無論是在傳輸中還是靜靜存儲其上時。
對員工進行背景核查,是另一個有價值的防御措施——當敵人很可能已經潛入的時候。
5個問題考驗防御系統的強度
圍著企業豎起一道堅固的圍墻或許不太可能,但你可以拷問已有防御系統的強度:
- 評估用于云服務的策略以確保盡可能安全;
- 弄清自身數據的確切物理存儲地和所應用的安全控制措施;
- 定義企業內數據訪問等級,以及對特定數據類型的訪問級別;
- 評估對BYOD的態度,確保雇員都接受過網絡安全培訓;
- 確保理解企業內使用了哪些影子IT服務。
