網絡分段是企業勢在必行的安全措施
網絡分段(Network segmentation)是為了應對網絡流量的增大而導致的用戶響應緩慢以及數據流堵塞,而將大型網絡劃分為眾多小網絡的行為,是淘汰過時的安全方法的最佳途徑。
采用“城堡周圍的護城河”式的防御是處理計算機網絡安全的可靠方法,可以防止網絡攻擊者的出現。“扁平化”網絡致力于為網絡上的所有設備提供可靠快速的連接,而安全工作則著眼于隔離外部網絡與內部網絡。
然而,這種傳統的方法已經不再適用于保護現代企業復雜的互聯數字化網絡,或者難以應對網絡攻擊者不斷發展的技巧,這導致了WannaCry勒索軟件攻擊等違規行為。企業的數據不斷地在進出網絡。然而,當這些數據通過企業的工作人員在將IT服務遷移到云端時,企業內部網絡和外部網絡之間就存在一條模糊的界限。
咨詢調研機構畢馬威公司的CIO咨詢經理Fredrik Lindstrom表示,相反,企業將網絡分段或將網絡分割成子網絡是淘汰陳舊過時的安全方法的一種最佳途徑。不幸的是,它也是企業網絡安全計劃中最被忽視的部分之一,因為大多數組織認為網絡分割過于復雜和繁瑣。根據Avaya公司委托進行的研究,雖然幾乎所有的IT專業人員都認為網絡分段是一項重要的安全措施,但實際上只有不到四分之一的企業實施了這項措施。
Lindstrom解釋說:“很多公司不知道從哪里開始,如何做,以及應該包含哪些組件。”他補充說,試圖實施網絡分段的組織經常遭遇失敗,因為這是一個如此巨大的任務。
對于那些做得對的組織來說,實施網絡分段是非常值得的。其威力在于它能夠直接處理當今威脅環境的現實,既然無法防止網絡違規事件發生,但是可以將其隔離開來,這樣病毒只能傳播到幾個點,而不是成千上萬的都被感染。
根據畢馬威公司的一篇新論文“現代企業中提高安全性的10個部分框架:網絡分割勢在必行”指出,正確的網絡分段為防止惡意軟件和行為者在網絡上橫向移動的控制奠定了基礎,防止潛在的感染或危及網絡傳播。網絡分段還允許在整個網絡中增加控制點,從而顯著提高對網絡流量的可視性和控制。
網絡分段入門的框架
畢馬威會計師事務報告中的網絡分段框架包含10個組成部分,其中包括制定指導性戰略文件,創建分段和控制點的網絡架構,通過IT資產管理定義需求,實施核心安全控制,并創建一個全面的數據分類程序。
Lindstrom說,在如此大量的工作,最重要的組織優先事項是通過變更管理來處理涉及的人員的關系,并設定程序的基本部分,如資產管理和數據分類。Lindstrom說:“一旦組織擁有了基礎設施,那么就可以擁有從安全到網絡到數據中心的覆蓋范圍,所有這些傳統的IT團隊的工作。”他補充說,通過從小事做起,而不是試圖在這樣一個大型項目中做得面面俱到,組織可以實現最后的覆蓋,而最成熟的組織可以實施網絡分段,而這是一種基于行為的保護措施。
畢馬威會計師事務所的文章詳細介紹了一家高科技制造企業的案例,這家高科技制造企業由于有機增長和收購而整合了網絡基礎設施。它沒有提供必要的網絡細分來保護重大的研發投資。這家公司對差距進行評估并設定目標,將網絡分段策略分解為更小的項目。該公司解決了其全球網絡中的網絡安全缺陷問題,提高了安全性、自動化、運營效率,以滿足該公司目前的需求。
網絡分段實施面臨的最大挑戰
Lindstrom說,企業的人員和內部斗爭往往是實施網絡分段的最大障礙。該項目必須涉及從人力資源和法律、IT資產管理、安全網絡,以及最終用戶計算等各個方面。他說:“所有這些孤島必須協同工作才能正確實施這個框架。這是企業如何處理網絡的一個變化。”
他補充說,讓組織了解網絡細分工作的最重要方法是制定如何取得成功,以及如何改變用戶的行為。也就是說,當組織將網絡分割與資產管理集成相結合時,如何恰當地涉及人力資源和法律,以及如何進行工作。
另外,大多數組織都犯了過分依賴供應商的錯誤,在談到網絡分段的過程中,他們可能不會提供什么客觀的建議。Lindstrom說:“供應商會說他們正在為組織做最好的事情,但是他們傾向于提供產品和服務,而不是為了讓這個組織的業務成功。”
提供巨大成果的長期努力
網絡分割限制了網絡違約事件的損害,可以說是一種抵御最新的復雜安全威脅的最佳防御手段。但對于大多數公司來說,即使是違規的可能性也不足以讓他們開始實施。而采用網絡細分往往是由一個重大的違規事件引發的,這個事件激發了這些組織為此必須采取行動。
但現在是企業考慮實施網絡分割的時候了。這是一項長期的努力,可能需要三個月到三年的時間。 Lindstrom說:“企業可以開始進行網絡細分,但是如果沒有其他組件,比如成熟的數據分類程序和IT資產管理,就不會順利實施。 ”
他補充說,這完全是為了打破孤島效應。Lindstrom說:“企業開始關注網絡細分和隔離組件是至關重要的。即使只專注于數據中心,無論是在內部部署數據中心還是在云端,這都是朝著正確方向邁出的一大步。”
