適用于任何公司的網(wǎng)絡(luò)安全架構(gòu)
1.第一等級(jí):基礎(chǔ)級(jí)
圖片
優(yōu)勢(shì)
可防范基本有針對(duì)性的攻擊,使攻擊者難以在網(wǎng)絡(luò)上推進(jìn)。將生產(chǎn)環(huán)境與企業(yè)環(huán)境進(jìn)行基本隔離。
劣勢(shì)
默認(rèn)的企業(yè)網(wǎng)絡(luò)應(yīng)被視為潛在受損。普通員工的工作站以及管理員的工作站可能受到潛在威脅,因?yàn)樗鼈冊(cè)谏a(chǎn)網(wǎng)絡(luò)中具有基本和管理員訪問(wèn)權(quán)限。
在這方面,任何工作站的妥協(xié)理論上都可能導(dǎo)致以下攻擊向量的利用。攻擊者侵入企業(yè)網(wǎng)絡(luò)的工作站,然后攻擊者要么提升在企業(yè)網(wǎng)絡(luò)中的權(quán)限,要么立即利用之前獲得的權(quán)限攻擊生產(chǎn)網(wǎng)絡(luò)。
攻擊向量保護(hù) 安裝最大數(shù)量的信息保護(hù)工具,實(shí)時(shí)監(jiān)測(cè)可疑事件并立即響應(yīng)。
2.第二等級(jí):初步安全實(shí)踐
圖片
優(yōu)勢(shì)
企業(yè)網(wǎng)絡(luò)中有更多的網(wǎng)絡(luò)段。 對(duì)生產(chǎn)網(wǎng)絡(luò)的主要支持基礎(chǔ)設(shè)施進(jìn)行完全復(fù)制,如:
- 郵件中繼;
- 時(shí)間服務(wù)器;
- 其他服務(wù)(如果有)。
更安全的軟件開(kāi)發(fā)。建議至少實(shí)施DSOMM1級(jí)的DevSecOps,這需要引入密碼、令牌、加密密鑰、登錄名等單獨(dú)的機(jī)密存儲(chǔ),以及用于SAST、DAST、模糊測(cè)試、SCA和其他DevSecOps工具的附加服務(wù)器。在企業(yè)段的支持基礎(chǔ)設(shè)施出現(xiàn)問(wèn)題時(shí),這不會(huì)影響生產(chǎn)環(huán)境。對(duì)于攻擊者來(lái)說(shuō),破壞生產(chǎn)環(huán)境要更困難一些。
3.第三等級(jí):高度采用安全實(shí)踐
該級(jí)別需要公司管理層(首席執(zhí)行官)了解網(wǎng)絡(luò)安全在公司生命中的作用。信息安全風(fēng)險(xiǎn)成為公司運(yùn)營(yíng)風(fēng)險(xiǎn)之一。根據(jù)公司規(guī)模,信息安全部門的最小規(guī)模為15-20名員工。
圖片
優(yōu)勢(shì)
實(shí)施安全服務(wù),如:
- 安全運(yùn)營(yíng)中心(SIEM,IRP,SOAR,SGRC)
- 數(shù)據(jù)泄漏防護(hù)
- 釣魚(yú)保護(hù)
- 沙盒
- 入侵防護(hù)系統(tǒng)
- 漏洞掃描器
- 終端保護(hù)
- Web應(yīng)用防火墻
- 備份服務(wù)器
劣勢(shì)
信息安全工具和信息安全專業(yè)人員的高成本。
4.第四等級(jí):大規(guī)模高級(jí)安全實(shí)踐部署
每個(gè)生產(chǎn)和企業(yè)服務(wù)都有自己的網(wǎng)絡(luò):一級(jí)、二級(jí)、三級(jí)。
生產(chǎn)環(huán)境是從隔離的計(jì)算機(jī)訪問(wèn)的, 每臺(tái)隔離計(jì)算機(jī)不具有:
- 除了通過(guò)VPN從遠(yuǎn)程公司筆記本電腦以外的任務(wù)地方進(jìn)入傳入訪問(wèn)。
- 出站訪問(wèn)公司網(wǎng)絡(luò): 無(wú)法訪問(wèn)郵件服務(wù),不可能受到魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的威脅; 無(wú)法訪問(wèn)內(nèi)部站點(diǎn)和服務(wù),不可能從受感染的公司網(wǎng)絡(luò)下載木馬。
破壞隔離計(jì)算機(jī)的唯一方法是破壞生產(chǎn)環(huán)境。因此,成功入侵計(jì)算機(jī)(即使是通過(guò)網(wǎng)絡(luò)釣魚(yú))也將阻止黑客訪問(wèn)生產(chǎn)環(huán)境。
實(shí)施其他可能的安全服務(wù),例如:
- 特權(quán)訪問(wèn)管理;
- 內(nèi)部網(wǎng)絡(luò)釣魚(yú)訓(xùn)練服務(wù)器;
- 合規(guī)服務(wù)器(配置評(píng)估)。
圖片
優(yōu)點(diǎn)
實(shí)施安全服務(wù),例如:
- 特權(quán)訪問(wèn)管理;
- 內(nèi)部網(wǎng)絡(luò)釣魚(yú)訓(xùn)練服務(wù)器;
- 合規(guī)服務(wù)器(配置評(píng)估);
- 強(qiáng)有力地保護(hù)生產(chǎn)環(huán)境免受魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的侵害。
現(xiàn)在攻擊者將無(wú)法攻擊生產(chǎn)網(wǎng)絡(luò),因?yàn)楝F(xiàn)在企業(yè)網(wǎng)絡(luò)中潛在受感染的工作站基本上沒(méi)有對(duì)生產(chǎn)的網(wǎng)絡(luò)訪問(wèn)權(quán)限。相關(guān)問(wèn)題:
- 用于訪問(wèn)生產(chǎn)網(wǎng)絡(luò)的獨(dú)立工作站 - 是的,桌面上將有 2 臺(tái)計(jì)算機(jī);
- 用于生產(chǎn)網(wǎng)絡(luò)的其他 LDAP 目錄或域控制器;
- 防火墻分析儀、網(wǎng)絡(luò)設(shè)備分析儀;
- 網(wǎng)絡(luò)流量分析器。
缺點(diǎn)
現(xiàn)在,如果需要訪問(wèn)生產(chǎn)網(wǎng)絡(luò),桌面上將有 2 臺(tái)計(jì)算機(jī)。
