《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 網(wǎng)絡(luò)安全縱深防御簡(jiǎn)析:目的,、要素與實(shí)踐

網(wǎng)絡(luò)安全縱深防御簡(jiǎn)析:目的、要素與實(shí)踐

2022-11-10
來(lái)源:安全牛

  縱深防御一詞本身源自軍事領(lǐng)域,,意指戰(zhàn)爭(zhēng)過(guò)程中利用地理優(yōu)勢(shì)來(lái)設(shè)多道軍事防線防御,。一般多用于能力較弱的一方戰(zhàn)略性撤退,,以空間換取時(shí)間。然而,,這并不是網(wǎng)絡(luò)安全縱深防御(defense in depth)的理念和工作方式,。

  在網(wǎng)絡(luò)安全領(lǐng)域中,縱深防御代表著一種更加系統(tǒng),、積極的防護(hù)戰(zhàn)略,,它要求合理利用各種安全技術(shù)的能力和特點(diǎn),構(gòu)建形成多方式,、多層次,、功能互補(bǔ)的安全防護(hù)能力體系,以滿足企業(yè)安全工作中對(duì)縱深性,、均衡性,、抗易損性的多種要求。目前,,縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一,。

  縱深防御的價(jià)值

  網(wǎng)絡(luò)安全縱深防御的目的是假定攻擊者有能力挫敗或繞過(guò)某些單點(diǎn)性的防御措施,因此必須要通過(guò)其他工具進(jìn)行彌補(bǔ),,并以積極的方式協(xié)同工作,??v深防御有時(shí)又叫城堡方法:好比歐洲中世紀(jì)的城堡,通過(guò)護(hù)城河和城墻等構(gòu)建了多層防護(hù)模式,,攻擊者必須全部攻破才能進(jìn)入城堡,。

  縱深防御之所以很重要,是由于傳統(tǒng)的網(wǎng)絡(luò)邊界防御模型現(xiàn)在已經(jīng)逐漸失效,。由于隨時(shí)隨地工作以及廣泛使用云計(jì)算技術(shù),,企業(yè)組織的網(wǎng)絡(luò)邊界正在變得模糊。但這并不意味著實(shí)施縱深防御策略后,,組織應(yīng)該丟棄防火墻及其他邊界防御手段,。盡管防火墻與其他任何單點(diǎn)安全措施一樣,幾乎總能被技術(shù)嫻熟,、目標(biāo)明確的攻擊者突破,,但這些措施都是不可或缺的,讓網(wǎng)絡(luò)資產(chǎn)具備必要的防御措施是開(kāi)展縱深防御的基礎(chǔ)要求,,甚至在具備條件的情況下,,企業(yè)應(yīng)該給重要的單點(diǎn)防御工具做好備份,以實(shí)現(xiàn)能力上的冗余,。

  縱深防御在許多方面與零信任安全理念相吻合,。零信任架構(gòu)認(rèn)為網(wǎng)絡(luò)上的任何用戶或設(shè)備都應(yīng)該不斷受到質(zhì)疑和監(jiān)控,以確保訪問(wèn)行為的真實(shí)可靠,。這種理念需要縱深防御基礎(chǔ)架構(gòu)的支撐和保障,,其中重要一點(diǎn)就是,組織現(xiàn)有的安全工具和策略能夠?qū)λ性O(shè)備和應(yīng)用進(jìn)行有效的管控,。

  縱深防御的構(gòu)建

  很多人會(huì)將縱深防御簡(jiǎn)單理解為分層安全(Layered security),,因?yàn)樗鼈冇兄芏嘞嗨坪瓦B結(jié)??v深防御基礎(chǔ)架構(gòu)需要具備分層抵御攻擊的安全能力,,但這并不是縱深防御的全部??v深防御不僅是技術(shù)層面的問(wèn)題,,同時(shí)還需要確定組織將如何響應(yīng)隨時(shí)可能出現(xiàn)的攻擊,以及對(duì)事件的報(bào)告和溯源機(jī)制,??v深防御不僅需要在技術(shù)層面具有多層化的安全工具,還要有一套與之相配合的安全管理理念與策略,。

  網(wǎng)絡(luò)安全縱深防御的構(gòu)建要素可以分為三大類:管理控制,、物理控制和技術(shù)控制。這每一類控制都很重要,。

  管理控制是創(chuàng)建安全環(huán)境的宏觀組織戰(zhàn)略,。這包括如何選擇和部署信息安全工具的策略,、安全使用數(shù)據(jù)的流程以及管理第三方供應(yīng)商的系統(tǒng)風(fēng)險(xiǎn)框架等。

  物理控制常常被忽視,,它主要是組織計(jì)算設(shè)備和應(yīng)用系統(tǒng)的環(huán)境安全,,包括門禁系統(tǒng)、鑰匙卡,、不間斷電源,、辦公室和數(shù)據(jù)中心監(jiān)控以及安保人員等。一些利用社會(huì)工程伎倆的攻擊往往會(huì)通過(guò)最簡(jiǎn)單的方式來(lái)實(shí)現(xiàn),。

  技術(shù)控制主要包括多層安全防護(hù)技術(shù)工具,,用于保護(hù)硬件、軟件和網(wǎng)絡(luò),。

  有效開(kāi)展網(wǎng)絡(luò)安全縱深防御通常需要包括以下層面:

  網(wǎng)絡(luò)防護(hù)

  盡管企業(yè)的網(wǎng)絡(luò)邊界正在消失,但縱深防御戰(zhàn)略永遠(yuǎn)不能忽視邊界,,縱深防御策略應(yīng)該首先由防火墻或IDS在網(wǎng)絡(luò)邊緣嘗試阻止攻擊開(kāi)始,。入侵防護(hù)系統(tǒng)及其他網(wǎng)絡(luò)監(jiān)控工具可以掃描網(wǎng)絡(luò)上的流量,尋找防火墻已被突破的證據(jù),,然后自動(dòng)做出反應(yīng)或?qū)で笕斯椭?。VPN等工具讓用戶可以更安全地連接,并驗(yàn)證用戶身份,。

  惡意軟件防護(hù)

  如果網(wǎng)絡(luò)被突破,,縱深防御體系需要包含可掃描基礎(chǔ)架構(gòu)以查找惡意軟件的工具。這類工具通過(guò)將惡意軟件特征與數(shù)據(jù)庫(kù)對(duì)照來(lái)匹配文件,,或者使用啟發(fā)式方法來(lái)發(fā)現(xiàn)可疑模式,。

  異常行為分析

  這里的行為既包括人類用戶行為,也包括自動(dòng)化流程中的應(yīng)用行為,,通過(guò)未企業(yè)正常訪問(wèn)行為設(shè)定參考基準(zhǔn),,就可以確定訪問(wèn)行為是否出現(xiàn)異常,并將異常行為標(biāo)記出來(lái)以便進(jìn)一步調(diào)查,。如果有人突然訪問(wèn)了通常不會(huì)訪問(wèn)的數(shù)據(jù),,或是向某個(gè)不起眼的主機(jī)發(fā)送大量的加密信息,這可能表明出現(xiàn)了問(wèn)題,。

  數(shù)據(jù)完整性分析

  保護(hù)數(shù)據(jù)資產(chǎn)的完整和安全是縱深防御體系的一個(gè)重要目標(biāo),。企業(yè)需要隨時(shí)了解文件是否被篡改、拷貝或外泄,?入站文件是否與網(wǎng)絡(luò)上的文件同名,,但內(nèi)容不一樣?一個(gè)神秘或可疑的IP地址是否與文件相關(guān)聯(lián),?如果文件被勒索軟件損壞或加密,,是否有備份,?這些都是要通過(guò)縱深防御去實(shí)現(xiàn)的。

  縱深防御建設(shè)實(shí)踐

  從理論上來(lái)說(shuō),,構(gòu)建縱深防御體系,,增加防御的層數(shù)和能力,會(huì)顯著加大企業(yè)IT系統(tǒng)被攻陷的難度,,從而確保應(yīng)用和數(shù)據(jù)資產(chǎn)安全,。縱深防御戰(zhàn)略中會(huì)設(shè)置多種措施來(lái)應(yīng)對(duì)非法攻擊者的入侵,。

  在政策和程序方面,,企業(yè)組織需要定期組織網(wǎng)絡(luò)釣魚(yú)模擬、實(shí)戰(zhàn)攻防演練等活動(dòng),,以便員工保持警惕,,不會(huì)被攻擊者的社會(huì)工程伎倆誘騙。同時(shí),,應(yīng)該定期推出安全補(bǔ)丁,,確保攻擊者的惡意軟件所利用的漏洞在組織的系統(tǒng)上已被堵住。

  在技術(shù)層面上,,安裝后門的木馬可能被組織的電子郵件系統(tǒng)檢測(cè)到,,或者后門本身可能被反惡意軟件工具查出。如果攻擊者已經(jīng)訪問(wèn)了組織的網(wǎng)絡(luò),,行為分析工具可以在看到主機(jī)之間的橫向移動(dòng)或發(fā)現(xiàn)當(dāng)前的數(shù)據(jù)外泄后,,立即向安全運(yùn)營(yíng)中心發(fā)出警報(bào)。組織的數(shù)據(jù)庫(kù)可以使用采用最小特權(quán)原則的安全身份驗(yàn)證工具加以保護(hù),,這意味著攻擊者很難批量獲取企業(yè)最寶貴的業(yè)務(wù)數(shù)據(jù),。

  縱深防御戰(zhàn)略實(shí)是一項(xiàng)艱巨的任務(wù),而不是簡(jiǎn)單的交鑰匙工程,,它代表一種整體化的安全理念,,需要持續(xù)性的運(yùn)營(yíng)制度來(lái)保障支撐。組織在開(kāi)展縱深防御建設(shè)時(shí),,可參考以下環(huán)節(jié):

  做好攻擊面管理,。確定組織目前實(shí)施了哪些保護(hù)措施,并檢測(cè)其工作有效性,。

  網(wǎng)絡(luò)邊界整合,。隨著零信任理念逐步普及,需要更完整的訪問(wèn)控制機(jī)制,,對(duì)每一次訪問(wèn)進(jìn)行身份驗(yàn)證和權(quán)限劃分,。網(wǎng)絡(luò)邊界整合要綜合考慮邊界類型、業(yè)務(wù)影響、網(wǎng)絡(luò)改造難度,、安全建設(shè)投入,、企業(yè)管理模式、監(jiān)管要求等因素,,實(shí)現(xiàn)安全能力重點(diǎn)覆蓋,。

  體系化能力構(gòu)建。網(wǎng)絡(luò)及業(yè)務(wù)的架構(gòu)不斷變化,,網(wǎng)絡(luò)安全策略也要隨之適應(yīng),。要從體系化防御視角,確定組織在網(wǎng)絡(luò)系統(tǒng)的每一層,,都需要哪些保護(hù)措施,。并通過(guò)自動(dòng)化編排整合這些安全措施,實(shí)現(xiàn)安全聯(lián)防聯(lián)控,。

  加強(qiáng)網(wǎng)絡(luò)安全管理和運(yùn)營(yíng),。縱深防御體系需要實(shí)現(xiàn)業(yè)務(wù)層面和管理層面的分離,,充分保障管理與日常運(yùn)營(yíng)策略的可用性,。為了實(shí)現(xiàn)更好的防御效果,強(qiáng)化安全運(yùn)營(yíng)和安全審計(jì)必不可少,,要清晰了解系統(tǒng)組件之間的安全缺口和薄弱環(huán)節(jié)有哪些,并采取針對(duì)性措施,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]