信息來源：安全牛

把發(fā)生網(wǎng)絡安全事件當成 “新常態(tài)” 的公司就是好公司。

卡巴斯基實驗室最近對 250 名頂級安全官做了問卷調(diào)查，結(jié)果顯示，86% 的受訪者認為網(wǎng)絡安全事件是無可避免的。當今網(wǎng)絡環(huán)境的復雜性保證每家公司都在被入侵的路上。云采納催生出橫跨不同地點和團隊的混合環(huán)境，容器的使用，還有可滲透的邊界——所有這些因素都擴大了攻擊界面，挑戰(zhàn)我們現(xiàn)有的威脅管理方法。

造船技師預期故障并為此作出計劃，我們也應當如此

安全行業(yè)顯然可以在事件管理上做更多工作。盡管我們花費數(shù)十億美元可能防止了大量壞事發(fā)生，但導致災難性損失的重大數(shù)據(jù)泄露事件一直在增加，隨之而來的就是曝光記錄和敏感客戶數(shù)據(jù)泄露事件的指數(shù)級增多。為什么會這樣？因為與其他行業(yè)不同，我們并沒有為失效做出計劃。

以造船業(yè)為例。造船技師通過分隔船體和限制進入引擎室來控制事件發(fā)生時的損害，為故障做好工程準備。這種做法從 15 世紀就開始了，一直沿用到現(xiàn)代艦船身上。造船技師的經(jīng)驗也可應用到現(xiàn)代 IT 安全中。下面列出的幾個安全原則就反映出了這一點：

1. 造船技師假定船只總會遭遇漏水，所以他們打造的船體可以防止單一漏點導致整船沉沒。同理，假定企業(yè)環(huán)境中總會發(fā)生安全事件，為此分隔企業(yè)網(wǎng)絡。如此一來，即使惡意軟件進入了測試環(huán)境，開發(fā)、生產(chǎn)和隔離區(qū)等其他敏感環(huán)境不會受到影響。缺乏分隔可使攻擊者一旦越過邊界就很容易移動至關(guān)鍵區(qū)域，就好像如果船體未做分隔，漏水會很快漫延整船一樣。

2. 負責維護船體的員工定期檢查滲漏點或脆弱點，保證貴重貨物和船員的安全。同樣地，現(xiàn)代安全團隊必須謹慎監(jiān)視和修復，防止邊界上眾所周知的縫隙和潛在的重大問題。

3. 艦船最敏感的工具都在引擎室里。為保護您最貴重的資產(chǎn)，務必筑好關(guān)鍵 IT 資產(chǎn)的護壁，確保其不受網(wǎng)絡入侵的傷害。

4. 船上總有船員不間斷瞭望，監(jiān)視一切情況，在必要的時候直接修正航線。與之類似，有必要維護從整個數(shù)據(jù)中心直至應用層的完整可見性。在可以 “改變航向” 或設置任何策略或控制之前，必須獲得對愈趨復雜且動態(tài)的生態(tài)系統(tǒng)的可見性。

5. 讓船員不能隨便登上艦橋是一個重要的安全措施。同理，網(wǎng)絡世界中建議設置基于用戶身份的策略，確保公司員工、承包商和遠程用戶只能訪問自己有權(quán)訪問的東西。這么做的結(jié)果就是您的業(yè)務關(guān)鍵應用只能被已授權(quán)用戶訪問，獲得更高的安全性。

僅過去兩年間，就有多個案例直指可見性與分隔缺失是大規(guī)模數(shù)據(jù)泄露的頭號元兇。比如 2017 年影響 1.48 億消費者的史上最大網(wǎng)絡攻擊 Equifax 數(shù)據(jù)泄露事件，美國眾議院監(jiān)督與政府改革委員會對此事件的報告就提到，該公司未能實現(xiàn)基本的安全協(xié)議，包括文件完整性監(jiān)視與網(wǎng)絡分隔，使攻擊者得以訪問并刪除了大量數(shù)據(jù)。

Equifax 在良好分隔策略上的缺失，使攻擊者在持續(xù) 75 天的攻擊行動中得以訪問十幾個含有個人可識別信息 (PII) 的數(shù)據(jù)庫。WannaCry，史上最大型惡意軟件感染，同樣本可以得到更好的遏制——如果受害公司為自己的系統(tǒng)事先修復了其利用的 MS10-010 漏洞。然而，公司企業(yè)并未意識到自己存在需要修復的漏洞，或者沒有能力去修復。即便沒打上補丁，只要部署了網(wǎng)絡分隔，受影響企業(yè)也本可以實施安全策略并阻止該蠕蟲在整個環(huán)境中蔓延的。

預期泄露，打補丁，分隔

Equifax 和 WannaCry 這種規(guī)模的威脅，人們很容易假定攻擊者采用復雜攻擊模式，或者利用未被發(fā)現(xiàn)的新漏洞。然而，這些攻擊的巨大成功是建立在沒打補丁的系統(tǒng)和缺乏網(wǎng)絡分隔上的。認清混亂終會到來的現(xiàn)實，預期可被網(wǎng)絡分隔和更好數(shù)據(jù)中心可見性阻止的攻擊，公司企業(yè)便沒那么容易被單點入侵導致整船沉沒，可確保公司的長治久安。