息來(lái)源:企業(yè)網(wǎng)
大概15年前�����,縱深防御首次運(yùn)用于網(wǎng)絡(luò)安全行業(yè)時(shí),徹底改變了這個(gè)行業(yè)�����。如今�����,使用一系列安全對(duì)策來(lái)保護(hù)網(wǎng)絡(luò)這個(gè)想法已成了公認(rèn)的最佳實(shí)踐,而網(wǎng)絡(luò)安全領(lǐng)域的傳統(tǒng)思想領(lǐng)袖(金融服務(wù)公司和美國(guó)聯(lián)邦政府)更是將它奉為金科玉律�����。
但是�����,雖然縱深防御在過(guò)去15年為行業(yè)發(fā)揮了良好的作用,但是現(xiàn)在是時(shí)候開始質(zhì)問(wèn)它是不是在今后15年應(yīng)該采取的那種方法�����。我認(rèn)為�����,如果縱深防御要想在當(dāng)今和未來(lái)行之有效,就需要行業(yè)改變觀念�����。原因如下�����。
如果你仔細(xì)分析一下最近大肆報(bào)道的黑客事件�����,它們的共同點(diǎn)就是�����,采用了不法分子或黑帽黑客開發(fā)的高度復(fù)雜的高級(jí)持續(xù)性威脅(APT)�����,這些人擁有相應(yīng)的專長(zhǎng)�����、資金和時(shí)間�����,開發(fā)專門對(duì)付縱深防御模式采用的安全措施的工具�����。無(wú)論是國(guó)家撐腰的黑客�����,還是牟取不義之財(cái)?shù)姆缸锓肿?����,攻擊者完全了解攻擊目?biāo)的縱深防御功能�����,因而設(shè)計(jì)了規(guī)避的手法�����。
然而,開發(fā)和策劃這類泄密事件中使用的高級(jí)攻擊很復(fù)雜�����、很燒錢�����,這讓它們完全超出了絕大多數(shù)網(wǎng)絡(luò)犯罪分子的承受范圍。至于這些攻擊的潛在目標(biāo)�����,許多小規(guī)模企業(yè)組織認(rèn)為自己很安全�����,因?yàn)樗鼈儧](méi)有會(huì)吸引能力更強(qiáng)的黑客注意的那種類型的信息(信用卡數(shù)據(jù)和專有知識(shí)產(chǎn)權(quán))或知名度�����。
現(xiàn)在出現(xiàn)了什么新的變數(shù)?
如今�����,高級(jí)的網(wǎng)絡(luò)攻擊工具唾手可得,這歸功于大行其道的地下市場(chǎng)在兜售用戶登錄信息�����、工具包�����、僵尸網(wǎng)絡(luò)以及網(wǎng)絡(luò)犯罪分子可能需要的其他許多工具�����。開發(fā)這些工具的人員甚至向客戶提供服務(wù)級(jí)別協(xié)議(SLA)�����,保證竊取而來(lái)的用戶登錄信息是有效�����、有用的�����,從而提高攻擊的成功幾率。此外�����,許多這些工具現(xiàn)在是自動(dòng)化�����,所以不太在行的網(wǎng)絡(luò)犯罪分子現(xiàn)在可以同時(shí)對(duì)某個(gè)目標(biāo)發(fā)動(dòng)高強(qiáng)度的高級(jí)攻擊�����。
這就導(dǎo)致了網(wǎng)絡(luò)攻擊數(shù)量大幅增長(zhǎng)�����,以至于縱深防御模式跟不上步伐�����。這種模式最令人擔(dān)憂的薄弱環(huán)節(jié)是在滲入點(diǎn)(point of infiltration)�����。如今的網(wǎng)絡(luò)每天都在記錄數(shù)百萬(wàn)個(gè)事件�����,所以安全團(tuán)隊(duì)幾乎不可能識(shí)別�����、分析以及根據(jù)需要來(lái)響應(yīng)實(shí)際威脅�����。即便安全團(tuán)隊(duì)阻止得了企圖攻破網(wǎng)絡(luò)邊界的1000次攻擊中的999次�����,但得逞的那一次攻擊足以帶來(lái)嚴(yán)重的問(wèn)題�����。
別放棄網(wǎng)絡(luò)邊界
攻擊的絕對(duì)數(shù)量之大已促使一些安全團(tuán)隊(duì)完全放棄了阻止攻擊滲入網(wǎng)絡(luò)邊緣這一想法�����。在他們看來(lái)�����,更好的辦法就是,在攻擊危及網(wǎng)絡(luò)邊界之后�����,專注于檢測(cè)并消除攻擊�����。這只會(huì)招致災(zāi)難�����。安全團(tuán)隊(duì)幾乎不可能隨時(shí)了解攻擊者用來(lái)突破網(wǎng)絡(luò)邊界所使用的最新工具�����。
此外�����,如果放棄了預(yù)防�����,就需要龐大的安全團(tuán)隊(duì)才能檢測(cè)并消除涌向網(wǎng)絡(luò)的所有APT和惡意軟件�����,而大多數(shù)公司沒(méi)有相應(yīng)的財(cái)力�����,也缺乏合格的安全專業(yè)人員處理得了這么大的工作量�����。所以�����,盡管包括預(yù)防的縱深防御模式仍是保護(hù)網(wǎng)絡(luò)的最佳方法�����,要想有一線生機(jī)�����,就需要安全行業(yè)轉(zhuǎn)變觀念�����。
零信任+自動(dòng)化安全=未來(lái)的出路
如果說(shuō)縱深防御模式想要在將來(lái)行之有效,網(wǎng)絡(luò)安全技術(shù)廠商需要在阻止攻擊方面做得更好�����。為此�����,最好的辦法就是采取零信任安全策略�����,并且實(shí)現(xiàn)安全流程自動(dòng)化�����。零信任網(wǎng)絡(luò)安全使用應(yīng)用程序�����、數(shù)據(jù)和用戶信息�����,制定策略�����,規(guī)范數(shù)據(jù)如何進(jìn)入網(wǎng)絡(luò)�����、如何在網(wǎng)絡(luò)上移動(dòng)�����,而不是依賴基于端口和協(xié)議的安全策略�����。安全自動(dòng)化需要整合最新的威脅信息以及ATP安全平臺(tái)�����,這種平臺(tái)可檢查所有的網(wǎng)絡(luò)流量�����,根據(jù)應(yīng)用程序�����、用戶和數(shù)據(jù),運(yùn)用策略�����。通過(guò)結(jié)合零信任政策和阻止絕大多數(shù)攻擊的自動(dòng)化安全策略�����,安全信息和事件管理(SIEM)技術(shù)或網(wǎng)絡(luò)安全專業(yè)人員就有時(shí)間來(lái)主動(dòng)尋找確實(shí)設(shè)法滲透進(jìn)來(lái)的少數(shù)攻擊�����。
縱深防御模式要想保持其重要性�����,唯一的辦法就是與時(shí)俱進(jìn)�����,為此要采取自動(dòng)化安全和零信任模式�����。只有那樣,安全團(tuán)隊(duì)才能在不斷變化的網(wǎng)絡(luò)安全領(lǐng)域提高工作成效�����。
原文標(biāo)題:Does Defense In Depth Still Work Against Today’s Cyber Threats? 作者:Frank Mong
