縱深防御一詞本身源自軍事領(lǐng)域,意指戰(zhàn)爭(zhēng)過(guò)程中利用地理優(yōu)勢(shì)來(lái)設(shè)多道軍事防線防御。一般多用于能力較弱的一方戰(zhàn)略性撤退,以空間換取時(shí)間。然而,這并不是網(wǎng)絡(luò)安全縱深防御(defense in depth)的理念和工作方式。
在網(wǎng)絡(luò)安全領(lǐng)域中,縱深防御代表著一種更加系統(tǒng)、積極的防護(hù)戰(zhàn)略,它要求合理利用各種安全技術(shù)的能力和特點(diǎn),構(gòu)建形成多方式、多層次、功能互補(bǔ)的安全防護(hù)能力體系,以滿足企業(yè)安全工作中對(duì)縱深性、均衡性、抗易損性的多種要求。目前,縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一。
縱深防御的價(jià)值
網(wǎng)絡(luò)安全縱深防御的目的是假定攻擊者有能力挫敗或繞過(guò)某些單點(diǎn)性的防御措施,因此必須要通過(guò)其他工具進(jìn)行彌補(bǔ),并以積極的方式協(xié)同工作。縱深防御有時(shí)又叫城堡方法:好比歐洲中世紀(jì)的城堡,通過(guò)護(hù)城河和城墻等構(gòu)建了多層防護(hù)模式,攻擊者必須全部攻破才能進(jìn)入城堡。
縱深防御之所以很重要,是由于傳統(tǒng)的網(wǎng)絡(luò)邊界防御模型現(xiàn)在已經(jīng)逐漸失效。由于隨時(shí)隨地工作以及廣泛使用云計(jì)算技術(shù),企業(yè)組織的網(wǎng)絡(luò)邊界正在變得模糊。但這并不意味著實(shí)施縱深防御策略后,組織應(yīng)該丟棄防火墻及其他邊界防御手段。盡管防火墻與其他任何單點(diǎn)安全措施一樣,幾乎總能被技術(shù)嫻熟、目標(biāo)明確的攻擊者突破,但這些措施都是不可或缺的,讓網(wǎng)絡(luò)資產(chǎn)具備必要的防御措施是開(kāi)展縱深防御的基礎(chǔ)要求,甚至在具備條件的情況下,企業(yè)應(yīng)該給重要的單點(diǎn)防御工具做好備份,以實(shí)現(xiàn)能力上的冗余。
縱深防御在許多方面與零信任安全理念相吻合。零信任架構(gòu)認(rèn)為網(wǎng)絡(luò)上的任何用戶或設(shè)備都應(yīng)該不斷受到質(zhì)疑和監(jiān)控,以確保訪問(wèn)行為的真實(shí)可靠。這種理念需要縱深防御基礎(chǔ)架構(gòu)的支撐和保障,其中重要一點(diǎn)就是,組織現(xiàn)有的安全工具和策略能夠?qū)λ性O(shè)備和應(yīng)用進(jìn)行有效的管控。
縱深防御的構(gòu)建
很多人會(huì)將縱深防御簡(jiǎn)單理解為分層安全(Layered security),因?yàn)樗鼈冇兄芏嘞嗨坪瓦B結(jié)。縱深防御基礎(chǔ)架構(gòu)需要具備分層抵御攻擊的安全能力,但這并不是縱深防御的全部。縱深防御不僅是技術(shù)層面的問(wèn)題,同時(shí)還需要確定組織將如何響應(yīng)隨時(shí)可能出現(xiàn)的攻擊,以及對(duì)事件的報(bào)告和溯源機(jī)制。縱深防御不僅需要在技術(shù)層面具有多層化的安全工具,還要有一套與之相配合的安全管理理念與策略。
網(wǎng)絡(luò)安全縱深防御的構(gòu)建要素可以分為三大類:管理控制、物理控制和技術(shù)控制。這每一類控制都很重要。
管理控制是創(chuàng)建安全環(huán)境的宏觀組織戰(zhàn)略。這包括如何選擇和部署信息安全工具的策略、安全使用數(shù)據(jù)的流程以及管理第三方供應(yīng)商的系統(tǒng)風(fēng)險(xiǎn)框架等。
物理控制常常被忽視,它主要是組織計(jì)算設(shè)備和應(yīng)用系統(tǒng)的環(huán)境安全,包括門禁系統(tǒng)、鑰匙卡、不間斷電源、辦公室和數(shù)據(jù)中心監(jiān)控以及安保人員等。一些利用社會(huì)工程伎倆的攻擊往往會(huì)通過(guò)最簡(jiǎn)單的方式來(lái)實(shí)現(xiàn)。
技術(shù)控制主要包括多層安全防護(hù)技術(shù)工具,用于保護(hù)硬件、軟件和網(wǎng)絡(luò)。
有效開(kāi)展網(wǎng)絡(luò)安全縱深防御通常需要包括以下層面:
網(wǎng)絡(luò)防護(hù)
盡管企業(yè)的網(wǎng)絡(luò)邊界正在消失,但縱深防御戰(zhàn)略永遠(yuǎn)不能忽視邊界,縱深防御策略應(yīng)該首先由防火墻或IDS在網(wǎng)絡(luò)邊緣嘗試阻止攻擊開(kāi)始。入侵防護(hù)系統(tǒng)及其他網(wǎng)絡(luò)監(jiān)控工具可以掃描網(wǎng)絡(luò)上的流量,尋找防火墻已被突破的證據(jù),然后自動(dòng)做出反應(yīng)或?qū)で笕斯椭PN等工具讓用戶可以更安全地連接,并驗(yàn)證用戶身份。
惡意軟件防護(hù)
如果網(wǎng)絡(luò)被突破,縱深防御體系需要包含可掃描基礎(chǔ)架構(gòu)以查找惡意軟件的工具。這類工具通過(guò)將惡意軟件特征與數(shù)據(jù)庫(kù)對(duì)照來(lái)匹配文件,或者使用啟發(fā)式方法來(lái)發(fā)現(xiàn)可疑模式。
異常行為分析
這里的行為既包括人類用戶行為,也包括自動(dòng)化流程中的應(yīng)用行為,通過(guò)未企業(yè)正常訪問(wèn)行為設(shè)定參考基準(zhǔn),就可以確定訪問(wèn)行為是否出現(xiàn)異常,并將異常行為標(biāo)記出來(lái)以便進(jìn)一步調(diào)查。如果有人突然訪問(wèn)了通常不會(huì)訪問(wèn)的數(shù)據(jù),或是向某個(gè)不起眼的主機(jī)發(fā)送大量的加密信息,這可能表明出現(xiàn)了問(wèn)題。
數(shù)據(jù)完整性分析
保護(hù)數(shù)據(jù)資產(chǎn)的完整和安全是縱深防御體系的一個(gè)重要目標(biāo)。企業(yè)需要隨時(shí)了解文件是否被篡改、拷貝或外泄?入站文件是否與網(wǎng)絡(luò)上的文件同名,但內(nèi)容不一樣?一個(gè)神秘或可疑的IP地址是否與文件相關(guān)聯(lián)?如果文件被勒索軟件損壞或加密,是否有備份?這些都是要通過(guò)縱深防御去實(shí)現(xiàn)的。
縱深防御建設(shè)實(shí)踐
從理論上來(lái)說(shuō),構(gòu)建縱深防御體系,增加防御的層數(shù)和能力,會(huì)顯著加大企業(yè)IT系統(tǒng)被攻陷的難度,從而確保應(yīng)用和數(shù)據(jù)資產(chǎn)安全。縱深防御戰(zhàn)略中會(huì)設(shè)置多種措施來(lái)應(yīng)對(duì)非法攻擊者的入侵。
在政策和程序方面,企業(yè)組織需要定期組織網(wǎng)絡(luò)釣魚(yú)模擬、實(shí)戰(zhàn)攻防演練等活動(dòng),以便員工保持警惕,不會(huì)被攻擊者的社會(huì)工程伎倆誘騙。同時(shí),應(yīng)該定期推出安全補(bǔ)丁,確保攻擊者的惡意軟件所利用的漏洞在組織的系統(tǒng)上已被堵住。
在技術(shù)層面上,安裝后門的木馬可能被組織的電子郵件系統(tǒng)檢測(cè)到,或者后門本身可能被反惡意軟件工具查出。如果攻擊者已經(jīng)訪問(wèn)了組織的網(wǎng)絡(luò),行為分析工具可以在看到主機(jī)之間的橫向移動(dòng)或發(fā)現(xiàn)當(dāng)前的數(shù)據(jù)外泄后,立即向安全運(yùn)營(yíng)中心發(fā)出警報(bào)。組織的數(shù)據(jù)庫(kù)可以使用采用最小特權(quán)原則的安全身份驗(yàn)證工具加以保護(hù),這意味著攻擊者很難批量獲取企業(yè)最寶貴的業(yè)務(wù)數(shù)據(jù)。
縱深防御戰(zhàn)略實(shí)是一項(xiàng)艱巨的任務(wù),而不是簡(jiǎn)單的交鑰匙工程,它代表一種整體化的安全理念,需要持續(xù)性的運(yùn)營(yíng)制度來(lái)保障支撐。組織在開(kāi)展縱深防御建設(shè)時(shí),可參考以下環(huán)節(jié):
做好攻擊面管理。確定組織目前實(shí)施了哪些保護(hù)措施,并檢測(cè)其工作有效性。
網(wǎng)絡(luò)邊界整合。隨著零信任理念逐步普及,需要更完整的訪問(wèn)控制機(jī)制,對(duì)每一次訪問(wèn)進(jìn)行身份驗(yàn)證和權(quán)限劃分。網(wǎng)絡(luò)邊界整合要綜合考慮邊界類型、業(yè)務(wù)影響、網(wǎng)絡(luò)改造難度、安全建設(shè)投入、企業(yè)管理模式、監(jiān)管要求等因素,實(shí)現(xiàn)安全能力重點(diǎn)覆蓋。
體系化能力構(gòu)建。網(wǎng)絡(luò)及業(yè)務(wù)的架構(gòu)不斷變化,網(wǎng)絡(luò)安全策略也要隨之適應(yīng)。要從體系化防御視角,確定組織在網(wǎng)絡(luò)系統(tǒng)的每一層,都需要哪些保護(hù)措施。并通過(guò)自動(dòng)化編排整合這些安全措施,實(shí)現(xiàn)安全聯(lián)防聯(lián)控。
加強(qiáng)網(wǎng)絡(luò)安全管理和運(yùn)營(yíng)。縱深防御體系需要實(shí)現(xiàn)業(yè)務(wù)層面和管理層面的分離,充分保障管理與日常運(yùn)營(yíng)策略的可用性。為了實(shí)現(xiàn)更好的防御效果,強(qiáng)化安全運(yùn)營(yíng)和安全審計(jì)必不可少,要清晰了解系統(tǒng)組件之間的安全缺口和薄弱環(huán)節(jié)有哪些,并采取針對(duì)性措施。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
