今日頭條
官方微信
官方抖音
資訊頻道縱深防御的思路
網絡安全領域的發展速度太快,隔一段時間就會有一些流行語和技術術語冒出來。如果你有一段時間不關注該領域,則感覺已經跟不上時代了。“縱深防御”(Defence-in-Depth, DiD)就是這樣一個技術術語。
那么為什么會出現這個術語呢?簡單地說,DiD要求將安全性應用于多個層,其工作原理是為每個層提供不同類型的保護,以便為提供阻止攻擊的最佳手段。這些層也可以防止不同的問題,全方位覆蓋多個不同問題。
那么,我們如何使用該策略呢?簡單地說,我們將不同的安全措施分組到不同的功能類別中并應用它們。這與傳統的物理安全的實現方式或分組方式沒有太大區別。
事實上,任何負責任的安全專家都會告訴你,絕對沒有辦法100%保護你的IT網絡免受所有可能的威脅。你唯一能做的就是弄清楚你愿意承受多大程度的風險,然后采取措施來應對其余的風險。
這樣說吧,安全防御行為其實就是一種平衡行為,找到安全性和可用性之間的平衡點,是一項困難的任務。
這種復雜性可以通過使用來自單個供應商的一套產品來管理,但也有其自身的缺點。正如一篇文章所提到的觀點:
一方面,如果你能夠從中央控制臺獲得一套安全產品,并且能夠在一次成功的操作中報告這些產品,那就太好了。但另一方面,采用單一供應商會有限制防御的風險。
最好的例子就是殺毒軟件產品,不同的供應商可能能夠識別大多數相同的病毒, 但處理的方法卻大相徑庭。而且,有時這些不同的產品會與正常的操作行為發生沖突。另一個考慮因素是,確實沒有明確的規定要求你必須采取哪些措施來保護你的IT網絡,因為具體的措施要施取決于你的組織規模、預算以及你嘗試保護的數據的性質、你的組織可能會成為攻擊目標的攻擊類型以及你愿意接受的風險程度。
接下來,我將會討論縱深防御的解決方案包括的不同層。
機構可能遇到的攻擊者
在網絡世界里,一個機構可能遇到的攻擊者大致可分為以下5類,每一類都有不同的攻擊動機和能力:
腳本小子
以“黑客”自居并沾沾自喜的初學者。腳本小子不像真正的黑客那樣發現系統漏洞,他們通常使用別人開發的程序來惡意破壞他人系統。他們常常從某些網站上復制腳本代碼,然后到處粘貼,卻并不一定明白他們的方法與原理。他們欽慕于黑客的能力與探索精神,但與黑客所不同的是,腳本小子通常只是對計算機系統有基礎了解與愛好,但并不注重程序語言、算法、和數據結構的研究,
內部人員或解雇人員
有合法途徑使用公司網絡的人士他們往往是受金錢或報復驅使。
真正的黑客
他們注重程序語言、算法、和數據結構的研究。
有組織犯罪
他們會造成大量的電子郵件垃圾郵件并開發常見的惡意軟件。
國家行為攻擊
通常是高度自律的組織,擁有進行復雜攻擊所需的時間、資源和成本。
與政府合作或與重要國家基礎設施相關的實體或公司的IT系統,往往會成為攻擊目標。金融機構可能更有可能發現他們正面臨有組織犯罪的襲擊。了解威脅的來源可以幫助組織更有效地引導其資源并規劃其安全性,在以下案例中,我會說明為什么研究人員不主張 “一刀切”的預防方法,這也是縱深防御策略之所以流行的原因。現在就讓我們看一下構成縱深防御策略解決方案的一些不同部分。
邊界防御
無論是物理安全還是網絡安全,這都是最重要的原則之一。在現實世界中,這通常是通過門、柵欄和墻,甚至警衛來實現的,所有這些設計都是為了把不應該在這里的人擋在外面。在網絡安全的世界里,邊界防御原則也是這個道理,這通常是通過防火墻來實現的。
防火墻技術的功能主要在于及時發現并處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網絡安全當中的各項操作實施記錄與檢測,以確保計算機網絡運行的安全性,保障用戶資料與信息的完整性,為用戶提供更好、更安全的計算機網絡使用體驗。
防火墻代主要是借助硬件和軟件的作用于內部和外部網絡的環境間產生一種保護的屏障,從而實現對計算機不安全網絡因素的阻斷。只有在防火墻同意情況下,用戶才能夠進入計算機內,如果不同意就會被阻擋于外,防火墻技術的警報功能十分強大,在外部的用戶要進入到計算機內時,防火墻就會迅速的發出相應的警報,并提醒用戶的行為,并進行自我的判斷來決定是否允許外部的用戶進入到內部。
不幸的是,防火墻往往不牢固,很容易犯錯誤,暴露你的整個網絡。
另一種用于邊界防御的常見解決方案是入侵檢測系統或IDS,通常在已經受到防火墻保護的網絡中使用。IDS不是阻止攻擊,而是監控你的IT系統并標識任何看起來不正確的東西。從本質上講,它是一個早期預警系統,一旦發現可疑的東西,就會在造成任何損害之前就采取行動。這可以通過觀察整個網絡來實現,也可以通過關注單個計算機來實現或者兩者兼而有之。
乍一看,使用上述(防火墻和IDS)之一或兩者都使用似乎是保證網絡安全所需的惟一解決方案,但遺憾的是,實際情況并非如此。正如上面所提到的,錯誤地設置防火墻,調用錯誤的安全方法都可以讓這些防護措施成為擺設。
監控
該方法就是依靠記錄日志,IT網絡中發生的任何操作都可以生成日志。因此記錄的所有內容都可以生成大量數據,而這些數據則需要存儲在某個位置,對于想要通覽所有數據以找到特定內容的人來說,工作量似乎有些嚇人。
雖說如此,記錄日志還是非常有必要的。不過,你不需要把所有發生的事情都記錄下來,但還多多益善,原因如下:
1.盡可能增加對攻擊事件識別;
2.對攻擊事件做出快速反應;
然而,如果你不對日志記錄執行任何操作,那么保留日志數據就沒有意義了。這就像在開會時讓同事幫你做筆記一樣,如果你不讀筆記,你仍然不知道發生了什么。只要日志受到監控,它就非常有用,因為它可以告訴你很多關于網絡上正在發生的事情。它們可以幫助你識別任何可疑行為、任何不能正常工作的行為,甚至是網絡的哪些部分需要更嚴格的安全控制。當有人成功地攻擊了你的網絡,日志可以幫助你了解攻擊的過程、原理,以及如何防止它再次發生。
強化系統
強化系統的過程,本質上是一種“強生健體”的本質措施,以確保攻擊者無可乘之機,這就像好的身體素質不會經常得病一樣。
在保護網絡方面,這意味著系統要確保不必要的程序不會運行, 確保系統已經安裝最新的安全更新, 并確保系統訪問僅限于那些需要它的人。
你可以把網絡空間想象成一個有很多建筑的校園,如果你不在里面,就鎖上門。如果其中一棟大樓存放著了你所有的公司機密,確保門窗安全,且只有你信任的人才能進出。確保警報已設防,并且人們準備好在響應時做出響應。
而縱深防御這是一個很好的策略,它會為系統增加很多保護層,以減少任何可能的風險。
前面已經說過, 每個IT系統都是不同的, 所以加強你的系統的方法將會有所不同。
縱深防御的政策和程序
網絡和物理安全策略之間的界限相當模糊,因為它們都旨在對惡意行為做出反應或先發制人的管理。縱深防御的目標是確保每層都知道如何在可疑的攻擊事件中采取行動,限制惡意或意外破壞的機會,并最大限度地提高快速識別任何安全漏洞的機會。比如:
1.讓員工先進行篩選;
2.最低權限的設定,僅允許對某人執行其指定角色所需的系統和資源的最低級別訪問權限。例如,門衛沒有理由訪問閉路電視系統,或者保安人員有一個允許他們重新配置網絡的計算機帳戶。
3.職責分離,這樣做是為了確保不將敏感流程或特權分配給單個人,這樣做有助于通過實現檢查和平衡來防止欺詐和錯誤。一個很好的例子是在醫院,在給藥之前,需要由另一個人檢查數量和類型,以防止出現用藥錯誤。
4.實施權限撤銷政策,例如立即撤銷任何IT或物理訪問權限,以快速對危機做出反應。
安全意識
員工的安全培訓和意識也應考慮進來,甚至可以說這與縱深防御的使用處于同一等量級上。例如,強迫員工每隔幾周更換一次密碼,并讓他們為需要使用的每個系統使用不同的密碼,如果人們不明白其中的原因,只是圖使用方便,那么很可能會導致快捷方式的出現,進而出現攻擊漏洞。
同樣,經過培訓后,員工也會意識到一個組織面臨的威脅,可以促使他們參與進來,及時報告安全事件,以便迅速做出反應。然而,正如前文描述的那樣,僅僅意識到這一點是不夠的。例如,如果沒有防火墻阻止攻擊者從internet訪問網絡,那么無論你的員工多么小心地使用安全密碼也是無用的。
物理安全
盡管本文的重點是講述保護IT系統的不同層,但是如果沒有提到物理安全措施,則縱深防御的策略就不是很完整了。如果有人偷走了你正在運行的筆記本電腦,那么任何監控日志和在你的電腦上使用的殺毒軟件都將不會起到作用。
任何公司所需的物理安全措施都將根據所運行的環境來進行有針對性的安全配置,例如規模、位置、業務性質等等。但是,在防止IT設備的地方,應該至少考慮一些以下的因素:
1.確保門窗安全,防止意外盜竊;
2.不使用時,把敏感設備或手提設備鎖好并保存好;
雖然,這些措施絕不能防止可能出現的盜竊,建議企業應該認真考慮實施更強大的物理安全機制。
災難發生后的數據恢復或備份
災難恢復就像它聽起來的那樣,確保你的組織有適當的機制在最壞的情況下進行恢復。就IT系統而言,這則意味著有一個安全的備份,并確保在適當的時間范圍內進行維護。沒有人希望最壞的情況發生,但做好從最壞的情況中恢復的準備,可能會決定一家企業的生存和倒閉。
總 結
縱深防御策略就像是一種保險,只有災難發生后才能知道它的價值。這篇文章已經說明了,盡管有多種方法可以保護網絡,并且每種方法都有其優點,但任何一種解決方案都會留下可能防護空白。由于攻擊者有各種各樣的攻擊目標,因此,需要不同的防御層才能有效防御。
來源:網信防務
北京市公安局海淀分局備案號:11010802023656號