为BYOD重新思考深度防护安全模型

日期: 2014-03-09 作者:Mike Rothman 来源:TechTarget中国 英文

似乎每天你都会读到零日漏洞攻击的内容,死而复生或另一个新的的僵尸网络攻击,针对企业终端的更具创新性的攻击方式,有时甚至以上所有。这些攻击甚至使得最强悍的网络安全专家欲哭无泪。

但是将你的头埋在沙里不去面对是无法解决问题的,而且也不能帮助我们实现保护公司信息资产的目的。我最近就网络安全问题和很多人进行了讨论,最终意识到组织不再相信他们的终端。这要求我们从根本上以完全不同的方式来思考网络安全问题。

我知道,放弃保护终端这个观点摧毁了我们这些年所被教导的做事方法。那你们觉得深度防护安全模型怎么样呢?分层安全保障体系又如何呢?如果将一个关键层从混合层里面分离出来,又会怎样呢?好吧,让我从不同的角度来问这个问题吧。你现在的终端保护是怎样为你工作的呢?是的,我也是这样认为的。我了解到有些人没有办法放弃终端保护,因为审计师仍然要求你们做愚蠢的检查清单和确保AV box检查过了。所以总的来说是这样的:你可能依然不得不“保护”你的终端,但是你并没有期望那些控件能真正起作用,防止终端感染。

要明确的是,分层安全保障体系仍然是一个好主意。如果你的终端即将有一个缺口,至少让攻击者费一些力气才能攻破。关键是实现你保护的基础设施能在你的分层安全体系内,因为你越来越不能控制终端了—特别是在如今拥有自带设备的世界。或许是一个承包商为了解救一个混乱的开发项目而带来的个人笔记本电脑;或许是一个生意上的伙伴访问了你的系统;或许是你的董事会成员用他们的新ipads访问了公司邮件。不管怎样,你不能控制这些设备,而且不值得花费精力去部署设备然后实施恰当的安全控制。

很容易能预见终端会被攻击的,即使不是现在。那些烦人的用户一直点击广告,我们都知道那会造成怎样的后果。然后呢,我们要做什么?首先,让我们处理这些终端。我建议你认为它已经失败了,要重塑它。今天的恶意软件是不会真正的被清理干净的,甚至不要去尝试清理它们。安装一个全新的操作系统吧。如果有良好的备份过程,受感染的用户并不会丢失太多的数据。

因为我们假定终端是不可信的,所以我们需要在网络层保护数据,这就是网络分段。我们需要很多的网络分段。你想要使你真正敏感的信息都躲在一个高墙之下,每个想要通过高墙访问数据的人或设备都要求严格的身份验证,敏感网络的所有交易都得到监控和流量抓获。这些控件并不是万能药,但是你可以使别人很难访问你的重要数据更难,泄露它就更难了。

对于不太重要的数据,你可以实施不太严格的控制。可能只是确保连接到你的网络的设备不充满恶意软件。而且你可以看这些网络连接设备做了什么(通过看应用网络流量)来确保他们没有正在尝试做一些蠢事,如果它们在侦察,这可能暗示着是一个主动的攻击者在试图做坏事。

对于几年前铲除网络污垢的网络访问控制(NAC)公司来说,他们的技术非常适用于处理不可信终端。在连接时你要评估每个终端,基于设备类型,安全态势,认证方法和其它各种政策触发器来决定什么网络是他们可以连接的。

一个精明的攻击者可以击败网络分段和网络访问控制设备分配设备到特定网络分段的方法吗?当然可以,这就是为什么监控你的敏感网络很重要。是的,这需要使用一个安全信息和事件管理(SIEM),系统不只是监控和分析控制你重要数据的事件和设备配置,而且可能要对一些非常敏感的分段做完整的数据包捕获。为什么?因为你想要确保当发生意外时,你有足够的数据来进行法律调查。记住,你不可能完全消除安全破坏的风险。但是你可以给攻击者加大难度。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Mike Rothman
Mike Rothman

Mike Rothman是一家独立信息安全研究公司的总经理和首席分析师。最为一位终端用户,他已经连续15年的时间提倡世界企业和中等规模的商业,他的工作是发起引人深思的关于如何确保核心商业需求的信息安全方面的讨论。在建立Security Incite 之前,Mike是META Group的首位网络安全分析师,并曾在TruSecure的CipherTrust共司担任主管职位,而且他还是SHYM科技工色的创始人之一。Mike经常为TechTarget撰稿,是一位受人尊重的信息安全专家。

相关推荐

  • 未来企业数据安全威胁及保护措施

    Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]

  • 2017年网络安全四个预测

    分析过去的网络威胁数据,查找可用以帮助客户更好地应对未来网络威胁的趋势和方法,是很有益的。在过去的一年中,有一些安全趋势是很明显的,我们可以用来为新的一年提供指南和策略。

  • 如何处理网络基础设施的带外管理?

    前不久,美国计算机紧急预备小组联手美国国土安全部向网络安全专业人员发布了国家网络安全感知系统建议,其中包含6个建议方法以缓解对网络基础设施设备的威胁,包括带外管理……

  • 矛与盾的悖论:加密 or 削弱加密?

    美总统奥巴马发表全国讲话时呼吁要“让恐怖分子更难使用加密技术来逃避法律制裁”,而在政府呼吁削弱加密技术与增强加密技术以保护个人数据之间普遍存在争论……