大概15年前,縱深防御首次運(yùn)用于網(wǎng)絡(luò)安全行業(yè)時(shí),徹底改變了這個(gè)行業(yè)。如今,使用一系列安全對(duì)策來(lái)保護(hù)網(wǎng)絡(luò)這個(gè)想法已成了公認(rèn)的最佳實(shí)踐,而網(wǎng)絡(luò)安全領(lǐng)域的傳統(tǒng)思想領(lǐng)袖(金融服務(wù)公司和美國(guó)聯(lián)邦政府)更是將它奉為金科玉律。
但是,雖然縱深防御在過(guò)去15年為行業(yè)發(fā)揮了良好的作用,但是現(xiàn)在是時(shí)候開始質(zhì)問它是不是在今后15年應(yīng)該采取的那種方法。我認(rèn)為,如果縱深防御要想在當(dāng)今和未來(lái)行之有效,就需要行業(yè)改變觀念。原因如下。
如果你仔細(xì)分析一下最近大肆報(bào)道的黑客事件,它們的共同點(diǎn)就是,采用了不法分子或黑帽黑客開發(fā)的高度復(fù)雜的高級(jí)持續(xù)性威脅(APT),這些人擁有相應(yīng)的專長(zhǎng)、資金和時(shí)間,開發(fā)專門對(duì)付縱深防御模式采用的安全措施的工具。無(wú)論是國(guó)家撐腰的黑客,還是牟取不義之財(cái)?shù)姆缸锓肿樱粽咄耆私夤裟繕?biāo)的縱深防御功能,因而設(shè)計(jì)了規(guī)避的手法。
然而,開發(fā)和策劃這類泄密事件中使用的高級(jí)攻擊很復(fù)雜、很燒錢,這讓它們完全超出了絕大多數(shù)網(wǎng)絡(luò)犯罪分子的承受范圍。至于這些攻擊的潛在目標(biāo),許多小規(guī)模企業(yè)組織認(rèn)為自己很安全,因?yàn)樗鼈儧]有會(huì)吸引能力更強(qiáng)的黑客注意的那種類型的信息(信用卡數(shù)據(jù)和專有知識(shí)產(chǎn)權(quán))或知名度。
現(xiàn)在出現(xiàn)了什么新的變數(shù)?
如今,高級(jí)的網(wǎng)絡(luò)攻擊工具唾手可得,這歸功于大行其道的地下市場(chǎng)在兜售用戶登錄信息、工具包、僵尸網(wǎng)絡(luò)以及網(wǎng)絡(luò)犯罪分子可能需要的其他許多工具。開發(fā)這些工具的人員甚至向客戶提供服務(wù)級(jí)別協(xié)議(SLA),保證竊取而來(lái)的用戶登錄信息是有效、有用的,從而提高攻擊的成功幾率。此外,許多這些工具現(xiàn)在是自動(dòng)化,所以不太在行的網(wǎng)絡(luò)犯罪分子現(xiàn)在可以同時(shí)對(duì)某個(gè)目標(biāo)發(fā)動(dòng)高強(qiáng)度的高級(jí)攻擊。
這就導(dǎo)致了網(wǎng)絡(luò)攻擊數(shù)量大幅增長(zhǎng),以至于縱深防御模式跟不上步伐。這種模式最令人擔(dān)憂的薄弱環(huán)節(jié)是在滲入點(diǎn)(point of infiltration)。如今的網(wǎng)絡(luò)每天都在記錄數(shù)百萬(wàn)個(gè)事件,所以安全團(tuán)隊(duì)幾乎不可能識(shí)別、分析以及根據(jù)需要來(lái)響應(yīng)實(shí)際威脅。即便安全團(tuán)隊(duì)阻止得了企圖攻破網(wǎng)絡(luò)邊界的1000次攻擊中的999次,但得逞的那一次攻擊足以帶來(lái)嚴(yán)重的問題。
別放棄網(wǎng)絡(luò)邊界
攻擊的絕對(duì)數(shù)量之大已促使一些安全團(tuán)隊(duì)完全放棄了阻止攻擊滲入網(wǎng)絡(luò)邊緣這一想法。在他們看來(lái),更好的辦法就是,在攻擊危及網(wǎng)絡(luò)邊界之后,專注于檢測(cè)并消除攻擊。這只會(huì)招致災(zāi)難。安全團(tuán)隊(duì)幾乎不可能隨時(shí)了解攻擊者用來(lái)突破網(wǎng)絡(luò)邊界所使用的最新工具。
此外,如果放棄了預(yù)防,就需要龐大的安全團(tuán)隊(duì)才能檢測(cè)并消除涌向網(wǎng)絡(luò)的所有APT和惡意軟件,而大多數(shù)公司沒有相應(yīng)的財(cái)力,也缺乏合格的安全專業(yè)人員處理得了這么大的工作量。所以,盡管包括預(yù)防的縱深防御模式仍是保護(hù)網(wǎng)絡(luò)的最佳方法,要想有一線生機(jī),就需要安全行業(yè)轉(zhuǎn)變觀念。
零信任+自動(dòng)化安全=未來(lái)的出路
如果說(shuō)縱深防御模式想要在將來(lái)行之有效,網(wǎng)絡(luò)安全技術(shù)廠商需要在阻止攻擊方面做得更好。為此,最好的辦法就是采取零信任安全策略,并且實(shí)現(xiàn)安全流程自動(dòng)化。零信任網(wǎng)絡(luò)安全使用應(yīng)用程序、數(shù)據(jù)和用戶信息,制定策略,規(guī)范數(shù)據(jù)如何進(jìn)入網(wǎng)絡(luò)、如何在網(wǎng)絡(luò)上移動(dòng),而不是依賴基于端口和協(xié)議的安全策略。安全自動(dòng)化需要整合最新的威脅信息以及ATP安全平臺(tái),這種平臺(tái)可檢查所有的網(wǎng)絡(luò)流量,根據(jù)應(yīng)用程序、用戶和數(shù)據(jù),運(yùn)用策略。通過(guò)結(jié)合零信任政策和阻止絕大多數(shù)攻擊的自動(dòng)化安全策略,安全信息和事件管理(SIEM)技術(shù)或網(wǎng)絡(luò)安全專業(yè)人員就有時(shí)間來(lái)主動(dòng)尋找確實(shí)設(shè)法滲透進(jìn)來(lái)的少數(shù)攻擊。
縱深防御模式要想保持其重要性,唯一的辦法就是與時(shí)俱進(jìn),為此要采取自動(dòng)化安全和零信任模式。只有那樣,安全團(tuán)隊(duì)才能在不斷變化的網(wǎng)絡(luò)安全領(lǐng)域提高工作成效。
原文標(biāo)題:Does Defense In Depth Still Work Against Today’s Cyber Threats? 作者:Frank Mong
京公網(wǎng)安備 11010502049343號(hào)