“預(yù)防”和“檢測”的時(shí)代——當(dāng)時(shí)的重點(diǎn)是將攻擊者拒之門外，或是在他們成功入侵后迅速找到他們——已經(jīng)結(jié)束了!但這并不是說企業(yè)應(yīng)該停止他們的預(yù)防和檢測策略;只是最好是采取“三管齊下”的安全措施，其中也包括遏制措施。

 

網(wǎng)絡(luò)安全公司Illumio的首席產(chǎn)品官M(fèi)ario Espinoza指出，如今的黑客入侵是不可避免的，但當(dāng)攻擊者可以自由訪問關(guān)鍵的基礎(chǔ)設(shè)施、數(shù)據(jù)和資產(chǎn)時(shí)，它們的破壞性最大。

 

向“遏制”時(shí)代的演進(jìn)，意味著通過主動阻止漏洞的擴(kuò)散來最大限度地降低漏洞帶來的影響。這就是零信任分段的概念，在零信任模型中，分段是降低風(fēng)險(xiǎn)的關(guān)鍵因素。通過身份分段，可以抑制大部分入侵的橫向移動。企業(yè)需要將用戶帳戶(員工、承包商、遠(yuǎn)程工作人員，甚至特權(quán)用戶)和端點(diǎn)都分為微分段。所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源：筆記本電腦、臺式機(jī)、物理服務(wù)器、虛擬機(jī)等實(shí)體，都被視為資源。所有這些端點(diǎn)都與用戶(人員賬戶或服務(wù)賬戶)相關(guān)聯(lián)。

 

Espinoza解釋稱，“造成最大損害的往往并非初始漏洞，而是攻擊者可以在不被發(fā)現(xiàn)的情況下在整個(gè)企業(yè)中橫向移動，從而導(dǎo)致業(yè)務(wù)中斷和數(shù)據(jù)泄露。零信任分段就是解決這一問題的有效方案。”

 

 

混合工作模式呈現(xiàn)出一種獨(dú)特的困境：它們幫助企業(yè)更加相聯(lián)的同時(shí)，也加劇了受到傷害的可能性。它們擴(kuò)大了攻擊面，從而為黑客提供了可乘之機(jī)。

 

例如，僅在過去兩年——在疫情大流行期間，人們爭相采用混合工作模式——76%的企業(yè)遭受過勒索軟件攻擊。

 

而且，對企業(yè)來說，針對混合工作環(huán)境的攻擊往往更昂貴：它們的成本大約比全球平均水平高出60萬美元。但是，盡管企業(yè)報(bào)告稱，近一半的遠(yuǎn)程員工必須使用VPN，但66%的企業(yè)表示，他們在VPN上的用戶與在辦公室的用戶具有相同的可見性。

 

ESG首席分析師Dave Gruber表示，“勒索軟件和其他網(wǎng)絡(luò)攻擊通常涉及攻擊鏈中某個(gè)位置的終端用戶設(shè)備，然后橫向移動至其他更高價(jià)值的資產(chǎn)。”

 

但是，預(yù)防、檢測和響應(yīng)機(jī)制在阻止快速移動的攻擊方面可能還不夠。網(wǎng)絡(luò)犯罪分子仍在繼續(xù)尋找進(jìn)入的方法，并迅速橫向移動。Gruber表示，跨終端設(shè)備的零信任分段等遏制策略可以主動阻止勒索軟件和其他快速移動攻擊擴(kuò)散到關(guān)鍵基礎(chǔ)設(shè)施和資產(chǎn)，從而降低風(fēng)險(xiǎn)。

 

 

零信任分段隔離了跨云、數(shù)據(jù)中心和端點(diǎn)的工作負(fù)載和設(shè)備。

 

Illumio和Bishop Fox模擬的一系列網(wǎng)絡(luò)攻擊發(fā)現(xiàn)，零信任分段可以在10分鐘內(nèi)終止攻擊——比單一的端點(diǎn)檢測和響應(yīng)(EDR)快了近4倍。利用零信任分段的企業(yè)擁有高效攻擊響應(yīng)流程的可能性是其他企業(yè)的2.7倍，每年可以節(jié)省2010萬美元的停機(jī)成本。

 

Espinoza指出，EDR工具必須檢測到漏洞才有效;而由于企業(yè)正處于網(wǎng)絡(luò)攻防的“貓鼠游戲”中，它們必須不斷提高這種檢測能力，以保持領(lǐng)先地位。這就是為什么對企業(yè)來說，不僅要努力預(yù)防和發(fā)現(xiàn)漏洞，還要建立抵御網(wǎng)絡(luò)攻擊的能力。只有這樣，一個(gè)小的漏洞才不至于中斷業(yè)務(wù)運(yùn)營或影響關(guān)鍵數(shù)據(jù)。

 

 

Espinoza稱，毫無疑問，企業(yè)在不斷創(chuàng)新，但黑客也同樣在加速演進(jìn)，開發(fā)更復(fù)雜的攻擊模式。而且，大多數(shù)網(wǎng)絡(luò)攻擊都是“機(jī)會主義的”。

 

Espinoza解釋稱，“雖然組織機(jī)構(gòu)必須在100%的時(shí)間內(nèi)都是正確的，以防止入侵，但攻擊者只需要一次‘幸運(yùn)’的嘗試就可以滲透到網(wǎng)絡(luò)中。隨著攻擊面比以往任何時(shí)候都更廣，入侵變得越來越頻繁和嚴(yán)重也就不足為奇了。”

 

為此，企業(yè)必須轉(zhuǎn)變思維方式，必須了解自己環(huán)境中的工作負(fù)載、設(shè)備和應(yīng)用程序，以及如何通信，以確定最大的漏洞。這使企業(yè)能夠全面了解其網(wǎng)絡(luò)風(fēng)險(xiǎn)，并優(yōu)先考慮將產(chǎn)生最大影響的安全方法。

 

Espinoza稱，“如今，越來越多的企業(yè)領(lǐng)導(dǎo)者已經(jīng)認(rèn)清網(wǎng)絡(luò)入侵不可避免的現(xiàn)實(shí)，盡管有強(qiáng)大的預(yù)防、檢測和響應(yīng)工具很重要，但這些措施遠(yuǎn)遠(yuǎn)不足以阻止網(wǎng)絡(luò)中橫向移動且不被發(fā)現(xiàn)的攻擊者。”

 

 

零信任分段工具使用分段來防止惡意行為者在初始入侵后深入到企業(yè)的網(wǎng)絡(luò)中。如此一來，安全團(tuán)隊(duì)就可以大大增加“首個(gè)被入侵的筆記本電腦也是最后一個(gè)”的可能性。

 

提供終端之間以及網(wǎng)絡(luò)其他部分如何通信的可見性，使安全團(tuán)隊(duì)能夠看到風(fēng)險(xiǎn)，優(yōu)先保護(hù)最脆弱的區(qū)域，并更快地對事件做出反應(yīng)。這意味著企業(yè)可以在混合工作時(shí)建立抵御網(wǎng)絡(luò)威脅的能力，這樣一來，一個(gè)小的漏洞就不至于蔓延成一場大災(zāi)難。

 

不過，Espinoza強(qiáng)調(diào)稱，安全歸根結(jié)底是一項(xiàng)需要通力合作的工作。員工必須了解自己的角色，了解社交工程攻擊和網(wǎng)絡(luò)釣魚郵件，匯報(bào)可疑活動，安裝最新的更新和補(bǔ)丁程序。安全不是可有可無的考慮事項(xiàng)，而必須是C級領(lǐng)導(dǎo)者的優(yōu)先事項(xiàng)。

 

 

國內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智（www.cioall.com）。同時(shí)運(yùn)營18個(gè)IT行業(yè)公眾號（微信搜索D1net即可關(guān)注）。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。