纵深防御一词本身来源于军事领域,是指在战争过程中利用地缘优势,设置多道军事防线。一般多用于弱方的战略撤退,以空间换时间。然而,这并不是网络安全深度防御的理念和运作方式。在网络安全领域,纵深防御代表了一种更加系统化、主动化的防护策略。需要合理利用各种安全技术的能力和特点,构建多模式、多层次、功能互补的安全防护能力体系。满足企业安全工作对深度、均衡、反漏洞等方面的各种需求。目前,纵深防御已成为现代企业网络安全建设的基本原则之一。纵深防御的价值网络安全纵深防御的目的是假设攻击者有能力击败或绕过一些单点防御,因此必须通过其他工具以积极的方式协同工作来弥补。纵深防御有时也被称为城堡法:它就像欧洲中世纪的城堡。通过护城河和城墙构建出多层防护模式,攻城者必须全部突破才能进入城堡。纵深防御很重要,因为传统的网络边界防御模型现在越来越无效。由于随时随地工作和云计算技术的广泛应用,企业组织的网络边界越来越模糊。但这并不意味着组织在实施纵深防御策略后应该放弃防火墙和其他外围防御。虽然防火墙与任何其他单点安全措施一样,几乎总能被技术娴熟、目标明确的攻击者攻破,但它们是不可或缺的,对网络资产进行必要的防御是纵深防御的基本要求,即使条件允许,企业应备份重要的单点防御工具,实现容量冗余。纵深防御在很多方面都符合零信任安全理念。零信任架构认为,网络上的任何用户或设备都应该不断受到质疑和监控,以确保访问行为的真实性和可靠性。这个概念需要纵深防御基础设施的支持和保护。重要的一点是组织现有的安全工具和策略可以有效地管理和控制所有设备和应用程序。纵深防御的构建很多人会简单地将纵深防御理解为分层安全(Layeredsecurity),因为它们有很多相似点和联系。纵深防御基础设施需要针对攻击的分层安全功能,但这并不是纵深防御的全部。纵深防御不仅仅是一个技术问题,还需要确定组织将如何应对随时可能出现的攻击,以及事件的报告和追溯机制。纵深防御不仅需要技术层面的多层次安全工具,还需要一套相应的安全管理理念和策略。网络安全纵深防御的构建要素可分为行政管控、物理管控和技术管控三类。这些类型的控制中的每一种都很重要。行政控制是用于创建安全环境的宏观组织策略。这包括有关如何选择和部署信息安全工具的政策、安全使用数据的流程以及管理来自第三方供应商的系统性风险的框架。经常被忽视的是,物理控制主要是关于组织计算设备和应用程序的环境安全,包括访问控制系统、钥匙卡、不间断电源、办公室和数据中心监控以及安全人员。一些使用社会工程技巧的攻击往往是通过最简单的手段实现的。技术控制主要包括多层安全防护技术工具,对硬件、软件和网络进行保护。有效的网络安全纵深防御通常需要包括以下几个方面:1.网络保护虽然企业的网络边界正在消失,但是纵深防御策略永远不能忽视边界。纵深防御策略应首先从试图阻止网络边缘攻击的防火墙或IDS开始。入侵防御系统和其他网络监控工具可以扫描网络上的流量以寻找防火墙被破坏的证据,然后自动响应或请求人工协助。VPN等工具允许用户更安全地连接并验证用户身份。2.恶意软件防护如果网络遭到破坏,纵深防御体系结构需要包括可以扫描基础设施以查找恶意软件的工具。这些工具通过将恶意软件签名与数据库进行比较来匹配文件,或者使用启发式方法来发现可疑模式。3.异常行为分析这里的行为既包括人类用户的行为,也包括自动化过程中的应用行为。通过对企业的正常访问行为设置一个参考基准,可以判断访问行为是否异常,并对异常行为进行标记,以便进一步排查。如果有人突然访问他们通常不会访问的数据,或者将大量加密信息发送到不知名的主机,则可能是出现问题的迹象。4.数据完整性分析保护数据资产的完整性和安全性是纵深防御系统的重要目标。企业需要随时了解文件是否被篡改、复制或泄露?入站文件是否与网络上的文件同名,但内容不同?文件是否关联了神秘或可疑的IP地址?如果文件被勒索软件损坏或加密,是否有备份?这些都是通过纵深防御实现的。纵深防御建设实践从理论上讲,构建纵深防御系统,增加防御层数和防御能力,将显着增加企业IT系统被入侵的难度,从而保证应用和数据资产的安全。纵深防御策略中会设置多种措施来应对非法攻击者的入侵。在政策和流程方面,企业组织需要定期组织钓鱼模拟、实战攻防演练等活动,让员工保持警惕,不被攻击者的社会工程伎俩所蒙蔽。同时,应定期推出安全补丁,以确保组织系统关闭被攻击者恶意软件利用的漏洞。在技??术层面上,安装后门的特洛伊木马可能会被组织的电子邮件系统检测到,或者后门本身可能会被反恶意软件工具检测到。如果攻击者获得了对组织网络的访问权限,行为分析工具可以在看到主机之间的横向移动或检测到当前数据泄露时立即向安全运营中心发出警报。组织的数据库可以使用采用最小权限原则的安全身份验证工具来保护,这意味着攻击者更难批量访问组织最有价值的业务数据。纵深防御战略实际上是一项艰巨的任务,而不是简单的交钥匙工程。它代表了一个整体的安全概念,需要一个持续的操作系统来支持它。组织机构在开展纵深防御建设时可参考以下环节:做好攻击面管理。确定组织当前采用的保护措施并测试其工作的有效性。网络边界一体化。随着零信任概念的逐渐普及,需要更完善的访问控制机制来对每次访问进行身份验证和权限划分。网络边界融合应综合考虑边界类型、业务影响、网络改造难度、安全建设投入、企业管理模式、监管要求等因素,实现安全能力重点覆盖。系统的能力建设。网络和业务架构在不断变化,网络安全策略必须相应地进行调整。从系统防御的角度,确定组织在网络系统的每一层需要什么样的防护措施。这些安全措施通过自动化编排整合,实现安全联防联控。加强网络安全管理和运行。纵深防御系统需要实现业务层和管理层的分离,充分保证管理和日常运营策略的可用性。为取得更好的防御效果,加强安全运营和安全审计必不可少。需要认清系统组件之间存在的安全漏洞和薄弱环节,有针对性地采取措施。
