就网络安全而言,我们现在生活在“遏制/控制”的时代。“预防”和“检测”的时代——当时的重点是将攻击者拒之门外,或者在他们成功入侵后迅速找到他们——已经结束了!但这并不是说企业应该停止他们的预防和检测策略。只是最好有一个“三管齐下”的安全方法,其中还包括遏制。网络安全公司Illumio的首席产品官MarioEspinoza指出,今天的黑客攻击是不可避免的,但当攻击者可以自由访问关键基础设施、数据和资产时,它们的破坏性最大。向“遏制”时代的演变意味着通过主动防止漏洞传播来最大限度地减少漏洞的影响。这就是零信任细分的概念,其中细分是降低零信任模型风险的关键因素。通过身份分割,可以抑制大多数入侵的横向移动。企业需要对用户帐户(员工、承包商、远程工作人员,甚至特权用户)和端点进行微分段。所有数据源和计算服务都被视为资源:笔记本电脑、台式机、物理服务器、虚拟机和其他实体都被视为资源。所有这些端点都与用户(个人帐户或服务帐户)相关联。Espinoza解释说:“通常造成最大损害的不是最初的违规行为,而是攻击者在不被发现的情况下横向移动整个企业的能力,从而导致业务中断和数据泄露。零信任分割是解决方案的有效解决方案。”混合工作,更大的攻击面混合工作模式带来了一个独特的困境:虽然它们帮助企业变得更紧密,但它们也增加了被破坏的可能性。它们增加了攻击面,为黑客提供了利用的机会。例如,仅在过去两年中——在大流行期间急于采用混合工作模式的情况下——76%的企业都经历过勒索软件攻击。而且,针对混合工作环境的攻击对企业来说往往成本更高:它们的成本比全球平均水平高出约600,000美元。但是,虽然企业报告近一半的远程工作人员必须使用VPN,但66%的企业表示他们在VPN上的用户与在办公室的用户具有相同的可见性。ESG首席分析师DaveGruber表示,“勒索软件和其他网络攻击通常涉及攻击链中某处的最终用户设备,然后横向移动到其他更高价值的资产。”然而,预防、检测和响应机制在防止快速移动的攻击方面可能还不够。网络犯罪分子继续想方设法快速进入和横向移动。Gruber说,跨端点设备的零信任分段等遏制策略可以主动阻止勒索软件和其他快速移动的攻击传播到关键基础设施和资产,从而降低风险。零信任分段:增强功能零信任分段可跨云、数据中心和端点隔离工作负载和设备。Illumio和BishopFox模拟的一系列网络攻击发现,零信任分段可以在10分钟内终止攻击——比单一端点检测和响应(EDR)快近4倍。利用零信任分段的组织拥有高效攻击响应流程的可能性是其2.7倍,每年可节省2010万美元的停机成本。Espinoza指出,EDR工具必须检测漏洞才能有效;而企业处于网络攻防的“猫鼠游戏”中,必须不断提升检测能力,才能保持领先。这就是为什么企业不仅要努力预防和发现漏洞,还要建立抵御网络攻击的能力。只有这样,一个小漏洞才不会中断业务运营或影响关键数据。小漏洞不再是灾难埃斯皮诺萨表示,毫无疑问,企业在不断创新,但黑客也在加速进化,开发出更复杂的攻击模式。此外,大多数网络攻击都是“机会主义的”。Espinoza解释说,“虽然组织必须在100%的时间里正确地防止入侵,但攻击者只需要一次‘幸运的’尝试就可以渗透到网络中。由于攻击面比以往任何时候都大,入侵变得越来越频繁和严重也就不足为奇了。”为此,组织必须改变他们的思维方式,必须了解他们环境中的工作负载、设备和应用程序以及他们如何通信以确定最大的漏洞。这使组织能够全面了解其网络风险,并优先考虑将产生最大影响的安全方法。“如今,越来越多的企业领导者认识到网络入侵是不可避免的,虽然拥有强大的预防、检测和响应工具很重要,但这些措施远??远不足以防止横向移动和攻击者不被发现。”零信任分段优先考虑弱点零信任分段工具使用分段来防止恶意行为者在初始入侵后更深入地进入组织的网络。这样,安全团队可以大大增加第一台被破坏的笔记本电脑也将是最后一台的可能性。提供可见性了解端点之间如何与网络的其余部分通信,使安全团队能够看到风险,优先保护最脆弱的区域,并更快地响应事件。这意味着企业可以在混合工作时建立抵御网络威胁的弹性,这样一个小漏洞就不会演变成一场灾难。然而,Espinoza强调意识到安全最终是一项协作工作。员工必须了解自己的角色,注意社交工程攻击和网络钓鱼电子邮件,报告可疑活动,并安装最新的更新和补丁。安全不是可有可无的考虑因素,但必须是C级领导者的优先事项。
