新一代網(wǎng)絡安全防護體系的五個關(guān)鍵特征
2022年08月12日
目前�����,網(wǎng)絡安全技術(shù)正面臨著一個轉(zhuǎn)折點,基于邊界的安全防護理論存在缺陷���,基于規(guī)則的威脅判別機制不再有效����,圍繞傳統(tǒng)技術(shù)構(gòu)建的安全工程也不再適用。新一代安全建設不能再像修“城墻”一樣���,專注于外部網(wǎng)絡攻擊和已知威脅的防護�����,而是需要一個基于大數(shù)據(jù)分析、人工智能模型的新型網(wǎng)絡安全體系�����,通過對人�����、行為和數(shù)據(jù)的持續(xù)關(guān)注���,持續(xù)��、實時的進行分析��,實現(xiàn)自適應的主動安全防護模式��。
在構(gòu)建新一代安全模型中��,企業(yè)應該重點關(guān)注以下五個重要特征:
零信任是指一種先進的網(wǎng)絡安全理念��,它從“假設違規(guī)”的原則出發(fā)��,采用“最小特權(quán)”的方式授予訪問權(quán)限���。零信任需要在訪問過程中持續(xù)性的進行身份憑證驗證(人員��、工作負載����、網(wǎng)絡��、數(shù)據(jù)和設備)���,以保證訪問的安全性��。如今��,許多組織越來越多地混合并分散在云�、本地和端點環(huán)境中���。這種網(wǎng)絡擴展導致了更多可以被黑客攻擊的漏洞�����,以及內(nèi)部數(shù)據(jù)的泄露幾率��。為了應對漏洞的增加��,需要更好的訪問控制�����,這就是采用零信任方法的主要目的和價值��。
企業(yè)應將零信任建設作為公司整體數(shù)字轉(zhuǎn)型戰(zhàn)略的一部分�����,CISO和其他高管應參與進轉(zhuǎn)向零信任的過程中���,這樣他們才能合理確認各項事務的優(yōu)先級。零信任遷移基本等同基礎設施轉(zhuǎn)型�,要實現(xiàn)整體化的安全,企業(yè)必須轉(zhuǎn)換安全管理的現(xiàn)有方式�����,并從思維方式轉(zhuǎn)變做起。
目前�,Web應用、API應用接口逐漸成為黑客入侵的主要入口��。數(shù)據(jù)顯示���,超八成網(wǎng)絡攻擊都是針對應用層面的漏洞展開的���,除了企業(yè)自研代碼本身的缺陷外,通過軟件供應鏈引入的缺陷也是攻擊者的新“寵兒”�。針對越發(fā)隱避、多變的攻擊手段�����,傳統(tǒng)基于流量特征分析的網(wǎng)絡安全防護設備已經(jīng)顯得“力不從心”���。因此�����,企業(yè)需要將安全防護能力“左移”到應用的開發(fā)階段�����,推動安全戰(zhàn)略從“傳統(tǒng)基于邊界防護的安全”向“面向應用現(xiàn)代化的內(nèi)生安全”模式轉(zhuǎn)變����。
在現(xiàn)代企業(yè)的網(wǎng)絡安全能力體系建設中,有一個不可或缺的環(huán)節(jié)就是通過實戰(zhàn)化的攻防演練活動對實際建設成果進行驗證�����。通過攻防演練能夠檢驗網(wǎng)絡安全體系建設的科學性和有效性�,發(fā)現(xiàn)工作中存在的問題,并針對演練中發(fā)現(xiàn)的問題和不足之處進行持續(xù)優(yōu)化�����,不斷提高安全保障能力�����。
在實戰(zhàn)化網(wǎng)絡安全攻防演練活動中��,紅隊是不可或缺的進攻性要素����,它主要是從攻擊者視角,模擬出未來可能出現(xiàn)的各種攻擊方式����。開展實戰(zhàn)化攻防演練的核心訴求是通過使用完整的黑客攻擊全生命周期技術(shù),從初始訪問到數(shù)據(jù)滲漏��,再到以類似APT的隱秘方式攻擊組織的人員��、流程和技術(shù)����,執(zhí)行高度有針對性的攻擊操作,從而進一步完善企業(yè)安全能力成熟度模型��。
企業(yè)整體防御能力的提升不能只依靠專業(yè)安全團隊��,而是需要面向企業(yè)的各類型員工��,全面提升網(wǎng)絡安全整體防護意識�,將每位員工都視為安全防護體系中的一份子。盡管開展網(wǎng)絡安全意識培訓的重要性已經(jīng)無需多言�����,但是很多企業(yè)在實踐中面臨兩難境地��,力度小了員工敷衍了事,而力度大了�����,又會遭到非IT崗位員工的抵觸�����,有時候還會起到反作用�����。因此�����,企業(yè)在組織開展網(wǎng)絡安全培訓時��,需要充分考慮全體員工的網(wǎng)絡意識水平現(xiàn)狀����,采取區(qū)別化的培訓模式�����,讓員工“印象深刻”同時又有參與的積極性,那樣才能抵御不斷發(fā)展的網(wǎng)絡安全挑戰(zhàn)�。
影子IT指的是未經(jīng)授權(quán)使用額外的IT資源,例如軟件����、硬件、云服務和工具��。這些額外的IT資源通常是由非IT或非安全人員安裝的����,因此面臨很大的風險。對影子IT開展檢測只是對其治理的一部分���。企業(yè)應該努力從根源上解決影子IT的問題�����。這包括加強部門之間的溝通�,特別是IT團隊和業(yè)務部門之間的溝通�����。如果企業(yè)員工需要一個能幫助其工作的應用軟件時�,他們應該及時與IT團隊分享相關(guān)信息�����。CISO和安全團隊應該制定能夠有效管理影子IT應用的流程����,并及時向非IT員工說明相關(guān)限制措施的理由和給出更好的替代方案��。
