唯邊界網(wǎng)絡(luò)防御，無(wú)法抵御今日威脅。

[[206497]]

涉及網(wǎng)絡(luò)安全，內(nèi)部與外部之間已不存在界限，可防御的邊界這種概念已經(jīng)過(guò)時(shí)。

邊界地位曾經(jīng)尊崇如王：保住邊界，你的資產(chǎn)就守住了。建立防火墻，用深度包檢測(cè)(DPI)加固之，設(shè)置入侵預(yù)防和檢測(cè)系統(tǒng)，然后你就可放松了。雖然邊界安全依然需要，層次化的防御也是應(yīng)對(duì)新攻擊方法的必須。

世界上最堅(jiān)固的邊界，已經(jīng)被云服務(wù)、內(nèi)部人威脅和BYOD這種模糊了業(yè)務(wù)與個(gè)人生活的方式所滲透。邊界提供的安全感，等同于對(duì)不再適應(yīng)需求的防御系統(tǒng)那危險(xiǎn)的過(guò)度自信;就好像依賴護(hù)城河來(lái)防御空襲一樣。

了解自身阿喀琉斯之踵

今日的互聯(lián)世界，漏洞是多維度的，意味著你的防御系統(tǒng)也必須是多維度的。對(duì)某一領(lǐng)域的過(guò)度投資，會(huì)導(dǎo)致其他方面的投入不足。

各種云服務(wù)讓邊界難以定義，更別說(shuō)保護(hù)它的安全了。如果數(shù)據(jù)被存儲(chǔ)在云端，你真的知道邊界在哪兒?jiǎn)?你的托管提供商到底把數(shù)據(jù)放在哪里呢?他們對(duì)數(shù)據(jù)設(shè)置了什么安全控制措施呢?

然后，內(nèi)部人員威脅問(wèn)題，無(wú)論是無(wú)意內(nèi)部人還是惡意內(nèi)部人。從定義上，此類威脅就已經(jīng)突破了邊界，所以邊界強(qiáng)度也就無(wú)關(guān)緊要了。內(nèi)部人可以訪問(wèn)公司網(wǎng)絡(luò)：即便只是低級(jí)權(quán)限或來(lái)賓權(quán)限，他們都已身處公司網(wǎng)絡(luò)之中。

BYOD，無(wú)論是偷偷帶進(jìn)來(lái)的還是本來(lái)就有此策略，都往工作場(chǎng)所里引入了大量的潛在滲入者。帶進(jìn)公司并隨意連接公司數(shù)據(jù)的個(gè)人設(shè)備，為攻擊者提供了便利的滲入滲出路徑。

配置邊界設(shè)備，比如防火墻、VPN和訪問(wèn)控制列表(ACL)，可能確實(shí)是挫敗某些攻擊所需，但不應(yīng)只關(guān)注這些領(lǐng)域。

誰(shuí)都不信任

按需知密，是最古老最基本的安全原則。網(wǎng)絡(luò)空間里，人們需要類似的原則，來(lái)將網(wǎng)絡(luò)訪問(wèn)權(quán)限制在完成工作所需的最小權(quán)限。

通過(guò)對(duì)所有嘗試訪問(wèn)網(wǎng)絡(luò)或網(wǎng)絡(luò)資源的終端要求身份驗(yàn)證，并在使用后關(guān)閉會(huì)話以防止非授權(quán)訪問(wèn)，最少權(quán)限原則(POLP)可提升企業(yè)內(nèi)部安全性。

在選擇VPN提供商和云托管商之類的服務(wù)時(shí)，盡職調(diào)查是十分關(guān)鍵的。你會(huì)想要盡一切可能確保在邊界外托管的數(shù)據(jù)是受到保護(hù)的，無(wú)論是在傳輸中還是靜靜存儲(chǔ)其上時(shí)。

對(duì)員工進(jìn)行背景核查，是另一個(gè)有價(jià)值的防御措施——當(dāng)敵人很可能已經(jīng)潛入的時(shí)候。

5個(gè)問(wèn)題考驗(yàn)防御系統(tǒng)的強(qiáng)度

圍著企業(yè)豎起一道堅(jiān)固的圍墻或許不太可能，但你可以拷問(wèn)已有防御系統(tǒng)的強(qiáng)度：

• 評(píng)估用于云服務(wù)的策略以確保盡可能安全;
• 弄清自身數(shù)據(jù)的確切物理存儲(chǔ)地和所應(yīng)用的安全控制措施;
• 定義企業(yè)內(nèi)數(shù)據(jù)訪問(wèn)等級(jí)，以及對(duì)特定數(shù)據(jù)類型的訪問(wèn)級(jí)別;
• 評(píng)估對(duì)BYOD的態(tài)度，確保雇員都接受過(guò)網(wǎng)絡(luò)安全培訓(xùn);
• 確保理解企業(yè)內(nèi)使用了哪些影子IT服務(wù)。