欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

理解网络安全领域的纵深防御策略

来源:本站整理 作者:佚名 时间:2019-09-02 TAG: 我要投稿


网络安全领域的发展速度太快,隔一段时间就会有一些流行语和技术术语冒出来。如果你有一段时间不关注该领域,则感觉已经跟不上时代了。“纵深防御”(Defence-in-Depth, DiD)就是这样一个技术术语。
那么为什么会出现这个术语呢?简单地说,DiD要求将安全性应用于多个层,其工作原理是为每个层提供不同类型的保护,以便为提供阻止攻击的最佳手段。这些层也可以防止不同的问题,全方位覆盖多个不同问题。
那么,我们如何使用该策略呢?简单地说,我们将不同的安全措施分组到不同的功能类别中并应用它们。这与传统的物理安全的实现方式或分组方式没有太大区别。
纵深防御的思路
事实上,任何负责任的安全专家都会告诉你,绝对没有办法100%保护你的IT网络免受所有可能的威胁。你唯一能做的就是弄清楚你愿意承受多大程度的风险,然后采取措施来应对其余的风险。
这样说吧,安全防御行为其实就是一种平衡行为,找到安全性和可用性之间的平衡点,是一项困难的任务。
这种复杂性可以通过使用来自单个供应商的一套产品来管理,但也有其自身的缺点。正如一篇文章所提到的观点:
一方面,如果你能够从中央控制台获得一套安全产品,并且能够在一次成功的操作中报告这些产品,那就太好了。但另一方面,采用单一供应商会有限制防御的风险。
最好的例子就是杀毒软件产品,不同的供应商可能能够识别大多数相同的病毒, 但处理的方法却大相径庭。而且,有时这些不同的产品会与正常的操作行为发生冲突。另一个考虑因素是,确实没有明确的规定要求你必须采取哪些措施来保护你的IT网络,因为具体的措施要施取决于你的组织规模、预算以及你尝试保护的数据的性质、你的组织可能会成为攻击目标的攻击类型以及你愿意接受的风险程度。
接下来,我将会讨论纵深防御的解决方案包括的不同层。
在网络世界里,一个机构可能遇到的攻击者大致可分为以下5类,每一类都有不同的攻击动机和能力:
1.脚本小子:以“黑客”自居并沾沾自喜的初学者。脚本小子不像真正的黑客那样发现系统漏洞,他们通常使用别人开发的程序来恶意破坏他人系统。他们常常从某些网站上复制脚本代码,然后到处粘贴,却并不一定明白他们的方法与原理。他们钦慕于黑客的能力与探索精神,但与黑客所不同的是,脚本小子通常只是对计算机系统有基础了解与爱好,但并不注重程序语言、算法、和数据结构的研究,
2.内部人士或雇员:有合法途径使用公司网络的人士他们往往是受金钱或报复驱使。
3.真正的黑客:他们注重程序语言、算法、和数据结构的研究。
4.有组织犯罪:他们会造成大量的电子邮件垃圾邮件并开发常见的恶意软件。
5.国家行为的攻击:通常是高度自律的组织,拥有进行复杂攻击所需的时间、资源和成本。
与政府合作或与重要国家基础设施相关的实体或公司的IT系统,往往会成为攻击目标。金融机构可能更有可能发现他们正面临有组织犯罪的袭击。了解威胁的来源可以帮助组织更有效地引导其资源并规划其安全性,在以下案例中,我会说明为什么研究人员不主张 “一刀切”的预防方法,这也是纵深防御策略之所以流行的原因。现在就让我们看一下构成纵深防御策略解决方案的一些不同部分。

边界防御
无论是物理安全还是网络安全,这都是最重要的原则之一。在现实世界中,这通常是通过门、栅栏和墙,甚至警卫来实现的,所有这些设计都是为了把不应该在这里的人挡在外面。在网络安全的世界里,边界防御原则也是这个道理,这通常是通过防火墙来实现的。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部。
不幸的是,防火墙往往不牢固,很容易犯错误,暴露你的整个网络。
另一种用于边界防御的常见解决方案是入侵检测系统或IDS,通常在已经受到防火墙保护的网络中使用。IDS不是阻止攻击,而是监控你的IT系统并标识任何看起来不正确的东西。从本质上讲,它是一个早期预警系统,一旦发现可疑的东西,就会在造成任何损害之前就采取行动。这可以通过观察整个网络来实现,也可以通过关注单个计算机来实现或者两者兼而有之。
乍一看,使用上述(防火墙和IDS)之一或两者都使用似乎是保证网络安全所需的惟一解决方案,但遗憾的是,实际情况并非如此。正如上面所提到的,错误地设置防火墙,调用错误的安全方法都可以让这些防护措施成为摆设。
监控
该方法就是依靠记录日志,IT网络中发生的任何操作都可以生成日志。因此记录的所有内容都可以生成大量数据,而这些数据则需要存储在某个位置,对于想要通览所有数据以找到特定内容的人来说,工作量似乎有些吓人。
虽说如此,记录日志还是非常有必要的。不过,你不需要把所有发生的事情都记录下来,但还多多益善,原因如下:
1.尽可能增加对攻击事件识别;
2.对攻击事件做出快速反应;
然而,如果你不对日志记录执行任何操作,那么保留日志数据就没有意义了。这就像在开会时让同事帮你做笔记一样,如果你不读笔记,你仍然不知道发生了什么。只要日志受到监控,它就非常有用,因为它可以告诉你很多关于网络上正在发生的事情。它们可以帮助你识别任何可疑行为、任何不能正常工作的行为,甚至是网络的哪些部分需要更严格的安全控制。当有人成功地攻击了你的网络,日志可以帮助你了解攻击的过程、原理,以及如何防止它再次发生。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载