适当进行网络区隔是对抗APT攻击最关键的措施。
对组织来说。适当的识别和分类正常流量和用户,可以更easy保护组织的关键数据。眼下。移动设备和BYOD政策趋势。加之企业网络内数据流动的规模大大添加,说明想要进行“正确”的网络区隔变得困难得多。
那么,有哪些标准能够用来识别和分类网络?
网络上有什么数据?
公司网络的不同部分应该仅仅存取日常运作所需的数据,此外也有些企业数据可能要限制仅仅有特定员工能够存取。在这方面的需求可能非常复杂且互相矛盾,但某种程度的网络区隔对于降低APT攻击风险来说是必要的。
使用什么设备存取网络?
在当今的移动办公环境下。存取网络的设备数量大大添加,管理者对于公司拥有的设备属于“已知”状态。可进行远程管理,但其它设备就“未知”且无法管理了,能做的就是将非IT控管的设备放入受限制的企业网络区段,这样,设备所潜在的不论什么安全风险都能够较快的隔离。
谁连到网络?
并不是全部连到网络的用户都须要存取同样的东西,不同的角色须要存取企业网络的不同部分;入侵事件假设发生在低权限网络区段,仅仅有在业务须要时才有机会存取到较高权限的网络区段。
网络区隔的长处
适当的区隔网络在很多方面上可帮助抵御APT攻击。网络区隔使得组织内部横向移动更加困难,可能须要入侵很多其它计算机或取得很多其它认证凭据,网络区隔属于深度防御战略的一部分,添加攻击者想要成功入侵组织所要花费的努力。
防止第三方攻击
针对第三方攻击,适当的网络区隔将限制他们仅仅能存取厂商所需的IT网络。不论什么通过这些厂商进行的入侵活动。假设想进一步存取企业网络的其它部分时都会遇到很多其它阻碍。大型组织须要与它的厂商一同合作以降低来自这些厂商网络的潜在风险。
防止内部攻击
内部攻击已存在组织内。对于组织应对攻击的方式及组织有价值的数据等都有所了解,然而,并不是全部的内部人士都能够存取全部公司机密,内部攻击仅仅有有限的目标、资源或能力。
在这样的情况下。内部网络区隔有助于防止内贼存取网络的其他部分。
结论
网络和用户区隔对防护大型组织的网络来说是必要的步骤。只是。它必须是属于评估组织面临威胁综合作法的一部分。下面是让组织開始进行风险评估的合理作法:
l 确认须要保护的资产、数据,你的安全基础设施对它们具备哪些控制措施和能见度。
l 要确认有哪些网络服务在使用中,并且是否有适当的控管。
l 确定资产、数据怎样被存取以及它们怎样储存。
l 利用现有的安全控制识别过去和当前的威胁以建立当前威胁活动的基准点。一旦建立,就接着识别产业界对类似你所持有资产所示威胁。
l 评等这些威胁,进而分配对应的风险等级。在设计网络及其它防御措施时要考虑到这些威胁跟风险等级。
通过这些步骤。组织就能对其所面临的风险有进一步的理解,也能够知道怎样用有效且经济的方式来抵御这些威胁,以确保他们的组织能够得到充分的保护。