定义保护范围以大幅缩小攻击范围

Oct 05, 2018
1 minutes
... views

在网络安全方面,有一件大家都会关注的事情,就是定义想要保护的对象。我们的共识是需要防御攻击,而攻击都有自己的目标。那么这个目标是什么?

多年来,我们一直在努力缩小攻击范围,但遗憾的是,攻击范围却像宇宙一样不断扩大。每一项新技术的诞生都会带来一系列新问题和漏洞。最值得注意的是,物联网的产生使得攻击范围大幅增加。最新发现的漏洞(例如攻击芯片底层的 Spectre 和 Meltdown)几乎导致所有现代计算系统都沦为攻击范围的一部分。

ZeroTrustImage

在零信任方法中,我们不关注宏观层面的攻击范围,而是关注于确定我们需要保护的对象:最大程度缩小攻击范围或保护范围。通常,零信任网络至少基于下列四项(可按首字母缩略词 DAAS 记忆)之一来定义保护范围:

  • 数据 (Data):需要保护哪些数据?
  • 应用 (Applications):哪些应用使用敏感信息?
  • 资产 (Assets):哪些资产最敏感?
  • 服务 (Services):可以利用哪些服务(例如 DNS、DHCP 和 Active Directory)来打破正常 IT 运营秩序?

保护范围具备的优势在于它不仅总是可知,而且总是远远小于整体的攻击范围。现在您可能不知道如何确定保护范围,但一定能够找出答案。大多数组织都无法定义攻击范围,因此尝试进行渗透的攻击者总会取得成功。用于侵入组织庞大的保护边界的方法无穷无尽。正因如此,基于大型边界的安全防护手段已经证实无法成功。旧的防御模型将安全控制(如防火墙和入侵防护技术)用在了远离保护范围的外围边界中。

在零信任方法中,通过定义保护范围,我们可以将控制措施尽可能地靠近保护范围以定义微边界。利用我们的新一代技术作为分段网关,我们可以在第 7 层策略中对网络进行分段,并精确控制进出微边界的流量。实际上需要访问环境中敏感数据或资产的用户和资源数量非常有限。通过创建有限、精确和可理解的策略声明,我们就可以限制攻击者成功执行网络攻击的能力。 


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.