仿佛每天你城市读到零日缝隙报复打击的内容,起死回生或另外一个新的的僵尸收集报复打击,针对企业终端的更具立异性的报复打击编制,有时乃至以上所有。这些报复打击乃至使得最强悍的收集安然专家欲哭无泪。
可是将你的头埋在沙里不往面对是没法解决标题问题标,并且也不克不及帮忙我们实现呵护公司信息资产的目标。我比来就收集安然标题问题和良多人进行了会商,最终意想到组织不再相信他们的终端。这要求我们从底子上以完全不合的编制来思虑收集安然标题问题。
我知道,抛却呵护终端这个不雅点摧毁了我们这些年所被教育的干事编制。那你们感觉深度防护安然模型如何样呢?分层安然保障系统又若何呢?假定将一个关头层从同化层里面分手出来,又会如何呢?好吧,让我从不合的角度来问这个标题问题吧。你此刻的终端呵护是如何为你工作的呢?是的,我也是如许觉得的。我体味到有些人没有编制抛却终端呵护,因为审计师仍然要求你们做笨拙的查抄清单和确保AV box查抄过了。所以总的来讲是如许的:你可能仍然不克不及不“呵护”你的终端,可是你并没有期看那些控件能真正起感化,避免终端传染。
要明白的是,分层安然保障系统仍然是一个好主张。假定你的终端即将有一个缺口,起码让报复打击者费一些力量才能攻破。关头是实现你呵护的根本举措措施能在你的分层安然系统内,因为你愈来愈不克不及节制终端了—出格是在此刻具有自带设备的世界。或许是一个承包商为体味救一个混乱的开辟项目而带来的小我笔记本电脑;或许是一个生意上的火伴拜候了你的系统;或许是你的董事会成员用他们的新ipads拜候了公司邮件。不管如何,你不克不及节制这些设备,并且不值得破钞精力往摆设设备然后实施得当的安然节制。
很等闲能预感终端会被报复打击的,即便不是此刻。那些烦人的用户一向点击告白,我们都知道那会造成如何的后果。然后呢,我们要做甚么?起首,让我们措置这些终端。我建议你觉得它已掉败了,要重塑它。今天的歹意软件是不会真实的被清理洁净的,乃至不要往测验测验清理它们。安装一个全新的把持系统吧。假定有杰出的备份过程,受传染的用户其实不会丢掉太多的数据。
因为我们假定终端是不成信的,所以我们需要在收集层呵护数据,这就是收集分段。我们需要良多的收集分段。你想要使你真正敏感的信息都躲在一个高墙之下,每个想要通太高墙拜候数据的人或设备都要求严格的身份验证,敏感收集的所有生意都获得监控和流量抓获。这些控件其实不是全能药,可是你可使他人很难拜候你的首要数据更难,泄漏它就更难了。
对不太首要的数据,你可以实施不太严格的节制。可能只是确保连接到你的收集的设备不布满歹意软件。并且你可以看这些收集连接设备做了甚么(经由过程看利用收集流量)来确保他们没有正在测验测验做一些蠢事,假定它们在窥伺,这可能暗示着是一个主动的报复打击者在试图做坏事。
对几年前肃除收集污垢的收集拜候节制(NAC)公司来讲,他们的手艺很是合用于措置不成信终端。在连接时你要评估每个终端,基于设备类型,安然态势,认证编制和其它各类政策触发器来决定甚么收集是他们可以连接的。
一个精明的报复打击者可以击败收集分段和收集拜候节制设备分派设备到特定收集分段的编制吗?当然可以,这就是为甚么监控你的敏感收集很首要。是的,这需要利用一个安然信息和事务治理(SIEM),系统不只是监控和阐发节制你首要数据的事务和设备建设,并且可能要对一些很是敏感的分段做完全的数据包捕获。为甚么?因为你想要确保当产生不测时,你有足够的数据来进行法令查询拜访。记住,你不成能完全消弭安然粉碎的风险。可是你可以给报复打击者加大年夜难度。