似乎每天你都會(huì)讀到零日漏洞攻擊的內(nèi)容，死而復(fù)生或另一個(gè)新的的僵尸網(wǎng)絡(luò)攻擊，針對(duì)企業(yè)終端的更具創(chuàng)新性的攻擊方式，有時(shí)甚至以上所有。這些攻擊甚至使得最強(qiáng)悍的網(wǎng)絡(luò)安全專(zhuān)家欲哭無(wú)淚。

但是將你的頭埋在沙里不去面對(duì)是無(wú)法解決問(wèn)題的，而且也不能幫助我們實(shí)現(xiàn)保護(hù)公司信息資產(chǎn)的目的。我最近就網(wǎng)絡(luò)安全問(wèn)題和很多人進(jìn)行了討論，最終意識(shí)到組織不再相信他們的終端。這要求我們從根本上以完全不同的方式來(lái)思考網(wǎng)絡(luò)安全問(wèn)題。

我知道，放棄保護(hù)終端這個(gè)觀點(diǎn)摧毀了我們這些年所被教導(dǎo)的做事方法。那你們覺(jué)得深度防護(hù)安全模型怎么樣呢?分層安全保障體系又如何呢?如果將一個(gè)關(guān)鍵層從混合層里面分離出來(lái)，又會(huì)怎樣呢?好吧，讓我從不同的角度來(lái)問(wèn)這個(gè)問(wèn)題吧。你現(xiàn)在的終端保護(hù)是怎樣為你工作的呢?是的，我也是這樣認(rèn)為的。我了解到有些人沒(méi)有辦法放棄終端保護(hù)，因?yàn)閷徲?jì)師仍然要求你們做愚蠢的檢查清單和確保AV box檢查過(guò)了。所以總的來(lái)說(shuō)是這樣的：你可能依然不得不“保護(hù)”你的終端，但是你并沒(méi)有期望那些控件能真正起作用，防止終端感染。

要明確的是，分層安全保障體系仍然是一個(gè)好主意。如果你的終端即將有一個(gè)缺口，至少讓攻擊者費(fèi)一些力氣才能攻破。關(guān)鍵是實(shí)現(xiàn)你保護(hù)的基礎(chǔ)設(shè)施能在你的分層安全體系內(nèi)，因?yàn)槟阍絹?lái)越不能控制終端了—特別是在如今擁有自帶設(shè)備的世界?；蛟S是一個(gè)承包商為了解救一個(gè)混亂的開(kāi)發(fā)項(xiàng)目而帶來(lái)的個(gè)人筆記本電腦;或許是一個(gè)生意上的伙伴訪問(wèn)了你的系統(tǒng);或許是你的董事會(huì)成員用他們的新ipads訪問(wèn)了公司郵件。不管怎樣，你不能控制這些設(shè)備，而且不值得花費(fèi)精力去部署設(shè)備然后實(shí)施恰當(dāng)?shù)陌踩刂啤?/p>

很容易能預(yù)見(jiàn)終端會(huì)被攻擊的，即使不是現(xiàn)在。那些煩人的用戶(hù)一直點(diǎn)擊廣告，我們都知道那會(huì)造成怎樣的后果。然后呢，我們要做什么?首先，讓我們處理這些終端。我建議你認(rèn)為它已經(jīng)失敗了，要重塑它。今天的惡意軟件是不會(huì)真正的被清理干凈的，甚至不要去嘗試清理它們。安裝一個(gè)全新的操作系統(tǒng)吧。如果有良好的備份過(guò)程，受感染的用戶(hù)并不會(huì)丟失太多的數(shù)據(jù)。

因?yàn)槲覀兗俣ńK端是不可信的，所以我們需要在網(wǎng)絡(luò)層保護(hù)數(shù)據(jù)，這就是網(wǎng)絡(luò)分段。我們需要很多的網(wǎng)絡(luò)分段。你想要使你真正敏感的信息都躲在一個(gè)高墻之下，每個(gè)想要通過(guò)高墻訪問(wèn)數(shù)據(jù)的人或設(shè)備都要求嚴(yán)格的身份驗(yàn)證，敏感網(wǎng)絡(luò)的所有交易都得到監(jiān)控和流量抓獲。這些控件并不是萬(wàn)能藥，但是你可以使別人很難訪問(wèn)你的重要數(shù)據(jù)更難，泄露它就更難了。

對(duì)于不太重要的數(shù)據(jù)，你可以實(shí)施不太嚴(yán)格的控制?？赡苤皇谴_保連接到你的網(wǎng)絡(luò)的設(shè)備不充滿惡意軟件。而且你可以看這些網(wǎng)絡(luò)連接設(shè)備做了什么(通過(guò)看應(yīng)用網(wǎng)絡(luò)流量)來(lái)確保他們沒(méi)有正在嘗試做一些蠢事，如果它們?cè)趥刹欤@可能暗示著是一個(gè)主動(dòng)的攻擊者在試圖做壞事。

對(duì)于幾年前鏟除網(wǎng)絡(luò)污垢的網(wǎng)絡(luò)訪問(wèn)控制(NAC)公司來(lái)說(shuō)，他們的技術(shù)非常適用于處理不可信終端。在連接時(shí)你要評(píng)估每個(gè)終端，基于設(shè)備類(lèi)型，安全態(tài)勢(shì)，認(rèn)證方法和其它各種政策觸發(fā)器來(lái)決定什么網(wǎng)絡(luò)是他們可以連接的。

一個(gè)精明的攻擊者可以擊敗網(wǎng)絡(luò)分段和網(wǎng)絡(luò)訪問(wèn)控制設(shè)備分配設(shè)備到特定網(wǎng)絡(luò)分段的方法嗎?當(dāng)然可以，這就是為什么監(jiān)控你的敏感網(wǎng)絡(luò)很重要。是的，這需要使用一個(gè)安全信息和事件管理(SIEM)，系統(tǒng)不只是監(jiān)控和分析控制你重要數(shù)據(jù)的事件和設(shè)備配置，而且可能要對(duì)一些非常敏感的分段做完整的數(shù)據(jù)包捕獲。為什么?因?yàn)槟阆胍_保當(dāng)發(fā)生意外時(shí)，你有足夠的數(shù)據(jù)來(lái)進(jìn)行法律調(diào)查。記住，你不可能完全消除安全破壞的風(fēng)險(xiǎn)。但是你可以給攻擊者加大難度。