1.第一等級:基礎級

圖片

優(yōu)勢

可防范基本有針對性的攻擊，使攻擊者難以在網(wǎng)絡上推進。將生產環(huán)境與企業(yè)環(huán)境進行基本隔離。

劣勢

默認的企業(yè)網(wǎng)絡應被視為潛在受損。普通員工的工作站以及管理員的工作站可能受到潛在威脅，因為它們在生產網(wǎng)絡中具有基本和管理員訪問權限。

在這方面，任何工作站的妥協(xié)理論上都可能導致以下攻擊向量的利用。攻擊者侵入企業(yè)網(wǎng)絡的工作站，然后攻擊者要么提升在企業(yè)網(wǎng)絡中的權限，要么立即利用之前獲得的權限攻擊生產網(wǎng)絡。

攻擊向量保護 安裝最大數(shù)量的信息保護工具，實時監(jiān)測可疑事件并立即響應。

2.第二等級:初步安全實踐

圖片

優(yōu)勢

企業(yè)網(wǎng)絡中有更多的網(wǎng)絡段。 對生產網(wǎng)絡的主要支持基礎設施進行完全復制，如：

• 郵件中繼;
• 時間服務器;
• 其他服務(如果有)。

更安全的軟件開發(fā)。建議至少實施DSOMM1級的DevSecOps，這需要引入密碼、令牌、加密密鑰、登錄名等單獨的機密存儲，以及用于SAST、DAST、模糊測試、SCA和其他DevSecOps工具的附加服務器。在企業(yè)段的支持基礎設施出現(xiàn)問題時，這不會影響生產環(huán)境。對于攻擊者來說,破壞生產環(huán)境要更困難一些。

3.第三等級:高度采用安全實踐

該級別需要公司管理層(首席執(zhí)行官)了解網(wǎng)絡安全在公司生命中的作用。信息安全風險成為公司運營風險之一。根據(jù)公司規(guī)模,信息安全部門的最小規(guī)模為15-20名員工。

圖片

優(yōu)勢

實施安全服務，如：

• 安全運營中心（SIEM，IRP，SOAR，SGRC）
• 數(shù)據(jù)泄漏防護
• 釣魚保護
• 沙盒
• 入侵防護系統(tǒng)
• 漏洞掃描器
• 終端保護
• Web應用防火墻
• 備份服務器

劣勢

信息安全工具和信息安全專業(yè)人員的高成本。

4.第四等級:大規(guī)模高級安全實踐部署

每個生產和企業(yè)服務都有自己的網(wǎng)絡：一級、二級、三級。

生產環(huán)境是從隔離的計算機訪問的, 每臺隔離計算機不具有:

• 除了通過VPN從遠程公司筆記本電腦以外的任務地方進入傳入訪問。
• 出站訪問公司網(wǎng)絡: 無法訪問郵件服務,不可能受到魚叉式網(wǎng)絡釣魚的威脅; 無法訪問內部站點和服務,不可能從受感染的公司網(wǎng)絡下載木馬。

破壞隔離計算機的唯一方法是破壞生產環(huán)境。因此，成功入侵計算機（即使是通過網(wǎng)絡釣魚）也將阻止黑客訪問生產環(huán)境。

實施其他可能的安全服務，例如：

1. 特權訪問管理；
2. 內部網(wǎng)絡釣魚訓練服務器；
3. 合規(guī)服務器（配置評估）。

圖片

優(yōu)點

實施安全服務，例如：

1. 特權訪問管理；
2. 內部網(wǎng)絡釣魚訓練服務器；
3. 合規(guī)服務器（配置評估）；
4. 強有力地保護生產環(huán)境免受魚叉式網(wǎng)絡釣魚的侵害。

現(xiàn)在攻擊者將無法攻擊生產網(wǎng)絡，因為現(xiàn)在企業(yè)網(wǎng)絡中潛在受感染的工作站基本上沒有對生產的網(wǎng)絡訪問權限。相關問題：

1. 用于訪問生產網(wǎng)絡的獨立工作站 - 是的，桌面上將有 2 臺計算機；
2. 用于生產網(wǎng)絡的其他 LDAP 目錄或域控制器；
3. 防火墻分析儀、網(wǎng)絡設備分析儀；
4. 網(wǎng)絡流量分析器。

缺點

現(xiàn)在，如果需要訪問生產網(wǎng)絡，桌面上將有 2 臺計算機。