如何建立一个正确的安全架构去做正确的防御?
近年来,网络结构性的转变带来了信息安全风暴,为网络犯罪创造了良好的机会。安全的发展像互联网发展一样每几年会有一个更新,新的威胁不断出现,新的攻击手段层出不穷,导致安全防护的难度也越来越大。
安全挑战:安全攻防成本失衡
作为防御方,很多企业设置的安全策略和构建的安全防御架构都是五年以前建立的,甚至有的时间更早。而作为攻击方,攻击者用的往往是最先进的攻击手法和工具。显然,攻击和防御的策略及成本是不均衡的,这也是企业面临的最大的安全挑战。
虽然很多企业通过不断地增加大量经费来平衡这个差异,但是不管如何努力差异依然存在,诸如索尼影业、Target、Anthem等企业被攻击的事件仍旧不断发生。这是为何?问题在哪里?Palo Alto Networks大中华区总裁徐涌认为,首先企业用户陷入了两大误区:
Palo Alto Networks大中华区总裁徐涌
◆通过不断打补丁的方式增强企业自身的安全防御,就能帮企业防患于未然
NO。要想通过这种方式打造一个固若金汤的企业安全防御体系,这是不现实的!如果不进行企业策略和安全架构的更新,仅仅是这样修修补补,虽然在一定程度上加强了企业的安全防御,可是也增加了很多潜在的风险。
◆只要进入内网就安全了
绝不可能!因为攻击的来源不仅有外部还有内部,据有关数据表明,90%以上的攻击都是从企业内部发起的。所以内网是不安全的,企业仅是把门守住是不行的。
其次,无法平衡攻击和防御的策略及成本的根本原因在于“人”。目前,全球网络安全专业人才缺口较大,无论是管理层的CISO还是基层的安全技术人员,都非常稀缺。而网络攻击者并不需要太多的人,可能仅需防御人才的十分之一,这是非常现实的问题。
此外,如今企业被攻击、被攻入已成常态。随着计算机能力的增加和计算机成本的降低,引起能力成本的降低,从而导致犯罪成本降低、次数更频繁、攻击形式更为复杂多样,攻击者进行大规模攻击并攻入企业的事件频发。
如何解决攻防失衡的问题?
作为企业该如何解决攻防失衡问题呢?徐涌建议:
一方面,在这场安全的攻防博弈中,企业首先要明确自己的定位,即是如何提升防御提高攻击者的攻击成本。一是,提升攻击者实施攻击的成本;二是在被攻击者攻入后,提升盗取机密数据的成本。总之,就是与攻击者打阻击战,当企业坚守24小时后,69%的黑客会放弃攻击转移目标。
另一方面,随机应变,根据安全形势和企业业务调整新的安全防御策略。从传统防火墙防御的暗箱操作方式转向可视化,4层防御转到7层防御;从单点防御转成整体防御;通过快速和自动的防御体系,对抗“被攻击、被攻入成常态”的局面;化单兵单墙防御为全球一体防御;建立零信任安全架构,摒弃内网安全论,提升企业内部安全防御能力;最后,通过企业联盟打破行业壁垒,企业间互换安全信息,从而把更好的安全信息提供给客户。
此外,一个企业的CISO定位非常重要,作为CISO如果直接报告给CEO/董事会,该企业的安全能力会有所提高。因为安全已不再是孤立的问题,而是涉及到企业的运营。
如何建立一个正确的安全架构去做正确的防御?
Palo Alto Networks中国区技术总监程文杰
为了阻止攻击,提高攻击成功门槛,企业该如何建立一个正确的安全架构去做正确的防御呢?Palo Alto Networks中国区技术总监程文杰建议从以下三点出发:减少攻击途径、阻止已知威胁、识别并阻止未知威胁。具体如下:
第一步:实现应用可视化,减少被攻击途径。企业需建立网络流量的可视化,分析并阻止未知流量;实施基于应用和用户的访问控制策略;阻止高危应用中的危险文件类型;部署与风险对应的终端保护策略。
第二步:阻止已知威胁。企业应阻止已知的漏洞攻击、恶意软件;阻止员工对恶意或钓鱼url的访问;扫描saas应用中的已知恶意软件;阻止终端上的恶意软件和漏洞利用。
第三步:识别并阻止未知威胁。企业应检测、分析文件及url中的未知威胁,实现对未知威胁的识别和防御能力的自动更新,并建立积极的威胁防御和缓解机制,在终端上阻止未知恶意软件和漏洞利用行为。
他总结到,企业应建立整合安全防御平台,瓦解高级攻击的整个生命周期。将物理和虚拟化环境相结合,对企业进行正确的部署和定位。充分利用最佳安全信息技术资源,采用诸如Traps的多重检测与预防机制,从多个维度阻止漏洞利用和恶意软件,防护已知和未知的威胁。并建立全球性的威胁分析知识体系,并具备快速响应机制。
写在最后
采访中,程文杰还重点介绍了Palo Alto Networks下一代高级端点安全防护解决方案 Traps。Traps可为企业网络终端设备提供全面安全防护,其最大的特点就是:无需联网,无需更新。
Tarps仅利用极少常驻系统资源及特有多个入侵防护模组,可对入侵技术逐一移转或封锁。此外,Traps将收集详细的鉴别信息并回传到信息端端点安全管理系统(ESM)。由于入侵链条的特性的原因,仅需禁止链条中的一项技术即可封锁整个攻击。
作者:杜美洁
来源:51CTO

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Gracejs : 全新的基于koa2的前后端分离框架
Gracejs(又称:koa-grace v2) 是全新的基于koa v2.x的MVC+RESTful架构的前后端分离框架。 一、简介 Gracejs是koa-grace的升级版,也可以叫koa-grace v2。 github地址: https://github.com/xiongwilee/koa-grace。 主要特性包括: 支持MVC架构,可以更便捷地生成服务端路由; 标准的RESTful架构,支持后端接口异步并发,页面性能更优; 一套Node环境经服务服务多个站点应用,部署更简单; 优雅的MOCK功能,开发环境模拟数据更流畅; 完美支持async/await及generator语法,随心所欲; 更灵活的前端构建选型,默认支持Vue及Require.js。 相比于koa-grace v1(以下简称:koa-grace):Gracejs完美支持koa v2,同时做了优化虚拟host匹配和路由匹配的性能、还完善了部分测试用例等诸多升级。当然,如果你正在使用koa-grace也不用担心,我们会把Gracejs中除了支持koa2的性能和功能特性移植到koa-grace的相应中间件中。 ...
- 下一篇
神策分析的技术选型与架构实现
很多朋友很想知道神策分析(Sensors Analytics)是如何实现在每天十亿级别数据的情况下可以做到秒级导入和秒级查询,是如何做到不需要预先指定指标和维度就能实现多维查询的。今天正好在这篇文章里面,和大家交流一下我们的技术选型与具体的架构实现,希望能够对大家有所启发。 当然,脱离客户需求谈产品设计,不太现实;而脱离产品设计,纯粹谈技术选型与架构实现,也不现实。因此,我们首先会跟大家探讨一下神策分析从产品角度,是如何从客户需求抽象产品设计的,而产品设计,又是如何确定我们的技术选型。然后,我们则会从产品的整体架构出发,逐步介绍每一个模块和子系统的具体实现。 1. 客户需求决定产品设计,产品设计决定技术选型 1.1 私有化部署 在决定做神策分析这个产品的最开始,我们就准备满足这样一类客户的需求,即对数据的安全与隐私有顾虑,或者希望能够积累自己的用户行为数据资产,并且完成数据的深度应用与二次开发。 因此,这就决定我们的产品需要是一个可以私有化部署的产品,可以部署在客户的内网中,这基本也构成是我们产品的核心设计理念。 而正因为需要私有化部署,我们在设计上,也必须考虑到因为这一点而带来的一系...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7设置SWAP分区,小内存服务器的救世主
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7,8上快速安装Gitea,搭建Git服务器