唯邊界網(wǎng)絡(luò)防御，無法抵御今日威脅。

[[206497]]

涉及網(wǎng)絡(luò)安全，內(nèi)部與外部之間已不存在界限，可防御的邊界這種概念已經(jīng)過時。

邊界地位曾經(jīng)尊崇如王：保住邊界，你的資產(chǎn)就守住了。建立防火墻，用深度包檢測(DPI)加固之，設(shè)置入侵預(yù)防和檢測系統(tǒng)，然后你就可放松了。雖然邊界安全依然需要，層次化的防御也是應(yīng)對新攻擊方法的必須。

世界上最堅固的邊界，已經(jīng)被云服務(wù)、內(nèi)部人威脅和BYOD這種模糊了業(yè)務(wù)與個人生活的方式所滲透。邊界提供的安全感，等同于對不再適應(yīng)需求的防御系統(tǒng)那危險的過度自信;就好像依賴護城河來防御空襲一樣。

了解自身阿喀琉斯之踵

今日的互聯(lián)世界，漏洞是多維度的，意味著你的防御系統(tǒng)也必須是多維度的。對某一領(lǐng)域的過度投資，會導(dǎo)致其他方面的投入不足。

各種云服務(wù)讓邊界難以定義，更別說保護它的安全了。如果數(shù)據(jù)被存儲在云端，你真的知道邊界在哪兒嗎?你的托管提供商到底把數(shù)據(jù)放在哪里呢?他們對數(shù)據(jù)設(shè)置了什么安全控制措施呢?

然后，內(nèi)部人員威脅問題，無論是無意內(nèi)部人還是惡意內(nèi)部人。從定義上，此類威脅就已經(jīng)突破了邊界，所以邊界強度也就無關(guān)緊要了。內(nèi)部人可以訪問公司網(wǎng)絡(luò)：即便只是低級權(quán)限或來賓權(quán)限，他們都已身處公司網(wǎng)絡(luò)之中。

BYOD，無論是偷偷帶進來的還是本來就有此策略，都往工作場所里引入了大量的潛在滲入者。帶進公司并隨意連接公司數(shù)據(jù)的個人設(shè)備，為攻擊者提供了便利的滲入滲出路徑。

配置邊界設(shè)備，比如防火墻、VPN和訪問控制列表(ACL)，可能確實是挫敗某些攻擊所需，但不應(yīng)只關(guān)注這些領(lǐng)域。

誰都不信任

按需知密，是最古老最基本的安全原則。網(wǎng)絡(luò)空間里，人們需要類似的原則，來將網(wǎng)絡(luò)訪問權(quán)限制在完成工作所需的最小權(quán)限。

通過對所有嘗試訪問網(wǎng)絡(luò)或網(wǎng)絡(luò)資源的終端要求身份驗證，并在使用后關(guān)閉會話以防止非授權(quán)訪問，最少權(quán)限原則(POLP)可提升企業(yè)內(nèi)部安全性。

在選擇VPN提供商和云托管商之類的服務(wù)時，盡職調(diào)查是十分關(guān)鍵的。你會想要盡一切可能確保在邊界外托管的數(shù)據(jù)是受到保護的，無論是在傳輸中還是靜靜存儲其上時。

對員工進行背景核查，是另一個有價值的防御措施——當敵人很可能已經(jīng)潛入的時候。

5個問題考驗防御系統(tǒng)的強度

圍著企業(yè)豎起一道堅固的圍墻或許不太可能，但你可以拷問已有防御系統(tǒng)的強度：

• 評估用于云服務(wù)的策略以確保盡可能安全;
• 弄清自身數(shù)據(jù)的確切物理存儲地和所應(yīng)用的安全控制措施;
• 定義企業(yè)內(nèi)數(shù)據(jù)訪問等級，以及對特定數(shù)據(jù)類型的訪問級別;
• 評估對BYOD的態(tài)度，確保雇員都接受過網(wǎng)絡(luò)安全培訓(xùn);
• 確保理解企業(yè)內(nèi)使用了哪些影子IT服務(wù)。