第一道防线:边界防护
虽然网络安全日新月异,很多新概念、新技术层出不穷,边界也日益模糊,但边界防御仍是网络防护的最重要前沿。
防火墙。(仅使用其最基本的封禁能力。尽量自动化和批量化。)
IDS/IPS。
WAF。(注意防误封)
攻击阻断。(结合情报进行旁路Reset阻断)
Web动态防御。(阻断自动化攻击)
BAS验证。(入侵和攻击模拟)
第二道防线:监测响应
通过对网络、日志等数据的监测分析,及时发现攻击行为并进而采取响应。主力工具是流量分析工具。
NTA/NDR(可以多个产品共用,可联动防火墙)
WEBIDS(发现是否被控)
蜜罐/蜜网(高交互/低交互/负载均衡发布)
APT防御(木马发现、隐蔽信道发现)
功能常有重叠,往往集成沙箱检测、威胁情报、资产管理等能力。
流量汇聚平台是基础设施,可实现跨中心、跨区域、跨机房流量的镜像汇集、处理和按需分配。
第三道防线:访问控制
访问控制防线是内部战场,即便攻击者进入内网,也寸步难行。这道防线体现基本功,重在日常建设。
网络方面:网络分区、VLAN隔离、准入、DNS安全
资源方面:虚拟桌面,堡垒机、特权管理
应用方面:认证、权限、加密、漏洞、口令管理等
第四道防线:端点防御
服务器和用户终端,作为计算端点,承载着企业的核心价值数据,是攻击的目标靶点,这道防线是技术上的最后防御。
防病毒:病毒、木马、蠕虫、恶意软件等
异常发现:网络异常(异常外联、联入,漏洞利用)、进程异常(创建、执行、隐藏)、日志监测、文件监测(暴力破解、文件写入、弱口令)
异常阻断:爆破阻断、扫描阻断、漏洞攻击拦截、文件写入拦截
安全管理:漏洞管理、安全策略、资产管理、外设管理等。
第五道防线:人的防线
网络安全攻防,较量归根结底是人在较量。
上述四道防线,最终要有人的使用、分析和响应。
一个自上而下的指挥、决策和行动体系是必要的。(高管层、科技层、支援层)
战术层面:要有很好的协同工具,减少沟通成本。
全体员工安全意识
虽然是老生常谈,但安全意识的的确确是最后的防线。
如果前面都挡不住,就靠意识来挡。
攻击者100%会使用社工手段,而且往往奏效。
要建立起强大的安全防御意识和能力,员工要能针对典型场景做出直觉反应。(案例讲解、模拟测试)
原文始发于微信公众号(三沐数安):安全纵深防御五道防线的思考与网络实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论