盡管安全問題老生常談,但一些普遍存在的誤區仍然可能讓企業随時陷入危險境地。為了有效應對目前層出不窮且不斷變換的網絡威脅,最大程度規避潛在風險,深入了解網絡安全的發展趨勢必不可少。即使部署了最新且最先進的硬體和解決方案并嚴格遵守行業标準,也不足以100%確定網絡安全,而且暫時沒有受到攻擊也并不代表安全措施就固若金湯。
誤區一:大公司才是勒索軟體攻擊的目标
事實上,小型企業也難逃攻擊者的“魔爪”。有報告指出,82%的勒索軟體攻擊以小型企業為目标,雇員少于一千人的企業面臨的風險最大。主要原因是,攻擊大企業容易引起執法部門和媒體的關注,使犯罪分子付出更大的代價,是以他們逐漸将目标轉向那些有能力支付贖金卻又不會引起矚目的小型企業。
誤區二:安全、性能和靈活性無法兼顧
沒有企業願意為了網絡安全犧牲性能和靈活性。尤其是現在,它們需要支援遠端辦公的員工,并日益依賴物聯網,靈活性變得比以往任何時候都更加重要。
安全服務通路邊界(SASE)是一種新型安全架構,可以提供現代企業所需的靈活性。SASE的優勢之一是能夠整合和簡化安全管理流程,将全部網絡和安全功能彙總到一起,讓網絡安全變得更加簡單和輕松,幫助實作業務靈活性而非造成妨礙。
除此以外,SASE還能通過最大程度減少延遲來優化性能,進而改善使用者體驗。它還能避免傳統的回傳流量問題,提升了效率;并且具有彈性擴充性能,使适應流量波動變得更加簡單和輕松。通過這些改進,企業的網絡可以自由發揮出最大性能。
誤區三:網絡威脅主要來自外部
多數安全團隊基本都能做好外圍安全保護和松散終端加強,但卻有可能疏漏使用者本身。是以,企業面臨的最大安全威脅往往不是來自外部,而是内部。
從網絡釣魚到惡意軟體和社交工程,攻擊者欺騙使用者的手段繁多。無論重設多少次密碼,使用者都可能陷入各種各樣的花式騙局。這與日益增強的外圍安全形成鮮明對比,也難怪攻擊者會對使用者虎視眈眈。
資料洩露來自于安全功能允許的連接配接,是以安全部門不能假設内部使用者的安全性,而是要預設惡意内容和使用者可能會進入獲得授權的連接配接,持續對所有使用者進行驗證和展開威脅檢查,在損失産生前抓住攻擊者。這是“零信任”政策的第一步,該政策通過消除隐含信任和持續驗證數字互動中的每個階段來保護企業的網絡安全。
誤區四:防火牆和基于防火牆的
安全功能無法在雲端提供保護
提到“防火牆”,有人依然會聯想到在企業本地網絡中部署和管理複雜的實體或虛拟裝置,但這其實是一種誤解。“防火牆”指的是基于政策的網絡工具的功能或輸出,決定了對流量是允許還是拒絕,這是任何安全堆棧的基礎。
事實上,“防火牆”無處不在。它存在于雲端、本地、應用,甚至裝置中。隻是多數時候我們并不稱它們為“防火牆”,而是“通路控制清單”“安全組”“可用區域”或“基于政策的轉發”。我們的重點應該從防火牆的形式(如實體或虛拟裝置)轉向如何通過“防火牆”功能有效達到預期結果,同時提高靈活性并降低複雜性。
無論是哪種稱呼,防火牆的功能都是放行想要的流量并阻止不想要的流量。我們可以在本地、雲中、雲端、裝置等任何地方使用這項功能,在企業網絡、資料中心、私有雲、公有雲以及其他任何應用和資料所在的地方擴充一套連貫的政策。是以,防火牆對于混合環境的安全極其重要,它使企業重獲可見性和控制力,在提高安全性的同時适應不斷變化的業務終端使用者的需求。
誤區五:所有零信任網絡通路
解決方案都是相同的
零信任網絡通路(ZTNA)是将零信任原則應用于網絡通路。然而,通常實施的ZTNA 1.0隻解決了直接從應用端通路時遇到的一些問題。例如在ZTNA 1.0中,一旦授權,信任代理程式就會消失,使用者就能自由行動。但這實際上隻是在某個時間點對使用者進行了一次檢查。一旦通路獲得授權,使用者将被永遠信任。持續驗證的缺席會導緻企業無法判斷應用是否暴露于危險之中。
換言之,這種方法無法阻止發生在允許連接配接上的攻擊,但其實所有攻擊都發生在這裡。另外,标準的ZTNA違反了最小權限原則——它既不提供安全檢查,亦無法保護全部應用和資料。
所幸ZTNA 2.0克服了這些缺陷,大大提升了安全性。ZTNA 2.0不是一次性授權,而是根據應用和使用者行為以及裝置狀态的變化,不斷重新評估信任。即使一個使用者遭遇入侵,也能在造成損害前迅速删除其通路和權限。ZTNA 2.0還增加了真正的最小權限通路、持續安全檢查、保護全部資料和應用。
這些誤區反映了傳統的網絡安全工具和思維方法已經無法跟上時代變化,隻有不斷創新工作和思考方式,才能應對日益嚴峻的網絡安全形勢。
人工智能(AI)和機器學習(ML)正在成為現代網絡安全的主流,在防禦層出不窮的複雜和高度自動化威脅方面,可以發揮巨大作用。攻擊者使用的工具之豐富能夠讓他們的行動速度超越安全團隊的手動防禦速度。而且攻擊隻要成功一次就能造成破壞,而安全團隊則必須時刻保持警惕,防範每一次威脅,這會導緻他們不堪重負。AI和ML在經過訓練和調整後能夠搜尋威脅,使安全團隊能夠實時操作并在第一個受害人出現之前抓住攻擊者,化被動為主動。
來源:網絡安全和資訊化雜志社
![沂源縣燕崖鎮南崔路大櫻桃上市交通安全提示[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)