企业级网络纵深防御体系的关键技术有哪些
企业级网络纵深防御体系的关键技术如下:
网络流量可视化:网络流量可视化是支撑网络纵深防御的重要基础。看得清流量,方能识得准威胁,部得全能力,配得严策略,挡得住风险;通过在网络各节点部署流量分析措施,可实现全局网络流量数据的捕获、解密、处理和按需输出,统一支撑网络资产发现、网络安全威胁分析、网络行为审计、数据泄露检测等工作的开展。
网络隔离细粒度化:全面梳理网络中的资产,根据资产暴露位置、业务功能、重要等级等属性,进行网络安全域的细粒度划分,实现功能组、工作负载级的网络隔离;并在网络区域边界上实施严格的隔离防护措施,实现网络访问权限的最小化,收缩网络攻击面,限制安全威胁的影响范围。
场景覆盖全面化:梳理网络边界的各种访问连接模式,针对每种模式的不同场景设计网络安全能力。同时整合相同/相似连接类型的网络边界,收敛应用服务及接口的协议类型,统筹部署网络安全防护能力,全面覆盖网络边界的主要安全防护需求。
网络防御纵深化:增加网络防御纵深,多层级部署防护措施,形成异构、协同联动的防护机制。在一层防护措施失效情况下,仍然有下一层的防护措施保障,充分保障关键资产的安全。同时在每个层级上严格实施网络访问控制策略,收缩网络攻击面,减少横向移动的范围。
安全集群标准化:设计标准化、模块化的网络安全防护集群,部署于网络各节点,以适配本节点的安全防护需求。实现安全服务链的灵活编排,支撑安全能力的弹性扩展,适应复杂网络的组网环境。
策略管理自动化:统一管理网络各节点的标准化安全防护集群,并通过北向接口的适配或改造,集中纳管已有的网络安全资源,实现网络安全防护策略的全局控制。汇聚安全告警、网络流量、安全情报等信息,进行关联分析、智能推理、研判和决策,形成安全防护策略,并自动装配、下发执行,实现全局协同防护和联动。
有效开展网络安全纵深防御通常需要包括以下层面:
网络防护:尽管企业的网络边界正在消失,但纵深防御战略永远不能忽视边界,纵深防御策略应该首先由防火墙或IDS在网络边缘尝试阻止攻击开始。入侵防护系统及其他网络监控工具可以扫描网络上的流量,寻找防火墙已被突破的证据,然后自动做出反应或寻求人工帮助。VPN等工具让用户可以更安全地连接,并验证用户身份。
恶意软件防护:如果网络被突破,纵深防御体系需要包含可扫描基础架构以查找恶意软件的工具。这类工具通过将恶意软件特征与数据库对照来匹配文件,或者使用启发式方法来发现可疑模式。
异常行为分析:这里的行为既包括人类用户行为,也包括自动化流程中的应用行为,通过未企业正常访问行为设定参考基准,就可以确定访问行为是否出现异常,并将异常行为标记出来以便进一步调查。如果有人突然访问了通常不会访问的数据,或是向某个不起眼的主机发送大量的加密信息,这可能表明出现了问题。
数据完整性分析:保护数据资产的完整和安全是纵深防御体系的一个重要目标。企业需要随时了解文件是否被篡改、拷贝或外泄?入站文件是否与网络上的文件同名,但内容不一样?一个神秘或可疑的IP地址是否与文件相关联?如果文件被勒索软件损坏或加密,是否有备份?这些都是要通过纵深防御去实现的。