盡管安(ān)全問題老生常談,但一些普遍存在的誤區(qū)仍然可(kě)能(néng)讓企業随時陷入危險境地。為(wèi)了有效應對當前層出不窮且不斷變換的網絡威脅,最大程度規避潛在風險,深入了解網絡安(ān)全的發展趨勢必不可(kě)少。即使部署了最新(xīn)且最先進的硬件和解決方案并嚴格遵守行業标準,也不足以100%确保網絡安(ān)全,而且暫時沒有受到攻擊也并不代表安(ān)全措施就固若金湯。
誤區(qū)一:大公司才是勒索軟件攻擊的目标
事實上,小(xiǎo)型企業也難逃攻擊者的“魔爪”。有報告指出,82%的勒索軟件攻擊以小(xiǎo)型企業為(wèi)目标,雇員少于一千人的企業面臨的風險最大。主要原因是,攻擊大企業容易引起執法部門和媒體(tǐ)的關注,使犯罪分(fēn)子付出更大的代價,因此他(tā)們逐漸将目标轉向那些有能(néng)力支付贖金卻又不會引起矚目的小(xiǎo)型企業。
誤區(qū)二:安(ān)全、性能(néng)和敏捷性無法兼顧
沒有企業願意為(wèi)了網絡安(ān)全犧牲性能(néng)和敏捷性。尤其是現在,它們需要支持遠(yuǎn)程辦公的員工,并日益依賴物(wù)聯網,靈活性變得比以往任何時候都更加重要。
安(ān)全服務(wù)訪問邊界(SASE)是一種新(xīn)型安(ān)全架構,可(kě)以提供現代企業所需的敏捷性。SASE的優勢之一是能(néng)夠整合和簡化安(ān)全管理(lǐ)流程,将全部網絡和安(ān)全功能(néng)彙總到一起,讓網絡安(ān)全變得更加簡單和輕松,幫助實現業務(wù)敏捷性而非造成妨礙。
除此以外,SASE還能(néng)通過最大程度減少延遲來優化性能(néng),從而改善用(yòng)戶體(tǐ)驗。它還能(néng)避免傳統的回傳流量問題,提升了效率;并且具有彈性擴展性能(néng),使适應流量波動變得更加簡單和輕松。通過這些改進,企業的網絡可(kě)以自由發揮出最大性能(néng)。
誤區(qū)三:網絡威脅主要來自外部
多(duō)數安(ān)全團隊基本都能(néng)做好外圍安(ān)全保護和松散終端加固,但卻有可(kě)能(néng)疏漏用(yòng)戶本身。因此,企業面臨的最大安(ān)全威脅往往不是來自外部,而是内部。
從網絡釣魚到惡意軟件和社交工程,攻擊者欺騙用(yòng)戶的手段繁多(duō)。無論重設多(duō)少次密碼,用(yòng)戶都可(kě)能(néng)陷入各種各樣的花(huā)式騙局。這與日益增強的外圍安(ān)全形成鮮明對比,也難怪攻擊者會對用(yòng)戶虎視眈眈。
數據洩露來自于安(ān)全功能(néng)允許的連接,因此安(ān)全部門不能(néng)假設内部用(yòng)戶的安(ān)全性,而是要默認惡意内容和用(yòng)戶可(kě)能(néng)會進入獲得授權的連接,持續對所有用(yòng)戶進行驗證和展開威脅檢查,在損失産生前抓住攻擊者。這是“零信任”策略的第一步,該策略通過消除隐含信任和持續驗證數字互動中的每個階段來保護企業的網絡安(ān)全。
誤區(qū)四:防火牆和基于防火牆的安(ān)全功能(néng)無法在雲端提供保護
提到“防火牆”,有人依然會聯想到在企業本地網絡中部署和管理(lǐ)複雜的實體(tǐ)或虛拟設備,但這其實是一種誤解。“防火牆”指的是基于策略的網絡工具的功能(néng)或輸出,決定了對流量是允許還是拒絕,這是任何安(ān)全堆棧的基礎。
事實上,“防火牆”無處不在。它存在于雲端、本地、應用(yòng),甚至設備中。隻是多(duō)數時候我們并不稱它們為(wèi)“防火牆”,而是“訪問控制列表”“安(ān)全組”“可(kě)用(yòng)區(qū)域”或“基于策略的轉發”。我們的重點應該從防火牆的形式(如實體(tǐ)或虛拟設備)轉向如何通過“防火牆”功能(néng)有效達到預期結果,同時提高敏捷性并降低複雜性。
無論是哪種稱呼,防火牆的功能(néng)都是放行想要的流量并阻止不想要的流量。我們可(kě)以在本地、雲中、雲端、設備等任何地方使用(yòng)這項功能(néng),在企業網絡、數據中心、私有雲、公有雲以及其他(tā)任何應用(yòng)和數據所在的地方擴展一套連貫的策略。因此,防火牆對于混合環境的安(ān)全極其重要,它使企業重獲可(kě)見性和控制力,在提高安(ān)全性的同時适應不斷變化的業務(wù)終端用(yòng)戶的需求。
誤區(qū)五:所有零信任網絡訪問解決方案都是相同的
零信任網絡訪問(ZTNA)是将零信任原則應用(yòng)于網絡訪問。然而,通常實施的ZTNA 1.0隻解決了直接從應用(yòng)端訪問時遇到的一些問題。例如在ZTNA 1.0中,一旦授權,信任代理(lǐ)程序就會消失,用(yòng)戶就能(néng)自由行動。但這實際上隻是在某個時間點對用(yòng)戶進行了一次檢查。一旦訪問獲得授權,用(yòng)戶将被永遠(yuǎn)信任。持續驗證的缺席會導緻企業無法判斷應用(yòng)是否暴露于危險之中。
換言之,這種方法無法阻止發生在允許連接上的攻擊,但其實所有攻擊都發生在這裏。另外,标準的ZTNA違反了最小(xiǎo)權限原則——它既不提供安(ān)全檢查,亦無法保護全部應用(yòng)和數據。
所幸ZTNA 2.0克服了這些缺陷,大大提升了安(ān)全性。ZTNA 2.0不是一次性授權,而是根據應用(yòng)和用(yòng)戶行為(wèi)以及設備狀态的變化,不斷重新(xīn)評估信任。即使一個用(yòng)戶遭遇入侵,也能(néng)在造成損害前迅速删除其訪問和權限。ZTNA 2.0還增加了真正的最小(xiǎo)權限訪問、持續安(ān)全檢查、保護全部數據和應用(yòng)。
這些誤區(qū)反映了傳統的網絡安(ān)全工具和思維方法已經無法跟上時代變化,隻有不斷創新(xīn)工作(zuò)和思考方式,才能(néng)應對日益嚴峻的網絡安(ān)全形勢。
今天,在任何時間、地點和設備上工作(zuò)已經成為(wèi)現實,員工和其設備不再被拘束在辦公室裏,但這也意味着想要保持任何形式的實際控制變得困難重重,需要通過優化的工具和策略加以應對。作(zuò)為(wèi)專為(wèi)保護這種環境而設計的ZTNA 2.0已經成為(wèi)網絡安(ān)全策略取得成功的關鍵部分(fēn)。
SASE也是一項為(wèi)不斷變化的安(ān)全環境而設計的現代化策略。它不僅通過簡化架構來提高敏捷性,而且還提供保持安(ān)全所需的零信任功能(néng)。随着越來越多(duō)的企業上雲,SASE在各種混合雲環境中的一緻性變得至關重要,而雲端交付SASE使其能(néng)夠在整個企業中保持一緻。
人工智能(néng)(AI)和機器學(xué)習(ML)正在成為(wèi)現代網絡安(ān)全的主流,在防禦層出不窮的複雜和高度自動化威脅方面,可(kě)以發揮巨大作(zuò)用(yòng)。攻擊者使用(yòng)的工具之豐富能(néng)夠讓他(tā)們的行動速度超越安(ān)全團隊的手動防禦速度。而且攻擊隻要成功一次就能(néng)造成破壞,而安(ān)全團隊則必須時刻保持警惕,防範每一次威脅,這會導緻他(tā)們不堪重負。AI和ML在經過訓練和調整後能(néng)夠搜索威脅,使安(ān)全團隊能(néng)夠實時操作(zuò)并在第一個受害人出現之前抓住攻擊者,化被動為(wèi)主動。