• 什么是网络安全深度防御(DiD)方法?


    Lavanya Rathnam 2021年11月12日
    0
    54岁的观点

    让我们暂时回到过去,把我们自己放在一个假设的情况下。假设你是一个15世纪的国王或王后,想要保护自己的城堡免受敌人的攻击。你的策略是什么?最可能的情况是,士兵和马匹在你的城堡周边,随后是一个难以穿透的门,带着武器的人在你的城堡的高架区域,一些你最好的人守卫门来赶走敌人,以及当事情出错时的后备计划。您将选择这样一种分层的安全方法,希望其中一种策略能够挫败或削弱敌人的攻击。同样的道理也适用于今天的网络攻击,一种多层的方法可以防止恶意代码和黑客进入您的网络和资源。这种策略被称为深度防御(DiD)。

    深度防御

    什么是深度防御(DiD)方法?

    深度防御(DiD)是一种网络安全策略,在整个基础设施中实施多层防御控制,以防止黑客访问您的资源。

    这种方法包含多个安全层,希望其中一层能够阻止黑客进入系统,并在其中一层发生故障时提供冗余。这是一个巨大的优势,特别是当您处理复杂的黑客策略时。

    此外,攻击的影响随着每一层而减弱,因此即使在攻击者通过每一层的最坏情况下,影响也可能是最小的。

    深度防护(做)的体系结构

    DiD的架构大致分为三个方面或层,分别是:

    • 物理
    • 技术
    • 行政

    物理层

    物理层包括保持在适当位置的不同物理元素,以防止入侵者。其中包括保安、闭路电视监控摄像头、上锁的门、生物识别验证系统、围栏、狗等等。

    行政层

    管理层包括减少攻击机会的所有策略、过程、审计、标准和指导。一个很好的例子是组织的密码策略,该策略决定了密码的长度和难度、更改频率、多因素身份验证、员工操作、定期培训等等。

    技术层

    这一层包括所有用于阻止或减轻网络攻击的硬件和软件资源。

    下面是一些技术层组件的例子:

    • 杀毒软件
    • 密码保护工具
    • 加密
    • 漏洞扫描器
    • 监控工具
    • 网络市场细分
    • 入侵检测系统
    • 沙箱
    • 日志记录
    • 审计工具
    • 防火墙
    • 深度包检测工具
    • 端点检测和响应软件
    • 反恶意软件工具
    • 数据完整性检查工具
    • 行为分析工具
    • 补丁管理工具

    所有这三层都是DiD所必需的。事实上,黑客发现当您有跨越这三个广泛领域的更多层时,就很难攻击系统。

    也就是说,请记住,更多的层意味着更多的前期和维护成本。因此,选择适当的工具并决定所需的层数,以平衡预算和安全需求。

    DiD有什么缺点吗?

    到目前为止,我们讨论了DiD的好处以及它是如何实现的。它有什么缺点吗?

    不幸的是,没有什么是完美的,所以在决定你的DiD策略时,这里有一些事情需要考虑。

    虚假安全感

    DiD的许多安全层往往会给组织一种错误的安全意识,从而使组织自满。因此,组织可能会停止对新技术的投资,不久之后,现有的DiD就会变得过时和无效。

    适得其反

    由于涉及许多层,在这些层之间识别问题和调试问题将是困难的。

    此外,这些层之间可能会出现某些差距,特别是当它们没有很好地实现或没有经过一段时间的更新时。黑客可以很容易地利用这些漏洞。

    昂贵的

    DiD实现的实现和维护成本都很高,而且许多中小型企业可能无法实现。即使对于大型企业,它也会消耗大量的it预算,从而限制其他的操作领域。

    因此,在决定采用DiD之前,需要考虑一些突出的缺点。

    应该实现DiD吗?

    现在您已经了解了DiD的优点和缺点,您应该实现它吗?

    答案很简单——这取决于组织的需求。

    当你想要的时候使用DiD:

    • 避免DoS攻击。
    • 确保网络传输数据的完整性。
    • 保护您的计算环境。
    • 必须符合强制性要求。
    • 保护你的人际网络的边界。
    • 在金融等容易受到攻击的敏感行业进行有效运营。

    另一方面,如果你是:

    • 努力应对有限的预算。
    • 将加密等先进技术部署为应用程序堆栈的一部分。
    • 没有跨多个级别的用户操作的业务。

    这些列表并不是详尽无遗的,但只是让您了解如何为您的组织决定DiD实现。

    深度防御的用例

    让我们浏览一些纵深防御的用例。

    恶意软件防护

    根据CISSP学习指南(第二版)这家公司每年雇佣约1.2万名员工,每天收到约25万封电子邮件。其中的大多数电子邮件是恶意包含从垃圾邮件到病毒和木马的任何东西。此外,攻击者使用不同的技术渗透公司的网络。

    该组织部署了一种深度防御策略来挫败这些威胁。它设置了带有自动更新杀毒软件和反病毒软件的UNIX邮件服务器,以过滤传入的电子邮件,并将“干净的”邮件发送到带有高级杀毒软件的内部Microsoft Exchange邮件服务器。过滤后,邮件被发送到使用另一个杀毒软件的客户端桌面。

    总而言之,每封电子邮件都经过了四轮杀毒软件。尽管如此,还是有一些电子邮件渗入了所有四款杀毒软件,因此该组织实施了入侵检测系统和事件处理措施,以识别和清除受感染的电子邮件。

    所有这些措施一起消除了恶意软件的威胁。

    选举办公室

    互联网安全中心提出了一个精细的计划以确保选举办公室的安全。

    因此,选举办公室设置了监控摄像头和门锁,以保护选举设备和其他相关基础设施。技术层包括云安全选项、加密、多因素认证、补丁管理、端点保护、反恶意软件等。

    此外,各选举事务处亦按既定惯例聘用合资格人员,并在有需要时提供适当培训。此外,这些办公室还创建了一个灾难恢复计划,以及一系列可能的攻击和减轻攻击的行动。

    如您所见,上述两个用例都实现了定制的DiD的不同层,以满足它们的特定需求。

    关于DiDs的最后思考

    总的来说,DiD的多层无疑会保护您的系统和资源免受网络攻击,但它们也有一些缺点,如成本和操作困难。在组织目标和运营的背景下理解DiD的优缺点是做出合理决策的关键。

    那么,你会为你的组织选择一种深度防御策略吗?为什么,为什么不呢?

    请与我们分享你的想法。

    特色图片:Shutterstock

    文章的观点: 54


    首页»狗万3.0c»狗万»什么是网络安全深度防御(DiD)方法?

    作者

    Lavanya Rathnam

    Lavanya Rathnam是一位专业的科技和金融博客写手。创造性的思想家,拳击手,内容构建者和顽强的研究人员,专门向不同的观众解释复杂的想法。


      Ezoic报告这个广告
      留下一个回复

      留下一个回复

      您的电子邮件地址将不会被公布。必填字段已标记

      • 特色产品

      • 加入我们的时事通讯

        了解最新的安全威胁、系统优化技巧和行业内最热门的新技术。

        超过1,000,000名IT专业人员已经加入,不要被排除在外!

      • Ezoic报告这个广告

      • 有特色的免费软件

      • Ezoic报告这个广告

      • 关注我们


      您正在阅读
      什么是网络安全深度防御(DiD)方法?
      分享 任何评论