考虑到最近宣布的由外部恶意行为者造成的重大攻击,包括对美国汽油管道的勒索软件攻击,需要加强安全态势与以往一样重要,而多层安全仍然是关键。
随着猖獗的勒索软件攻击和其他网络安全事件占据头条新闻,企业和政府更加关注,许多人愿意花费所需的资金来帮助解决一些问题,使这些威胁行为者很容易成功渗透和破坏计算机系统或网络。拜登总统本周签署了一项行政命令,其中包括旨在改善国家网络安全的举措;在大西洋彼岸,英国国家网络安全中心最近的一份报告显示了英国是如何加强网络安全防御措施的。
同时,根据最近发布的思科安全远程工作未来报告,该报告调查了 30 个行业的 3,000 多名全球 IT 决策者,85% 的受访者表示,自大流行开始以来,网络安全变得极其重要。这主要是因为企业必须迅速转向大多数家庭工作模式,这意味着将政策和安全方法转向新的常态。
多层安全性未过时
已经说过一遍又一遍了,不过值得重复。采用多层安全方法是降低成功违反或安全妥协可能性的最佳方法。虽然某些安全层看起来微不足道或显而易见,但它们都同样重要。
它类似于净水系统。就像第一层净水涉及取出大而明显的颗粒一样,网络安全的第一层可能只是阻止明显恶意流量的网络防火墙。如果不先清理明显有毒的成分, 尝试对生污水进行反渗透是荒谬的。
随着您添加到网络的每个层,您可能会消除越来越多的污染物,即恶意活动。因此,添加防火墙、入侵预防和检测系统以及恶意软件防病毒始终是减少某些事情通过的机会的好方法。
但有时您需要进一步分析这些数据。就像水一样,没有适当的分析,不可能知道水是否坏。
如何正确分析您的网络流量
尝试实时分析网络流量可能与尝试测试所有水流以及它退出火管一样困难。你可以用过多的钱来做,但是无法扩展。使事情更加困难的是,恶意行为者几乎总是部署方法来保持未被发现,包括使用低速和慢速数据传输方法在雷达下滑落。
为了打击这些方法,应长期收集和分析网络数据,以确定恶意流量的来源。具体来说,通过网络检测和响应 (NDR) 系统进行机器学习几乎应始终部署,以帮助网络和安全团队识别恶意流量。
混合工作模型的安全性
由于许多企业允许接种疫苗的工人重返办公室,并允许员工决定何时或是否返回,因此,向混合安全模式的转变几乎肯定会成为永久性的。这增加了对 NDR 的需求,因为随着员工工作地点的改变,企业的安全需求会发生变化。当员工不断更改 IPs 或位置时,企业将发现很难围绕网络连接创建全面规则。
虽然有些企业会强迫员工连接到公司网络,但这样做并不总是实际操作,尤其是在家庭带宽容量有限的情况下。相反,查看网络流量如何随着时间推移而流动,使安全团队能够正确检测异常情况。
当员工可能四处走动时,他们消耗的连接类型和数据可能会经常发生变化。使用具有 NDR 功能的系统,企业能够深入了解其销售团队成员何时开始通过 SSH 连接上传内容,或者人力资源部何时开始通过 FTP 进行出站连接。当并非所有用户都一直连接到网络时,情况尤其如此。一旦恢复该连接,拥有历史数据对于识别潜在受感染的设备至关重要。
人员:最薄弱的安全链接
不幸的是,人是最薄弱的一环,因此在检测恶意活动时,基线行为和识别流量模式偏离时识别的能力是最佳做法。但是,通过启用多层方法,对网络流量进行长期基线分析,企业可以确保他们具有最高级别的安全态势,即使员工不断将工作地点转移到哪里。
采取这种多层方法实际上是防止攻击的唯一方法。虽然并非所有攻击都能停止,但它们造成的损害可以大大减少。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。