信息化觀察網(wǎng)

本文來自安全牛。

縱深防御一詞本身源自軍事領域，意指戰(zhàn)爭過程中利用地理優(yōu)勢來設多道軍事防線防御。一般多用于能力較弱的一方戰(zhàn)略性撤退，以空間換取時間。然而，這并不是網(wǎng)絡安全縱深防御（defense in depth）的理念和工作方式。

在網(wǎng)絡安全領域中，縱深防御代表著一種更加系統(tǒng)、積極的防護戰(zhàn)略，它要求合理利用各種安全技術的能力和特點，構(gòu)建形成多方式、多層次、功能互補的安全防護能力體系，以滿足企業(yè)安全工作中對縱深性、均衡性、抗易損性的多種要求。目前，縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡安全建設中的基本性原則之一。

縱深防御的價值

網(wǎng)絡安全縱深防御的目的是假定攻擊者有能力挫敗或繞過某些單點性的防御措施，因此必須要通過其他工具進行彌補，并以積極的方式協(xié)同工作?？v深防御有時又叫城堡方法：好比歐洲中世紀的城堡，通過護城河和城墻等構(gòu)建了多層防護模式，攻擊者必須全部攻破才能進入城堡。

縱深防御之所以很重要，是由于傳統(tǒng)的網(wǎng)絡邊界防御模型現(xiàn)在已經(jīng)逐漸失效。由于隨時隨地工作以及廣泛使用云計算技術，企業(yè)組織的網(wǎng)絡邊界正在變得模糊。但這并不意味著實施縱深防御策略后，組織應該丟棄防火墻及其他邊界防御手段。盡管防火墻與其他任何單點安全措施一樣，幾乎總能被技術嫻熟、目標明確的攻擊者突破，但這些措施都是不可或缺的，讓網(wǎng)絡資產(chǎn)具備必要的防御措施是開展縱深防御的基礎要求，甚至在具備條件的情況下，企業(yè)應該給重要的單點防御工具做好備份，以實現(xiàn)能力上的冗余。

縱深防御在許多方面與零信任安全理念相吻合。零信任架構(gòu)認為網(wǎng)絡上的任何用戶或設備都應該不斷受到質(zhì)疑和監(jiān)控，以確保訪問行為的真實可靠。這種理念需要縱深防御基礎架構(gòu)的支撐和保障，其中重要一點就是，組織現(xiàn)有的安全工具和策略能夠?qū)λ性O備和應用進行有效的管控。

縱深防御的構(gòu)建

很多人會將縱深防御簡單理解為分層安全（Layered security），因為它們有著很多相似和連結(jié)?？v深防御基礎架構(gòu)需要具備分層抵御攻擊的安全能力，但這并不是縱深防御的全部?？v深防御不僅是技術層面的問題，同時還需要確定組織將如何響應隨時可能出現(xiàn)的攻擊，以及對事件的報告和溯源機制?？v深防御不僅需要在技術層面具有多層化的安全工具，還要有一套與之相配合的安全管理理念與策略。

網(wǎng)絡安全縱深防御的構(gòu)建要素可以分為三大類：管理控制、物理控制和技術控制。這每一類控制都很重要。

●管理控制是創(chuàng)建安全環(huán)境的宏觀組織戰(zhàn)略。這包括如何選擇和部署信息安全工具的策略、安全使用數(shù)據(jù)的流程以及管理第三方供應商的系統(tǒng)風險框架等。

●物理控制常常被忽視，它主要是組織計算設備和應用系統(tǒng)的環(huán)境安全，包括門禁系統(tǒng)、鑰匙卡、不間斷電源、辦公室和數(shù)據(jù)中心監(jiān)控以及安保人員等。一些利用社會工程伎倆的攻擊往往會通過最簡單的方式來實現(xiàn)。

●技術控制主要包括多層安全防護技術工具，用于保護硬件、軟件和網(wǎng)絡。

有效開展網(wǎng)絡安全縱深防御通常需要包括以下層面：

網(wǎng)絡防護

盡管企業(yè)的網(wǎng)絡邊界正在消失，但縱深防御戰(zhàn)略永遠不能忽視邊界，縱深防御策略應該首先由防火墻或IDS在網(wǎng)絡邊緣嘗試阻止攻擊開始。入侵防護系統(tǒng)及其他網(wǎng)絡監(jiān)控工具可以掃描網(wǎng)絡上的流量，尋找防火墻已被突破的證據(jù)，然后自動做出反應或?qū)で笕斯椭?。VPN等工具讓用戶可以更安全地連接，并驗證用戶身份。

惡意軟件防護

如果網(wǎng)絡被突破，縱深防御體系需要包含可掃描基礎架構(gòu)以查找惡意軟件的工具。這類工具通過將惡意軟件特征與數(shù)據(jù)庫對照來匹配文件，或者使用啟發(fā)式方法來發(fā)現(xiàn)可疑模式。

異常行為分析

這里的行為既包括人類用戶行為，也包括自動化流程中的應用行為，通過未企業(yè)正常訪問行為設定參考基準，就可以確定訪問行為是否出現(xiàn)異常，并將異常行為標記出來以便進一步調(diào)查。如果有人突然訪問了通常不會訪問的數(shù)據(jù)，或是向某個不起眼的主機發(fā)送大量的加密信息，這可能表明出現(xiàn)了問題。

數(shù)據(jù)完整性分析

保護數(shù)據(jù)資產(chǎn)的完整和安全是縱深防御體系的一個重要目標。企業(yè)需要隨時了解文件是否被篡改、拷貝或外泄？入站文件是否與網(wǎng)絡上的文件同名，但內(nèi)容不一樣？一個神秘或可疑的IP地址是否與文件相關聯(lián)？如果文件被勒索軟件損壞或加密，是否有備份？這些都是要通過縱深防御去實現(xiàn)的。

縱深防御建設實踐

從理論上來說，構(gòu)建縱深防御體系，增加防御的層數(shù)和能力，會顯著加大企業(yè)IT系統(tǒng)被攻陷的難度，從而確保應用和數(shù)據(jù)資產(chǎn)安全?？v深防御戰(zhàn)略中會設置多種措施來應對非法攻擊者的入侵。

在政策和程序方面，企業(yè)組織需要定期組織網(wǎng)絡釣魚模擬、實戰(zhàn)攻防演練等活動，以便員工保持警惕，不會被攻擊者的社會工程伎倆誘騙。同時，應該定期推出安全補丁，確保攻擊者的惡意軟件所利用的漏洞在組織的系統(tǒng)上已被堵住。

在技術層面上，安裝后門的木馬可能被組織的電子郵件系統(tǒng)檢測到，或者后門本身可能被反惡意軟件工具查出。如果攻擊者已經(jīng)訪問了組織的網(wǎng)絡，行為分析工具可以在看到主機之間的橫向移動或發(fā)現(xiàn)當前的數(shù)據(jù)外泄后，立即向安全運營中心發(fā)出警報。組織的數(shù)據(jù)庫可以使用采用最小特權原則的安全身份驗證工具加以保護，這意味著攻擊者很難批量獲取企業(yè)最寶貴的業(yè)務數(shù)據(jù)。

縱深防御戰(zhàn)略實是一項艱巨的任務，而不是簡單的交鑰匙工程，它代表一種整體化的安全理念，需要持續(xù)性的運營制度來保障支撐。組織在開展縱深防御建設時，可參考以下環(huán)節(jié)：

●做好攻擊面管理。確定組織目前實施了哪些保護措施，并檢測其工作有效性。

●網(wǎng)絡邊界整合。隨著零信任理念逐步普及，需要更完整的訪問控制機制，對每一次訪問進行身份驗證和權限劃分。網(wǎng)絡邊界整合要綜合考慮邊界類型、業(yè)務影響、網(wǎng)絡改造難度、安全建設投入、企業(yè)管理模式、監(jiān)管要求等因素，實現(xiàn)安全能力重點覆蓋。

●體系化能力構(gòu)建。網(wǎng)絡及業(yè)務的架構(gòu)不斷變化，網(wǎng)絡安全策略也要隨之適應。要從體系化防御視角，確定組織在網(wǎng)絡系統(tǒng)的每一層，都需要哪些保護措施。并通過自動化編排整合這些安全措施，實現(xiàn)安全聯(lián)防聯(lián)控。

●加強網(wǎng)絡安全管理和運營。縱深防御體系需要實現(xiàn)業(yè)務層面和管理層面的分離，充分保障管理與日常運營策略的可用性。為了實現(xiàn)更好的防御效果，強化安全運營和安全審計必不可少，要清晰了解系統(tǒng)組件之間的安全缺口和薄弱環(huán)節(jié)有哪些，并采取針對性措施。