企業網絡及其資產經常遭到入侵者的攻擊。
完全可穿透的企業網絡外圍使這一問題雪上加霜。
多數企業在構建安全IT基礎結構時��,都將保持不間斷的業務連續性作為主要目標����。
然而�,由于攻擊者的攻擊力可損及用戶的計算機�、移動設備��、服務器或者應用程序,企業環境中存在頻繁停機的情況。
分布式拒絕服務 (DDoS) 是一種可導致帶寬耗盡的攻擊�����。
值得注意的是�,許多其他情況也會導致網絡負載過重。
例如,對等文件共享����、對流式視頻的大量使用以及內部或外部服務器的峰值用量�����,都可導致內部用戶和外部客戶訪問網絡時網絡運行緩慢。
流式視頻是又一個很好的高耗帶寬應用程序的例子���,很多不同類型的企業都日漸高度依賴流式視頻進行核心業務操作��。
異地分布式公司使用它進行辦公室間通信��,品牌管理公司使用它進行媒體活動,軍方使用它發布命令和進行控制。
下述情況導致了不穩定狀況:發起 DDoS 攻擊容易;流式視頻對帶寬可用性高度敏感;即使在最優情況下�����,網絡負載也已過重;企業越來越依賴這些技術���。
因此����,IT 管理人員必須有所準備。
他們需要改變長期以來對資源用量�、對保護網絡上的設備以及對保護關鍵網絡帶寬的想法和規劃����。
此端點安全模型有助于他們結合當前現實考慮這些問題�。
端點安全模型的四大支柱四大支柱的基本前提是允許網絡執行,即使在遭到攻擊時也是如此����。
第一步是識別端點���。
什么是端點?在此模型中���,端點是實際完成工作時所在的下列任何位置:桌面���、服務器和移動設備���。
記住這些端點后,制定策略保護這些端點很重要���。
此策略 — 端點安全的四大支柱 — 的目標如下:防止端點遭到攻擊、使端點自動恢復�、監視網絡帶寬并使網絡自動恢復�。
記住上述目標����,有效的端點安全的四大支柱如下:端點強硬化端點恢復力網絡優先順序網絡恢復力對于每個支柱,還需要考慮幾個其他目標��。
首先���,建議盡可能使此過程實現自動化��。
畢竟一天只有那么多小時����,而IT管理人員的時間已安排得滿滿的�。
第二,應該對網絡進行集中監控�,以便了解實時情況��。
雖然兩大恢復力支柱的目標之一就是盡可能減輕此監控負擔,但有時您必須實施手動防御和防范措施����。
另外�����,即使在正常情況下�����,設備有時也會出現故障�����。
第三����,建立反饋循環;攻擊變得越來越復雜����,我們必須承認我們的防御并非時時刻刻都能跟上,除非是以不斷地進行正確防御投資為支撐�。
同時我們又必須意識到��,根據以往的情形,很難證明有充足的理由將網絡安全投資作為重要的業務支出。
這就是持續監控和反饋之所以重要的原因���。
我們越是了解發生在外圍和網絡內的實際威脅與攻擊,越能找出充足理由證明為保護那些企業資產所投入的注意力以及進行的支出是合理的。
1. 端點強硬化第一個支柱 — 端點強硬化 — 的目標是確保網絡資產使用最新技術阻止威脅����。
典型的威脅包括不安全電子郵件附件����、蠕蟲之類通過網絡傳播的病毒���、任何與威脅到您的 Web 瀏覽器有關的東西��。
攻擊防御措施的一個示例是使用防病毒/反惡意軟件這樣的軟件���。
另一示例是通過 OS 強制執行的強制完整性級別將計算機應用程序進程與潛在惡意軟件隔離或對潛在惡意軟件進行沙箱處理����。
一個有用的改進是能夠在中央為整個主機部署和管理隔離設置�����。
為實現有用性,執行此任務的方式要使第三方應用程序能不間斷工作(同時受到保護)�����。
那么如何對此支柱進行監控?您應采用可伸縮的方式監控域中的網絡資產�����,防止其遭到入侵����。
您還應監視意外的行為模式���。
2. 端點恢復力端點恢復力的目標是確保不斷地收集并監控設備和應用程序的運行狀況信息�����。
這樣出現故障的設備或應用程序可以自動修復��,因而使操作得以繼續。
下列技術是可以使端點更有恢復力的示例:網絡訪問保護、配置“基線”和管理工具(例如 Microsoft System Center)�。
這方面的一項改進將與上述技術結合���,生成以易于擴展的標準化基線為基礎的自動恢復行為�����。
如何對此支柱進行監控?請考慮以下任意方面的趨勢:哪些特定計算機不符合規定;它們具體是怎么不符合規定的;這種不符合狀態是何時出現的?無論是內部威脅��、外部威脅�����、配置錯誤�、用戶錯誤等����,都可以根據所有這些趨勢進行關于潛在威脅的推定。
另外�,用這種方式識別威脅時����,您可以不斷地使端點在面對越來越復雜的分布式攻擊面前更為強健��。
3. 網絡優先順序網絡優先順序的目標是確保您的基礎結構可以始終滿足應用程序帶寬需要��。
不僅會在眾所周知的峰值需求時間應用此考慮因素,而且,當出現意外的網絡負載浪涌以及分布式外部和內部攻擊時,也會應用它。
可以管理應用程序帶寬的技術包括 DiffServ 和 QoS���。
然而,此支柱當前代表了所需和商業供給之間的最大技術空白��。
將來�����,它將幫助解決方案集成用戶標識���、應用程序標識和企業優先級�����。
然后網絡路由器可以根據該信息自動劃分帶寬。
如何對此支柱進行監控?網絡路由器應執行流量記錄來分析趨勢��。
今日流量與昨日流量有何不同?負載增加了嗎?涉及哪些新地址?它們是否來自國外?有效的綜合監控有助于回答這些問題�����。
4. 網絡恢復力網絡恢復力的目標是允許無縫的資產故障轉移。
利用這方面的技術��,能理想地在性能下降時實時重新配置網絡�。
此支柱與端點恢復力類似之處在于,其目標是促進網絡自恢復性能��,最小化管理負擔�。
然而,此支柱也提醒大家注意,必須考慮故障轉移和冗余�����,既要考慮大規模的情況���,也要考慮小規模的情況��。
例如��,您可以使用群集技術提供數據中心內單一節點的故障轉移,但我們如何故障轉移整個數據中心或區域?
無可否認�,因為我們還必須考慮辦公室空間�����、基本服務以及員工(這個最重要),所以災難恢復計劃這項挑戰的范圍仍在加大����。
除群集之外��,此支柱麾下的其他相關技術包括復制和虛擬化。
如何對此支柱進行監控?故障轉移技術通常依靠監控�。
另外�,當企業需要發展時���,您可以使用加載數據執行資源和采購計劃��。
實現各支柱端點安全的這四大支柱中的每個支柱����,都可能是大多數組織未充分利用或尚未部署的商業供給安全��、網絡和業務連續性技術�。
因此����,IT 管理人員有下列商機:使用四大支柱(或某些其他框架)識別網絡防御中的威脅和縫隙在自動化和監控方面進行額外投資更緊密地參與企業決策者就這些努力的成本和好處做出決定的過程一些企業可能已發現自己在一個或多個支柱領域處于現有技術的最前沿。
