一文解析“纵深防御”(DiD)

在信息安全行业，对计算机网络和系统的攻击威胁日益复杂，以及出于社会、宗教或经济问题动机的攻击者日益增多。

今年，Verizon 的《2020 年数据泄露调查报告》(DBIR) 调查了全球超过 32,000 起安全事件和超过 4,000 起已验证的泄露事件。以下是一些最近令人不安的事态发展：

自 2019 年 DBIR 以来，数据泄露的数量增加了一倍。令人吃惊的是，86% 的数据泄露是为了金钱利益，67% 的攻击都与企业电子邮件泄露、网络钓鱼和凭证盗窃有关。Web 应用程序攻击激增至 43%，比上一年增加了一倍多。

企业安全团队充分意识到需要加强防御措施以抵御包含多种漏洞的攻击，并且他们不断寻找对策来提高防御能力。

他们从网络安全攻击事件中认识到，单一的安全机制无法完全保护网络。例如，外部防火墙无法保护有价值的资产免受内部人员的攻击，但可以对外部攻击者构成重大障碍。同样，对于外部攻击者来说，政策和程序毫无价值，但它们应该是任何保护网络内部安全的计划的一部分。

什么是纵深防御

“纵深防御”一词用于描述多层安全架构，包括部署防病毒软件、防火墙和入侵检测软件。其目标是通过将技术组件与强大的安全管理实践相结合来分层安全，以降低攻击或入侵的风险。实施纵深防御计划将理想地击败或阻止所有类型的攻击。

随着网络威胁的增加以及方法变得更加恶劣和自动化，纵深防御为 IT专业人员提供了一种强大、全面的信息安全方法。防火墙、交换网络、入侵防御系统、训练有素的用户、强密码、政策和程序以及坚实的物理安全是有效安全计划中的一些关键项目。这些措施中的每一项单独使用都有限，无法为您的网络基础设施提供全面的安全保护。但是，当它们结合起来时，作为整体安全策略的一部分，它们的价值会大大提高，并且可以提供更有效的网络威胁安全保护。

纵深防御应被视为一系列相互关联且重叠的技术和非技术安全措施，如果正确部署在一起，其影响力将大于各部分单独作用的总和。

纵深防御意味着什么？

纵深防御 (DiD) 是一种数据安全技术，其中在整个计算机网络中刻意放置一系列安全程序和控制，以保护网络的机密性、完整性和可用性。

根据纵深防御的理念，信息技术 (IT) 系统中安装了多层安全控制（防御）。虽然没有任何安全解决方案可以单独阻止所有网络威胁，但当它们一起使用时，它们可以防御各种攻击，同时在一种方法失败时提供冗余。如果有效实施，这一策略将大大提高网络安全性，抵御各种攻击媒介。有效的 DiD 方法可以涵盖系统生命周期内的技术、程序和物理安全。

当今网络威胁的规模和复杂程度不断增加。纵深防御是一项综合战略计划，结合了组织的所有安全要求，以应对与端点、应用程序和网络安全相关的所有挑战。它预设了一种可预测、更大、更多样化的防御视角，而不仅仅是应对攻击。

强大的纵深防御方法不仅可以防止网络威胁的发生，还可以阻止已经发生的攻击，防止进一步的损害。该策略采用各种安全技术来保护组织的所有资产。

防火墙、安全网关、防病毒软件和虚拟专用网络 (VPN) 等传统网络安全解决方案在纵深防御方法中仍然很重要。现在正在采用更先进的方法，例如使用机器学习 (ML) 来发现端点和用户行为中的异常，以开发最强大、最全面的可行防御。

纵深防御为何如此重要？

如今，随着全球企业对在家办公的需求不断增加，安全风险也变得越来越严重。现实情况是，当远程工作者在传统网络边界之外工作时使用云应用程序访问和共享数据，他们不仅危及数字化转型计划的有效性，而且还会暴露新的攻击媒介。

随着越来越多的员工在家工作，组织必须处理与员工使用自己的设备工作以及使用家庭 Wi-Fi 连接访问公司网络相关的安全问题。

此外，随着越来越多的企业使用云托管的软件即服务 (SaaS) 应用程序（其中许多都是任务关键型的），管理通过网站输入的越来越多数据的隐私和安全变得更加复杂。

纵深防御的优势在于其方法论结合了先进的安全解决方案来保护敏感数据并防止威胁到达端点和网络.

纵深防御策略的优势在于它认识到终极网络保护所需的宏观控制，涵盖网络的物理、技术和管理部分。

通过堆叠甚至重复安全流程，可以降低被入侵的风险。大多数企业都知道，单层保护或单点产品（如防火墙）不足以抵御当今日益复杂的网络攻击。企业网络的分层安全结合了众多网络安全解决方案，以限制网络的攻击面并保护网络免受全方位攻击。

纵深防御策略提供多层安全保护并防止威胁，因为如果一种安全产品出现故障，另一种产品就会接替。例如，如果黑客成功入侵组织网络，纵深防御可让管理人员及时启动对策。为了防止进一步入侵，应安装防病毒软件和防火墙，保护组织的应用程序和数据。

冗余是多层安全的另一个好处

如果外部攻击者破坏了一道防护线，或者内部威胁渗透到网络的一部分，其他安全措施可以帮助减少对组织网络的危害。另一方面，只使用一种安全解决方案会导致单点故障；如果被黑客入侵，整个网络或系统可能会被攻破或损坏。

纵深防御技术大大增加了成功渗透网络所需的时间和复杂性，它耗尽了参与的网络威胁行为者的资源，并增加了主动攻击在完成之前被发现和消除的几率。

除了网络安全之外，纵深防御还通过关注企业为保持安全而应监管的管理和物理控制来提供更高级别的保护。

在保护贵重设备或其他物质资产时，纵深防御方法通常用于物理安全。

纵深防御如何发挥作用？

为了限制可能的攻击媒介的范围，组织需要多层安全措施，包括防火墙、反恶意软件和防病毒软件、入侵检测系统、数据加密、物理控制和安全意识培训。

以下类型的安全技术和解决方案是成功的纵深防御层的示例：

防火墙

防火墙是具有访问或拒绝策略或规则来管理网络流量的软件或硬件设备。IP 地址、MAC 地址和端口可以根据这些标准列入黑名单或白名单。Web 应用程序防火墙 (WAF) 和安全电子邮件网关是应用程序专用防火墙的示例，它们专注于检测针对特定应用程序的有害活动。您可以使用多个防火墙作为内部和外部防火墙来避免横向攻击并隔离您的系统。

网络分段

根据独特的业务目标将网络划分为各种子网络的技术称为网络分段。例如，此模型通常包括高管、财务、运营和人力资源子网络。这些网络可能无法直接交互，具体取决于所需的保护程度。网络交换机或防火墙规则通常用于创建分段。

补丁管理

将更新应用于操作系统、硬件、软件和插件的过程称为补丁管理。这些补丁通常用于解决已知漏洞，这些漏洞可能允许对计算机系统或网络进行不必要的访问。

入侵防御或检测系统 (IPS)

当发现恶意网络流量时，IDS工具会发出警报。IPS工具会尝试阻止和警告网络上或用户桌面上的可疑恶意活动。已知恶意网络行为的签名可用于识别这些解决方案中的攻击。

端点检测和响应 (EDR)

安装在客户端系统（例如用户的笔记本电脑或移动设备）上的软件或代理，提供防病毒保护、检测、分析、警报和威胁情报。

特权访问管理 (PAM)

PAM 解决方案提供保护人类和非人类特权帐户和凭据的功能。密码保存并分发在安全保管库中，定期循环使用，通常与多因素身份验证相结合。根据最小特权原则 (POLP)，用户、系统和流程只能访问完成其指定目的所必需的资源

除了这些标准的网络安全解决方案层之外，纵深防御原则已发展到不仅仅包括检测和阻止攻击或入侵。事件响应、灾难恢复、报告和取证分析等其他安全措施都包含在更大、更具战略性的纵深防御定义中。因此DiD 实施是一个耗时且资源密集的过程，企业组织应检查现有网络设置，并确保使用基于风险的方法保护重要敏感资产。

安固软件防泄密软件作为一款专业的数据防泄密工具，可以帮助企业有效防范员工泄露商业秘密。通过文件加密、权限管理、实时监控和告警拦截等功能，安固软件可以确保企业商业秘密的安全性，降低泄露风险，保护企业的核心竞争力和声誉。