摘要:银行的保险箱能够帮助您保护您的贵重物品,那么为什么不将您企业的关键数据信息也存放在一个超级可靠的网络环境中加以保护呢?当然,这并非您想象的那样简单。 |
但是,没有人听我的。大多数公司都希望专注于一切。通常情况下,他们的计划包括创建一个高度安全的网络。
这便是他们的超级安全网络如何工作的了:该公司将其所有的资产都进行库存盘点,然后决定哪些是最为关键性的,进而给予这些关键性资产最好的保护。这些资产包括关键性任务的应用程序或服务、服务器和基础设施(活动目录、DNS、用户账户信息、服务账户、网络设备等等),以及连接到应用程序或服务的所有的工作站。这需要考虑众多繁杂的因素。
他们的想法是,对于关键性资产,应该给予一个更高水平的保护。问题在于,要如何做,到底多安全的网络是必要的。
对于大多数的APT攻击,黑客分子最终都会破坏一个ActiveDirectory域控制器,得到所有的密码哈希值,并在网络上通过哈希传递(pass-the-hash)工具拥有完整的所有权。大多数公司都希望建立一个或多个独立的、额外的网络,使单个域控制器的破坏不会影响到企业的其他资产。
超级安全的网络并不是一个新兴的想法。许多公司都至少有一个超级安全的网络,数十年来,所有的军事部门均建立多个高级安全性网络。但与此同时,在过去的二十年的时间中,我们大部分企业都经历了将多个网络整合到更少的网络的方式来降低成本和管理开销的趋势。而新的APT的萌发是导致许多企业领导人重新考虑再次采用建立超级安全网络的原因。
这是一件好事。可以让您的企业从根本上断绝任何永久成员的域管理员组(这是哈希传递攻击成功的先决条件)。但如果您做不到,创建多个安全域也可以降低风险。
如果您的企业正在考虑增加更多的网络,您必须先确定您企业需要多少安全域。许多企业倾向于建立一个新的、单一的、高度安全的网络,然后将企业所有的关键服务任务都放在该网络环境下。我比较喜欢这种模型,因为这样就免去了您企业管理太多的网络所需的额外的安全开销。总的思路是,如果您企业的所有关键任务服务均是关键性任务的话,他们应该采用相同的安全政策并在相同的安全域中进行管理。
但即使您的企业决定只部署一个新的超级安全网络,您也必须进行相关的规划工作,以确保恶意黑客使用旧的方式在您企业的网络上无法正常工作。否则,您的部署超级安全网络的工作就算是白做了。想要获得最大的安全性,您可以通过采用物理上空气隙的网络(air-gappednetwork),而不用连接到互联网的网络。
大多数企业都渴望部署高度安全的、独立的网络,但他们无法承担相应资金和时间成本来运行单独的电缆或无线接入点到达企业的任何地方。一个很好的方法是使用单独的VLAN。虽然VLAN分离可以被打破,但其在现实世界中并不经常发生。