怎樣才是構建企業安全架構的正確姿勢？

palo alto networks召開**溝通會前一天雅虎被曝使用者資料遭竊事件，事件中5億使用者中槍，數量可謂嘆為觀止。

似乎不約而同，從target資料遭竊開始，大規模資料洩漏事故近兩年頻現，涉及數量也在輪番疊高。這一起起事件亦暴露了企業安全防禦所處的現狀，在攻擊手段日新月異的局面下企業安全架構預算大多停留在幾年前的標準，這就直接導致防禦成本和攻擊成本的不均衡。當然，企業並非無動於衷，確實也在不斷增加大量經費來平衡這一差異。然而現實是，企業被攻擊事件仍不斷發生，且在今後很長一段時間內，企業首先要意識到的就是「被攻擊成常態」這一事實，這與計算機能力的增加導致犯罪成本降低、次數更頻發、攻擊形式更為複雜多樣直接相關。

那麼，基於此情境，怎樣才能更好地構建企業安全架構，更好地防禦威脅呢?

攻防失衡：企業需先樹立「正確的防禦觀」

palo alto networks召開**溝通會前一天雅虎被曝使用者資料遭竊事件，事件中5億使用者中槍，數量可謂嘆為觀止。

似乎不約而同，從target資料遭竊開始，大規模資料洩漏事故近兩年頻現，涉及數量也在輪番疊高。這一起起事件亦暴露了企業安全防禦所處的現狀，在攻擊手段日新月異的局面下企業安全架構預算大多停留在幾年前的標準，這就直接導致防禦成本和攻擊成本的不均衡。

當然，企業並非無動於衷，確實也在不斷增加大量經費來平衡這一差異。然而現實是，企業被攻擊事件仍不斷發生，且在今後很長一段時間內，企業首先要意識到的就是「被攻擊成常態」這一事實，這與計算機能力的增加導致犯罪成本降低、次數更頻發、攻擊形式更為複雜多樣直接相關。

那麼，基於此情境，怎樣才能更好地構建企業安全架構，更好地防禦威脅呢？

攻防失衡：企業需先樹立「正確的防禦觀」

首先需要樹立「正確的防禦觀」。據palo alto networks大中華區總裁徐湧介紹，在攻擊和防禦失衡愈發嚴重的節奏下企業安全防禦應該從「提高攻擊成功率的成本」著手，「提高被入侵後拿走（洩漏）資料的成本」。

在其看來，新的安全防禦策略應隨著攻擊形勢和企業業務做出相應變化。從防火牆的部署來看，從傳統的4層牆轉向7層牆；需改變原有安全架構暗箱操作的特點，使其具備視覺化；化原來的單點防禦為整體防禦，化單兵單牆防禦為全球一體的防禦；通過快速和自動的防禦體系應對『被攻擊成常態』的局面；正視內網的不安全性，採用零信任的安全架構；最後安全並非一家能夠玩轉，需要各方攜手打破行業壁壘，構建更好的企業聯盟。

在企業安全架構中，如ciso直接報告給ceo/董事會，該企業的安全能力會直接提高，因為安全已不再是孤立的問題，而是涉及企業運營的方方面面。據調查顯示，在北美地區cio平均每天要使用的安全工具為69個，這其中涉及來自不同提供商的不同工具，這對安全的自動化提出了挑戰，而自動化恰是解決未來攻防失衡的關鍵所在，所以能用計算機解決的都不是事兒。

攻擊者挑軟柿子捏：如何構建正確的安全架構？

安全的重要性體現在事故發生時，所以在安全上做投資常是費力不討好的，短期投入回報比並不明顯，但這並不意味著企業可以放鬆對安全的重視。

事實上，攻擊者並沒有足夠的耐心從事攻擊，跟某個防禦系統過不去，總會尋求更為容易攻破的下手。從之前一起大型資料洩漏事故來看，攻擊者先是將矛頭對準了香港和新加坡，受阻後轉向了美國，並成功實施攻擊。

這再次強調了提高攻擊成功門檻的重要性，那麼如何構建乙個正確的安全架構呢？據palo alto networks中國區技術總監程文傑講述，企業可從這三方面入手：減少攻擊途徑、阻止已知威脅、識別並阻止未知威脅。

首先應用視覺化，減少攻擊途徑。企業應建立網路流量的視覺化分析並阻止未知流量；實施基於應用和使用者的訪問控制策略；阻止高危應用中的危險檔案型別；部署與風險對應的終端保護策略。

其次預防已知威脅。企業應阻止已知的漏洞攻擊、惡意軟體和c&c流量；阻止對惡意或釣魚url的訪問；掃瞄saas應用中的已知惡意軟體；阻止終端商的惡意軟體和漏洞利用。

最後也是最具挑戰最為關鍵的地方——預防未知威脅。企業要能夠檢測、分析檔案及url中的未知威脅；在整個阻止中自動更新對未知威脅的識別和防禦能力；建立積極的威脅防禦和緩解機制；在終端上阻止未知惡意軟體和漏洞利用行為。

授人以魚不如授人以漁，安全技術具有替代性，企業不能太過依賴某項技術，而是從業務出發，著手構建乙個完善的安全架構，聚沙成塔，以在攻防之戰中獲取主動權。

怎樣才是構建企業安全架構的正確姿勢？

如何建立乙個正確的安全架構去做正確的防禦

到底怎樣刷牙才是正確的？

物聯網安全架構的分層處理

怎樣才是構建企業安全架構的正確姿勢？

如何建立乙個正確的安全架構去做正確的防禦

到底怎樣刷牙才是正確的？

物聯網安全架構的分層處理

相關推薦