银行保险箱可以呵护你的珍贵物品,那你为甚么不建一个超安然收集来呵护你的首要数据呢?并且这一点都不难。
若何抵抗高级延续威胁呢?笔者的建议是:做更好的补丁修复和利用白名单。经由过程这两种编制,大年夜大都可以削减99%的歹意报复打击风险。
可是很少有企业如许做,大年夜大都企业都专注于其他事物上。例如,他们打算成立一个高度安然的收集。
他们是如许做的:起首清算所有办事,肯定哪些办事是最首要的,然后尽全力呵护这些资产。这些资产包含关头任务型利用法度或办事,撑持它们(Active Directory、DNS、用户账户、办事账户、收集设备等)的办事器和根本举措措施,和连接到这些利用法度或办事的所有工作站。
这类编制的关头在于以较高程度呵护关头资产。标题问题是若何实现这一点,和我们需要成立多少如许的收集。
对大年夜大都APT报复打击,报复打击者会粉碎Active Directory域节制器,获得所有暗码哈希,然后利用传递哈希东西来获得收集的完全节制权。大年夜大都企业想要成立一个或多个自力的额外的收集,如许单个域节制器遭到报复打击而不会威胁所有企业资产。
此刻进进高度安然区域
这类自力的高度安然的收集其实不是新颖事物,良多公司起码都有一个如许的收集,每个戎行都有多个高度安然的收集。在过往二十年中,大年夜大都企业都在想编制整合多个收集到更少的收集,来降落成本和治理开消。新的APT趋势(APT已渗入企业五到十年之久)正在让企业高管从头考虑之前的整合趋势。
这是一个功德情。在域治理员组不设置任何永久性成员,这是成功的躲过哈希报复打击的先决前提。但假定你不克不及做到这一点,你可以成立多个安然域来降落风险。
假定你的公司正在考虑增加更多收集,你必需先肯定你需要多少个安然域。良多公司决定成立一个新的单一的高度安然的收集,并把所有关头任务型办事器放在里面。笔者很喜好这类模式,因为你可以或许获得更多的安然性,同时削减因治理太多收集的开消。整体思路是,假定你的所有关头任务办事器都是关头任务型办事器,它们应当摆设不异的安然策略,并且在统一安然域中治理。
假定你决定只成立一个新的超安然收集,你必需确保报复打击者之前的报复打击编制不克不及进侵这个收集。不然,成立这类收集将没有任何意义。为了获得最大年夜的安然性,你可以摆设物理隔离的收集,并且不连接到互联网。
大年夜大都公司可能想要高度安然的自力的收集,但他们承担不起运行伶仃电缆或无线接进点的成本和精力。一个很好的编制是利用自力的VLAN,当然VLAN隔离可能被报复打击,但在实际世界中这很少产生。
你想要如何的自力程度?
假定你想要成立一个或多个新的自力的收集,另外一个大年夜标题问题是你将若何建设和打消建设用户、设备和其他资本。
对单个收集,建设凡是被标识表记标帜为人力资本系统。当一名员工被礼聘时,这会触及添加这名新员工的用户帐号到域的手动或主动过程。假定这个过程是主动化的,信赖根系统应当位于哪里?
例如,假定你把你的信赖根系统放在本来收集(可能已承遭到传染),它可否建设办事到新的高度安然的收集?这安然吗?谜底是不是定的。你可以信赖从较高完全性和保障的系统供给数据到低完全性的系统,但反过来就不可了。
在实际中,大年夜大都企业没有选择。不外,他们有两个次优的选择:他们要么承诺不受信赖的根系统来建设新收集—这可能遭到报复打击,要么他们为每个新的收集摆设新的根系统,这很是昂贵并且难以保持。
事实上,每个额外的收集都需要做出如许的决定。新收集是利用来自现有收集的一个仍是多个办事,仍是只能完全依托于新的办事?运行任何收集必需的办事包含建设、办事台、安然、事务响应、审计、PKI、电子邮件、打印等。
在肯定了哪些来自现有收集的办事需要用于新收集后,大年夜大都企业可能会考虑增加新的组,但随后他们会心识到成立真正自力的收集比想像中更坚苦。
实际世界报复打击
一般来讲,企业最终会成立一种模式,此中共享办事要么保留在现有安然域名中,要么位于这个自力的新收集中,与所有其他收集共享。他们还可能成立一个同化的收集:一些收集具有共享办事,而另外一些收集则没有。
笔者只看到了少数公司决定在每个新收集复制办事。总而言之,这类决定其实不等闲,这是IT部门需要做出的最艰巨的决定之一。
是不是摆设一个或多个新收集域名,这取决于每个公司,及其文化和风险承受能力。这个标题问题并没有尺度谜底。从你本身的企业的需求来考虑这个标题问题,细心衡量利与弊。你也能够选择过后再更改设计。事实上,从最初的测验测验中你可以得出经验教训来做出恰当的点窜。
假定你问笔者,你不想花所有时候来成立超等安然的收集,而是专注于企业可能遭到报复打击的亏弱环节,并且加强防御来抵抗报复打击。如许,你将真正呵护你的企业。
事实,创作发现一个安然的收集需要大年夜量的时候和精力,你需要大年夜量的反复劳动。为甚么不将这些时候和精力用来加强现有收集的防御呢?