日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
你是否應該創(chuàng)建一個獨立的超安全網(wǎng)絡?

如何抵御高級持續(xù)威脅呢?筆者的建議是:做更好的補丁修復和使用白名單。通過這兩種方法,大多數(shù)可以減少99%的惡意攻擊風險。

站在用戶的角度思考問題,與客戶深入溝通,找到涪城網(wǎng)站設計與涪城網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗,讓設計與互聯(lián)網(wǎng)技術結(jié)合,創(chuàng)造個性化、用戶體驗好的作品,建站類型包括:網(wǎng)站設計、網(wǎng)站建設、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、域名與空間、虛擬空間、企業(yè)郵箱。業(yè)務覆蓋涪城地區(qū)。

但是很少有企業(yè)這樣做,大多數(shù)企業(yè)都專注于其他事物上。例如,他們計劃創(chuàng)建一個高度安全的網(wǎng)絡。

他們是這樣做的:首先整理所有服務,確定哪些服務是最重要的,然后盡全力保護這些資產(chǎn)。這些資產(chǎn)包括關鍵任務型應用程序或者服務,支持它們(Active Directory、DNS、用戶賬戶、服務賬戶、網(wǎng)絡設備等)的服務器和基礎設施,以及連接到這些應用程序或服務的所有工作站。

這種辦法的關鍵在于以較高水平保護關鍵資產(chǎn)。問題是如何實現(xiàn)這一點,以及我們需要建立多少這樣的網(wǎng)絡。

對于大多數(shù)APT攻擊,攻擊者會破壞Active Directory域控制器,獲得所有密碼哈希,然后使用傳遞哈希工具來獲得網(wǎng)絡的完全控制權。大多數(shù)企業(yè)想要創(chuàng)建一個或多個獨立的額外的網(wǎng)絡,這樣單個域控制器受到攻擊而不會威脅所有企業(yè)資產(chǎn)。

現(xiàn)在進入高度安全區(qū)域

這種獨立的高度安全的網(wǎng)絡并不是新鮮事物,很多公司至少都有一個這樣的網(wǎng)絡,每個軍隊都有多個高度安全的網(wǎng)絡。在過去二十年中,大多數(shù)企業(yè)都在想辦法整合多個網(wǎng)絡到更少的網(wǎng)絡,來降低成本和管理開銷。新的APT趨勢(APT已經(jīng)滲透企業(yè)五到十年之久)正在讓企業(yè)高管重新考慮以前的整合趨勢。

這是一個好事情。在域管理員組不設置任何永久性成員,這是成功的躲過哈希攻擊的先決條件。但如果你不能做到這一點,你可以創(chuàng)建多個安全域來降低風險。

如果你的公司正在考慮增加更多網(wǎng)絡,你必須先確定你需要多少個安全域。很多公司決定建立一個新的單一的高度安全的網(wǎng)絡,并把所有關鍵任務型服務器放在里面。筆者很喜歡這種模式,因為你能夠得到更多的安全性,同時減少因管理太多網(wǎng)絡的開銷??傮w思路是,如果你的所有關鍵任務服務器都是關鍵任務型服務器,它們應該部署相同的安全策略,并且在同一安全域中管理。

如果你決定只建立一個新的超安全網(wǎng)絡,你必須確保攻擊者之前的攻擊方式不能入侵這個網(wǎng)絡。否則,建立這種網(wǎng)絡將沒有任何意義。為了獲得最大的安全性,你可以部署物理隔離的網(wǎng)絡,并且不連接到互聯(lián)網(wǎng)。

大多數(shù)公司可能想要高度安全的獨立的網(wǎng)絡,但他們負擔不起運行單獨電纜或者無線接入點的成本和精力。一個很好的辦法是使用獨立的VLAN,雖然VLAN隔離可能被攻擊,但在現(xiàn)實世界中這很少發(fā)生。#p#

你想要怎樣的獨立程度?

如果你想要創(chuàng)建一個或者多個新的獨立的網(wǎng)絡,另一個大問題是你將如何配置和取消配置用戶、設備和其他資源。

對于單個網(wǎng)絡,配置通常被標記為人力資源系統(tǒng)。當一名員工被聘請時,這會涉及添加這名新員工的用戶帳號到域的手動或自動過程。如果這個過程是自動化的,信任根系統(tǒng)應該位于哪里?

例如,如果你把你的信任根系統(tǒng)放在原來網(wǎng)絡(可能已經(jīng)受到感染),它能否配置服務到新的高度安全的網(wǎng)絡?這安全嗎?答案是否定的。你可以信任從較高完整性和保障的系統(tǒng)提供數(shù)據(jù)到低完整性的系統(tǒng),但反過來就不行了。

在現(xiàn)實中,大多數(shù)企業(yè)沒有選擇。不過,他們有兩個次優(yōu)的選擇:他們要么允許不受信任的根系統(tǒng)來配置新網(wǎng)絡—這可能受到攻擊,要么他們?yōu)槊總€新的網(wǎng)絡部署新的根系統(tǒng),這非常昂貴并且難以維持。

事實上,每個額外的網(wǎng)絡都需要做出這樣的決定。新網(wǎng)絡是使用來自現(xiàn)有網(wǎng)絡的一個還是多個服務,還是只能完全依賴于新的服務?運行任何網(wǎng)絡必須的服務包括配置、服務臺、安全、事件相應、審計、PKI、電子郵件、打印等。

在確定了哪些來自現(xiàn)有網(wǎng)絡的服務需要用于新網(wǎng)絡后,大多數(shù)企業(yè)可能會考慮增加新的組,但隨后他們會意識到創(chuàng)建真正獨立的網(wǎng)絡比想像中更困難。#p#

現(xiàn)實世界攻擊

一般來說,企業(yè)最終會創(chuàng)建一種模式,其中共享服務要么保留在現(xiàn)有安全域名中,要么位于這個獨立的新網(wǎng)絡中,與所有其他網(wǎng)絡共享。他們還可能創(chuàng)建一個混合的網(wǎng)絡:一些網(wǎng)絡具有共享服務,而另一些網(wǎng)絡則沒有。

筆者只看到了少數(shù)公司決定在每個新網(wǎng)絡復制服務??偠灾?,這種決定并不容易,這是IT部門需要做出的最艱難的決定之一。

是否部署一個或者多個新網(wǎng)絡域名,這取決于每個公司,及其文化和風險承受能力。這個問題并沒有標準答案。從你自己的企業(yè)的需求來考慮這個問題,仔細權衡利與弊。你也可以選擇事后再更改設計。事實上,從最初的嘗試中你可以得出經(jīng)驗教訓來做出適當?shù)男薷摹?/p>

如果你問筆者,你不想花所有時間來創(chuàng)建超級安全的網(wǎng)絡,而是專注于企業(yè)可能受到攻擊的薄弱環(huán)節(jié),并且加強防御來抵御攻擊。這樣,你將真正保護你的企業(yè)。

畢竟,創(chuàng)造一個安全的網(wǎng)絡需要大量的時間和精力,你需要大量的重復勞動。為什么不將這些時間和精力用來加強現(xiàn)有網(wǎng)絡的防御呢?(鄒錚編譯)


新聞標題:你是否應該創(chuàng)建一個獨立的超安全網(wǎng)絡?
分享網(wǎng)址:http://www.dlmjj.cn/article/djhhhhp.html