国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全

分層安然策略為甚么不是全能的?

時間:2013-12-02 09:44來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
為了應(yīng)對日趨復(fù)雜的歹意行動和歹意軟件,分層安然策略在不久之前變得相當受歡迎,并且此刻已深進人心,成為全部行業(yè)呵護企業(yè)收集最好的實踐編制。從直不雅的角度來看,它仿佛在收集
Tags系統(tǒng)安全(735)安全策略(98)入侵防御系統(tǒng)(20)  

  為了應(yīng)對日趨復(fù)雜的歹意行動和歹意軟件,分層安然策略在不久之前變得相當受歡迎,并且此刻已深進人心,成為全部行業(yè)呵護企業(yè)收集最好的實踐編制。從直不雅的角度來看,它仿佛在收集內(nèi)擺設(shè)了多臺安然設(shè)備,每臺都有其本身的防御載體,供給一種具有反復(fù)性、在幾個不合層次上都成心義的收集防御。

  好比,假定一個組織擺設(shè)了一個防火墻、進侵防御系統(tǒng)(IPS)和端點呵護(EPP)系統(tǒng),組織會覺得這些產(chǎn)品可以經(jīng)由過程其不合的功能組合供給更強大年夜的呵護:在收集外部,防火墻會查抄歹意URL、IP地址和其它近似可以在拜候節(jié)制列表中等閑驗證的指標傳進的數(shù)據(jù)包。數(shù)據(jù)包假定經(jīng)由過程防火墻,IPS系統(tǒng)會查抄數(shù)據(jù) 包的內(nèi)容和頭信息,假定肆意數(shù)據(jù)包內(nèi)容被視為合適IPS簽名列表的歹意內(nèi)容,這個數(shù)據(jù)包就會被丟棄或禁止。最后,在收集中EPP系統(tǒng)駐扎在每個終端設(shè)備上,作為防御歹意代碼的最后一道防御線,匹敵可能經(jīng)由過程防火墻和IPS的歹意代碼。

  給定的數(shù)據(jù)包經(jīng)由過程收集的每個節(jié)點時,都需要接管為了呵護收集而日趨侵進性的查抄。安然治理員都感應(yīng)欣慰,感覺只有最復(fù)雜的歹意編碼可以成功滲入安然設(shè)備的幾層防御。但是,NSS嘗試室的自力安然測試人員發(fā)布的一份陳述質(zhì)疑擺設(shè)分層安然編制會加強企業(yè)收集安然。

  在陳述中關(guān)于進侵偵測故障的部門,NSS嘗試室決定測試37種不合的安然設(shè)備,包含來自24家安然廠商供給的解決1711種已知縫隙的防火墻、下一代防火 墻(NGFW)、IPS和EPP設(shè)備。所選擇的報復(fù)打擊已知傳染過超越200多種軟件供給商,包含來自微軟、蘋果和思科的產(chǎn)品。NSS嘗試室為了肯定對檢測 縫隙的最好配對,測試了各類設(shè)備的不合組合。對分層安然策略的暗藏故障,成果供給了一個有趣的謎底。

  測試的606種不合組合中,只有19種成功禁止了所有進侵詭計,值得寄望的是,沒有一種伶仃進行測試的設(shè)備可以或許禁止所有的歹意詭計。至于哪些產(chǎn)品一路工作 是最好搭配,NSS嘗試室發(fā)現(xiàn)NGFW和IPS的組合比肆意EPP系統(tǒng)組合都能更有效地禁止已知的報復(fù)打擊。例如,肆意NGFW-IPS組合平均故障率約為 0.8%,而肆意EPP組合平均故障率是驚人的26%.單單這些成果表白,假定不將一些內(nèi)嵌的安然設(shè)備搭配起來,僅僅只是擺設(shè)端點防護是不敷安然的編制。

  那么,組織應(yīng)當采納或打算采納如何的分層安然編制來應(yīng)對這個陳述?起首,企業(yè)應(yīng)當正視陳述的具體內(nèi)容。例如,該當寄望到,沒有任何安然裝配可以僅僅仰仗本身來檢測到所有直接的微軟相干報復(fù)打擊。以微軟為中間的組織決定擺設(shè)安然設(shè)備組應(yīng)時,應(yīng)當熟諳到這個事實。

  該陳述供給了大年夜量關(guān)于各類設(shè)備組合的機能詳情,我建議起碼通讀全部陳述,然后采取此中關(guān)于您的組織所利用的產(chǎn)品或供給商的機能內(nèi)容。蘋果對蘋果產(chǎn)品的比較 可能其實不太合適,可是數(shù)據(jù)可能會凸顯你的產(chǎn)品表示不佳的狀況和如何將產(chǎn)品和其它手藝連絡(luò)起來可以進步你的分層安然。例如,一個出格的組 合:Sourcefire 3D8250 IPS和Stonesoft 1301 NGFWs,在我心目中脫穎而出,因為它在測試過程中的禁止表示很是好。雖然如斯,某些產(chǎn)品可能合適一個組織,但不必然會合適另外一個組織。

  為此,每個組織考慮或擺設(shè)分層安然編制時,最好考慮到本身的威脅狀況和安然要求,然后遵循NSS嘗試室的編制自行進行測試。這將為每個組織供給特定的成果組合,并能產(chǎn)生一個更清晰的畫面,奉告組織哪些產(chǎn)品可以供給最好的機能。

  最后,擺設(shè)分層安然策略時假定不考慮到設(shè)備組合,其實很有可能導致災(zāi)害性的后果。當然會有故障可能性,可是對報復(fù)打擊者帶來的良多標題問題,分層收集安然仍然可 以像當前肆意編制一樣供給極有說服力的解決編制。為了確保利用分層安然策略可以帶來更好的結(jié)果,在擺設(shè)設(shè)備之前,安然治理員應(yīng)當深進研究不合廠商的設(shè)備組 合,上述NSS嘗試室陳述就是這個過程一個明智的開端。

------分隔線----------------------------

推薦內(nèi)容