网络分段(Network segmentation)是为了应对网络流量的增大而导致的用户响应缓慢以及数据流堵塞,而将大型网络划分为众多小网络的行为,是淘汰过时的安全方法的最佳途径。
采用“城堡周围的护城河”式的防御是处理计算机网络安全的可靠方法,可以防止网络攻击者的出现。“扁平化”网络致力于为网络上的所有设备提供可靠快速的连接,而安全工作则着眼于隔离外部网络与内部网络。
然而,这种传统的方法已经不再适用于保护现代企业复杂的互联数字化网络,或者难以应对网络攻击者不断发展的技巧,这导致了WannaCry勒索软件攻击等违规行为。企业的数据不断地在进出网络。然而,当这些数据通过企业的工作人员在将IT服务迁移到云端时,企业内部网络和外部网络之间就存在一条模糊的界限。
咨询调研机构毕马威公司的CIO咨询经理Fredrik Lindstrom表示,相反,企业将网络分段或将网络分割成子网络是淘汰陈旧过时的安全方法的一种最佳途径。不幸的是,它也是企业网络安全计划中最被忽视的部分之一,因为大多数组织认为网络分割过于复杂和繁琐。根据Avaya公司委托进行的研究,虽然几乎所有的IT专业人员都认为网络分段是一项重要的安全措施,但实际上只有不到四分之一的企业实施了这项措施。
Lindstrom解释说:“很多公司不知道从哪里开始,如何做,以及应该包含哪些组件。”他补充说,试图实施网络分段的组织经常遭遇失败,因为这是一个如此巨大的任务。
对于那些做得对的组织来说,实施网络分段是非常值得的。其威力在于它能够直接处理当今威胁环境的现实,既然无法防止网络违规事件发生,但是可以将其隔离开来,这样病毒只能传播到几个点,而不是成千上万的都被感染。
根据毕马威公司的一篇新论文“现代企业中提高安全性的10个部分框架:网络分割势在必行”指出,正确的网络分段为防止恶意软件和行为者在网络上横向移动的控制奠定了基础,防止潜在的感染或危及网络传播。网络分段还允许在整个网络中增加控制点,从而显著提高对网络流量的可视性和控制。
网络分段入门的框架
毕马威会计师事务报告中的网络分段框架包含10个组成部分,其中包括制定指导性战略文件,创建分段和控制点的网络架构,通过IT资产管理定义需求,实施核心安全控制,并创建一个全面的数据分类程序。
Lindstrom说,在如此大量的工作,最重要的组织优先事项是通过变更管理来处理涉及的人员的关系,并设定程序的基本部分,如资产管理和数据分类。Lindstrom说:“一旦组织拥有了基础设施,那么就可以拥有从安全到网络到数据中心的覆盖范围,所有这些传统的IT团队的工作。”他补充说,通过从小事做起,而不是试图在这样一个大型项目中做得面面俱到,组织可以实现最后的覆盖,而最成熟的组织可以实施网络分段,而这是一种基于行为的保护措施。
毕马威会计师事务所的文章详细介绍了一家高科技制造企业的案例,这家高科技制造企业由于有机增长和收购而整合了网络基础设施。它没有提供必要的网络细分来保护重大的研发投资。这家公司对差距进行评估并设定目标,将网络分段策略分解为更小的项目。该公司解决了其全球网络中的网络安全缺陷问题,提高了安全性、自动化、运营效率,以满足该公司目前的需求。
网络分段实施面临的最大挑战
Lindstrom说,企业的人员和内部斗争往往是实施网络分段的最大障碍。该项目必须涉及从人力资源和法律、IT资产管理、安全网络,以及最终用户计算等各个方面。他说:“所有这些孤岛必须协同工作才能正确实施这个框架。这是企业如何处理网络的一个变化。”
他补充说,让组织了解网络细分工作的最重要方法是制定如何取得成功,以及如何改变用户的行为。也就是说,当组织将网络分割与资产管理集成相结合时,如何恰当地涉及人力资源和法律,以及如何进行工作。
另外,大多数组织都犯了过分依赖供应商的错误,在谈到网络分段的过程中,他们可能不会提供什么客观的建议。Lindstrom说:“供应商会说他们正在为组织做最好的事情,但是他们倾向于提供产品和服务,而不是为了让这个组织的业务成功。”
提供巨大成果的长期努力
网络分割限制了网络违约事件的损害,可以说是一种抵御最新的复杂安全威胁的最佳防御手段。但对于大多数公司来说,即使是违规的可能性也不足以让他们开始实施。而采用网络细分往往是由一个重大的违规事件引发的,这个事件激发了这些组织为此必须采取行动。
但现在是企业考虑实施网络分割的时候了。这是一项长期的努力,可能需要三个月到三年的时间。 Lindstrom说:“企业可以开始进行网络细分,但是如果没有其他组件,比如成熟的数据分类程序和IT资产管理,就不会顺利实施。 ”
他补充说,这完全是为了打破孤岛效应。Lindstrom说:“企业开始关注网络细分和隔离组件是至关重要的。即使只专注于数据中心,无论是在内部部署数据中心还是在云端,这都是朝着正确方向迈出的一大步。”
