正确的网络设计如何防止灾难性的“头条新闻”安全攻击

Camille Campbell 产品营销高级经理 Published 8 Apr 2019

毫无疑问,云服务的普及和连接设备的涌入正在为实施安全性创建更加复杂的环境。事实证明, CSO Online估计,典型企业正在评估或部署多达75种不同的安全产品。 涵盖安全性的许多不同方面。

网络本身就是对最新和最好的防火墙或威胁检测系统的高度重视,因此常常被忽略以改善公司安全状况的一种解决方案。具有讽刺意味的是,在大多数违规情况下,网络设计使组织陷入困境。 

为什么?由于当今许多网络都是平坦的,因此黑客可以通过毫无戒心的用户或无人值守的IoT设备进入网络,并且一旦它们进入IP接口,因此只需花费很少的精力就可以发现IP网络拓扑。最终,这使黑客可以非常仔细地导航到组织的“皇冠上的宝石”。

这在一个 概念破解的证明 在这里,由于医院的扁平网络,研究人员能够侵入该网络,然后很容易地发现并穿透超声机。下一步是下载和处理患者文件,然后执行勒索软件。

投资于正确的网络基础架构和正确的设计可以防止此类危险和昂贵的事件的发生,并通过以下方式增强安全性:

  • 减少攻击面
  • 防止横向移动
  • 隐藏核心基础架构
  • 消除后门入口点 
  • 实现关键设备和控制系统的完全隔离
  • 确保最有效地使用下一代防火墙和威胁防护系统

极限面料连接 在提供固有安全的网络方面提供了巨大的价值。实际上,在多次公开的骇人听闻中,事实证明它是无法穿透的。 (想尝试一下吗?参加下一个 哈克·索恩 在我们即将到来的 极限连接 会议。) 

以下是通过Fabric Connect帮助改善组织整体安全状况的几种方法:

可扩展的网络分段减少了攻击面并防止了横向移动

根据 国家安全局的罗伯·乔伊斯(Rob Joyce),“分段良好的网络意味着,如果发生违规行为,则可以将其遏制起来。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 

在破坏超声波的示例中,如果网络被分割,黑客将被限制在其进入点。他们不会对连接到网络的超声波机器有任何了解,并且可以避免勒索软件攻击。

起源于服务提供商领域,Fabric Connect使网络段可以大规模部署。寻址层次结构用于在用户服务或网段与基础网络基础结构之间提供清晰的分隔。 

借助Fabric Connect,用户流量被封装在边缘,因此对于网络核心来说是完全不可见的。服务或网段也完全彼此隔离。除非通过严格控制的访问点进行配置,否则它们就像是夜里驶过的轮船一样,彼此之间没有任何感知,也不允许任何进出。这样可以确保在发生违规时将其包含在发生违规的部分中,从而最大程度地减少了潜在损失。 

隐藏核心基础设施

由于Fabric Connect背后的核心技术基于以太网交换路径(而不是IP),因此它不受黑客用来发现网络拓扑结构的常用IP扫描和黑客工具的侵害。任何在Fabric Connect环境中运行IP扫描的人都只会得到IP子网的列表,这些IP子网仅显示到网络出口的单跳。两者之间的一切都是“黑暗”。这种无法发现网络拓扑的能力使黑客几乎不可能横向移动到网络的敏感区域。

但是,网络管理员对网络拓扑具有完全的可见性和控制力。与遥测和分析功能结合使用时,可见性甚至可以扩展到应用程序流数据和详细的数据包分析。

去除边缘的残留配置

Fabric Connect的主要价值之一是,当经过身份验证的用户和设备连接时,它可以在网络边缘动态建立安全段。网段本质上是弹性的,随着经过身份验证的用户和设备连接到网络或从网络断开,它们可以伸缩。当用户从交换机端口断开连接并且不再需要访问网段时,剩余配置将在边缘交换机上自动删除。这不仅消除了与手动配置的常规网络相关的延迟和风险,而且还消除了后门进入网络的风险。 

关键设备和控制系统的完全隔离

Fabric Connect网络中最隐身的网段是第2层网段,其中绝对没有定义IP接口。 IP仍可以在L2网段内部“运行”,但是网段本身是一个完全封闭的环境,除非另有规定,否则任何人都无法进入或退出。对于用于控制和管理对安全至关重要的基础结构(例如,电网,地铁和火车)以及生产和制造楼层(在其中提供封闭环境的环境至关重要)的协议,此类服务非常有用。

高效部署安全解决方案

一些组织依靠防火墙来分割网络。随着时间的流逝,这种方法可能导致较高的资本支出和运营成本。使用Fabric Connect,网络易于分段且易于管理,因此可以在分界点更有效地使用防火墙。  

可以将威胁防护代理策略性地部署在网段的入口和出口,以监视异常数据进出网段。策略服务器可以控制对网段的访问,并确保对用户和设备进行正确的身份验证,并具有访问特定网段所需的凭据。 

底线是 通过正确的设计,网络可以成为保护组织免受灾难性“头条新闻”攻击​​的积极参与者。现在是时候将一部分安全预算移交给网络了。

将最新故事直接发送到您的收件箱!

相关企业故事