在英国长大,我们学到了两堂难忘的课:如何过马路,以及不要和陌生人说话。这两种教育方式都是出于明显的安全原因,但其中一种存在缺陷,仍然以意想不到的方式影响着我们。是的,正如你可能猜到的那样,《陌生人的危险》并没有经过充分的考虑——事实证明,坏人不仅仅是未知的外来者,他们也可能是我们一直都知道的内部人士。不过,让我们不要让其他可能性妨碍一个简单的解决方案-让我们建一堵墙,把那些坏人挡在外面!
类似的场景正在网络安全中上演;传统的周界安全功能已死;防火墙再也不能把坏人挡在外面了,他们要么在墙上找到裂缝,要么自带梯子,带着被盗的设备、被盗的证书或雇佣合同爬进去。报告显示,高达90%的安全预算仍然花在外围防御上,但令人惊讶的是,只有24%的攻击尝试突破防火墙。当然,当你想到这一点时,这并不令人惊讶——你是穿过墙,还是试图绕过它/越过它?
问题是,当我们仍然专注于墙的时候,我们没有足够的注意到里面发生了什么。一旦进入,一切都太容易造成巨大的损害-甚至只是偶然!对网络内部的控制仍然很少,在许多情况下,完全授权是默认选项。我们的无线网络解决了这个问题的一半——幸运的是,对外部世界的恐惧在这里对我们有利;事实证明,外人从停车场连接到我们的无线网络是难以承受的。即使在这里,我们倾向于依赖于用户的身份验证,但随后会给予全权授权。这种情况在电线方面要糟糕得多——有很多次,我在董事会会议室里为了上网而断开电话,因为没有客人用的WiFi,这已经不是什么好玩的事了。
我们需要观察网络内部的开阔空间,我们需要能够保持“爆炸半径”尽可能小以减少缺口的影响。有线网络是新的担忧,但我们也需要在无线网络的基础上增加一些内容。
我们需要向“零信任”网络模型靠拢,在这种网络模型中,每个用户(包括IT)和每个设备(端点和基础设施)都要经过身份验证,和授权,和占了。它们的访问策略必须是动态的,并基于尽可能广泛的上下文。
