|
深層防御的概念伴隨我們已經(jīng)好多年了——沒有上千年,也有上百年了�。中世紀(jì)的城堡就從建筑角度體現(xiàn)了這一理念。城堡周邊都是平地���,這樣一旦有來犯者�����,你就可以從城堡的崗哨看得清清楚楚��。
城堡四周的地形不平整,目的是增加敵人進(jìn)攻的難度��。城堡被溝壑,尖銳的障礙物或護(hù)城河包圍���。城墻高且陡峭���,敵人不能直接攀上墻壁。城墻上的衛(wèi)兵可以站在有利位置擊退來犯者����,他們可以直接使用火攻,或者從高處直接投擲石塊等物��。
護(hù)城河也是防止敵人挖地道的好辦法����。如果沒有護(hù)城河的話,攻擊者就可能挖地道繞過城墻�,或者削弱城墻的防護(hù)力。防御者也有可能挖通向外面的地道���,如果兩條地道交匯����,試想,沒有人愿意陷入這樣一場黑暗的地下戰(zhàn)斗���。
如果外墻防御失效�,其他的內(nèi)部城墻還能起到補(bǔ)充作用�����,防守城堡的其他部分���。有些中世紀(jì)城堡有多層防御工事����,所以攻擊者得突破四�����,五�,六甚至更多層封鎖才能得手。而在城堡內(nèi)部���,也有很多防御措施���,所以即便攻擊者突破外圍防御��,仍然很難奪取最有價(jià)值的東西——皇室家族及其財(cái)富�。
防御不能只是靜態(tài)的����。攻擊會遭遇城堡上破壞性武器的反擊��。梯子也會遭遇弓箭�����,長矛和石塊的打擊���。有時(shí)候���,衛(wèi)兵們還會用滾燙的油來澆淋攻擊者。
或許����,我們可以從中世紀(jì)的城堡中學(xué)到一些東西,比如:
1.不要依賴單純的安全技術(shù)��。城堡不能僅僅依靠一些陷阱來抵御梯子���,或是用護(hù)城河防止別人挖地道���。城堡設(shè)計(jì)者要設(shè)想各種可能遭遇的攻擊形式��,然后用防御策略解決問題���。也就是說要使用WAF,反病毒����,IDS,IPS和防火墻等來解決不同類型的攻擊�����。
2.使用分層防御���。城堡使用了多層級的防御�,以此增加攻擊者的進(jìn)攻難度���。所以我們可考慮使用安全的編碼技巧加固應(yīng)用�。使用WAF進(jìn)一步保護(hù)Web應(yīng)用��。加固應(yīng)用運(yùn)行的Web服務(wù)器。加密后端數(shù)據(jù)庫����。在系統(tǒng)上做漏洞測試,對找到的問題進(jìn)行修復(fù)���。使用強(qiáng)效登陸驗(yàn)證。用反病毒軟件掃描服務(wù)器���。做好安全控件計(jì)劃�,備份其他安全控件����,這樣就可以及們可能消除單點(diǎn)故障。請一個(gè)攻擊者做攻防演練����。
3. 做好隔離措施。分層防御�,單獨(dú)設(shè)障等都可以有效挫敗攻擊者——他們不能常勝不敗。不僅要在IT級別隔離環(huán)境�����,還要從安全級別做好隔離。確保每個(gè)防護(hù)對象彼此隔離��,就好像把它們跟外界隔離開一樣�。把敏感系統(tǒng)從網(wǎng)絡(luò)的其他部分隔離開來。內(nèi)部防火墻和過濾器有助于控制攻擊者�����,使其無法在你的內(nèi)網(wǎng)橫行����。在隔離對象之間設(shè)立監(jiān)控,可助你定位和停止反常行為�。
4.改善安全性能。防御者筑起壁壘抵抗攻擊者���。當(dāng)攻擊者使用梯子時(shí)����,防御者會向下投擲尖矛�����。每次當(dāng)攻擊增強(qiáng)時(shí)�����,防御也隨之演變。改善安全程序的第一步就是使用可修復(fù)舊漏洞的有效補(bǔ)丁管理系統(tǒng)�。當(dāng)WAF這樣的技術(shù)出現(xiàn)時(shí),要評估它是否能增強(qiáng)你的防御性能���,然后繼續(xù)改善安全程序�����,以最大程度利用新技術(shù)。
5.別偷懶�。可別坐以待斃����。要觀察到底發(fā)生了什么。監(jiān)控網(wǎng)絡(luò)環(huán)境的安全狀況�����,對突發(fā)事件和攻擊造成的影響做出響應(yīng)�。檢查系統(tǒng)看是否有薄弱環(huán)節(jié)。測試環(huán)境中的漏洞�����,保留一個(gè)可避免你暴露的主動漏洞管理程序。
在大多數(shù)案例中����,網(wǎng)絡(luò)安全失守的結(jié)局并沒有古代城池失陷那樣慘烈。但這并不意味著我們可以輕視現(xiàn)代網(wǎng)絡(luò)攻擊的危害��。所以�����,盡管時(shí)過境遷��,但深層防御的概念仍然有效���。
|
