教你识別和区分网络及使用者

适当进行网络区隔是对抗APT攻击最关键的措施。对组织来说，适当的识别和分类正常流量和用户，能够更容易保护组织的重要数据，目前，移动设备和BYOD政策趋势，加之企业网络内数据流动的规模大大增加，说明想要进行“正确”的网络区隔变得困难得多。

那么，有哪些标准可以用来识别和分类网络？

网络上有什么数据？

公司网络的不同部分应该只存取日常运作所需的数据，此外也有些企业数据可能要限制只有特定员工可以存取。在这方面的需求可能很复杂且互相矛盾，但某种程度的网络区隔对于减少APT攻击风险来说是必要的。

使用什么设备存取网络？

在当今的移动办公环境下，存取网络的设备数量大大增加，管理者对于公司拥有的设备属于“已知”状态，可进行远程管理，但其他设备就“未知”且无法管理了，能做的就是将非IT控管的设备放入受限制的企业网络区段，这样，设备所潜在的任何安全风险都可以较快的隔离。

谁连到网络？

并非所有连到网络的用户都需要存取相同的东西，不同的角色需要存取企业网络的不同部分；入侵事件如果发生在低权限网络区段，只有在业务需要时才有机会存取到较高权限的网络区段。

网络区隔的优点

适当的区隔网络在许多方面上可帮助抵御APT攻击。网络区隔使得组织内部横向移动更加困难，可能需要入侵更多计算机或取得更多认证凭据，网络区隔属于深度防御战略的一部分，增加攻击者想要成功入侵组织所要花费的努力。

防止第三方攻击

针对第三方攻击，适当的网络区隔将限制他们只能存取厂商所需的IT网络，任何通过这些厂商进行的入侵活动，如果想进一步存取企业网络的其他部分时都会遇到更多阻碍。大型组织需要与它的厂商一同合作以减少来自这些厂商网络的潜在风险。

防止内部攻击

内部攻击已存在组织内，对于组织应对攻击的方式及组织有价值的数据等都有所了解，然而，并非所有的内部人士都可以存取所有公司机密，内部攻击只有有限的目标、资源或能力。在这种情况下，内部网络区隔有助于防止内贼存取网络的其它部分。

结论

网络和用户区隔对防护大型组织的网络来说是必要的步骤。不过，它必须是属于评估组织面临威胁综合作法的一部分，以下是让组织开始进行风险评估的合理作法：

l  确认需要保护的资产、数据，你的安全基础设施对它们具备哪些控制措施和能见度。

l  要确认有哪些网络服务在使用中，而且是否有适当的控管。

l  确定资产、数据如何被存取以及它们如何储存。

l  利用现有的安全控制识别过去和当前的威胁以建立当前威胁活动的基准点。一旦建立，就接着识别产业界对类似你所持有资产所看到的威胁。

l  评等这些威胁，进而分配相应的风险等级。在设计网络及其他防御措施时要考虑到这些威胁跟风险等级。

 通过这些步骤，组织就能对其所面临的风险有进一步的理解，也可以知道如何用有效且经济的方式来抵御这些威胁，以确保他们的组织可以得到充分的保护。