导读
由于篇幅所限,遂将此文分为上下两篇,上篇侧重讲原理,下篇会结合原理讲述若干实际案例。
概述
从 Google 的 BeyondCorp 计划说起。
Google 的这项行动计划名为 BeyondCorp ,目的是为了彻底打破内外网之别。其基本假设是——内部网络实际上跟互联网一样危险,原因有两点:
-
一旦内网边界被突破,攻击者就很容易访问到企业内部应用。
-
现在的企业越来越多采用移动和云技术,边界保护变得越来越难。所以干脆一视同仁,不外区分内外网,用一致的手段去对待。
本文不深入阐述 Google 的这个方案是如何做的,从这个案例只想说明一个问题,随着信息安全漏洞层出不穷,而且利用手法也日益精妙,内部网络也会面临极大的风险(除非是完全物理隔离的内网)。所以需要同时关注内部网络和边界网络的安全。
一、原理篇
有段时间经常看中央一套的《今日说法》,其中有一个案件寻找破案线索的过程令我印象非常深刻。当时大概的案情是在一段没有监控的路上,有个女的被绑架了,这个时候寻找绑架作案的车辆就非常重要。
由于事发路段没有监控,寻找作案车辆就陷入了困难,后面公安干警想出了一个非常简单的办法找到了作案的车辆。
在绑架的现场是没有监控的,但在路的两头是有监控的,干警用给每辆车计时的方法来查找作案的车辆。如果要作案,必须要有作案的时间,也就是说这辆车的通过时间要比其他车辆时间要长。这就是最简单的逻辑推理破案。
同理,网络安全事件的发生也会有类似的逻辑,很多时候通过直接的手段很难发现入侵行为,但如果用推理的方式,入侵一定会存在某些不同寻常的行为。就像刚才的案件,没有直接监控发现,但车辆通过的时间会比其他时间长。
如果我们拥有多样化的纵深防御能力,对进攻行为体系化防御,就带来了更多的防御点和监测点,这样就可以极大的降低安全的风险。