不久之前,大多数工作是在办公室内部完成的。但是,今天,大多数工作都是远程进行的,至少有很大一部分时间是在远程进行的。我们从机场,咖啡店,酒店和火车出发。大部分时间,大多数员工(例如员工或承包商)在家庭和共享办公室(例如WeWork)中远程工作。
这种转变对企业安全具有重大影响,企业安全旨在保护外围环境。企业虚拟专用网络(VPN)是用于启用和保护远程访问的最常见解决方案,它使远程工作人员可以访问企业网络以及对该网络上的应用程序和数据的访问。可以“信任”局域网(LAN)上的用户的过时想法为攻击者提供了巨大的攻击面。
幸运的是,一种称为软件定义的边界(SDP)的新的远程访问范例已采用零信任方法进行远程访问,该方法用对重要IT资源的基于身份的精细访问代替了广泛的网络访问。在此过程中,SDP可以保护企业免受犯罪分子用来攻击企业网络的各种威胁和黑客技术的侵害。
在此eWEEK数据点文章中,Meta Networks前首席执行官,现为Proofpoint的零信任产品副总裁Etay Bogner 强调了企业VPN在防御方面缺乏的八种常见安全威胁。相反,他指出,SDP是应对这些威胁的有效选择。
数据点1:中间人
中间人攻击(MITM)是一种安全漏洞,攻击者将自己置于用户和应用程序之间的对话中-进行窃听或假冒其中一方,使其看起来像是正常交换信息正在进行中。SDP和VPN解决方案都可以通过在加密隧道上发送网络流量来提供针对MiTM攻击的保护。但是,SDP可以确保始终在线的部署,从而保护Web流量并确保对企业网络的访问。许多传统的VPN解决方案使用拆分隧道直接发送Web流量,以节省成本并减少延迟,从而使端点易受攻击。另一方面,SDP保护开放端点以解决此问题。
数据点2:DNS劫持
DNS劫持是在公共WiFi网络上工作的另一个危险。黑客可以干预DNS解析,以将人们发送到恶意站点,而不是他们打算访问的站点。可以通过使用恶意软件或对服务器进行未经授权的修改来实现。一旦个人控制了DNS,他们就可以将其他访问者引导到外观相同但包含额外内容(例如广告)的网页。他们还可以将用户定向到包含恶意软件或第三方搜索引擎的页面。基于网络即服务架构的永远在线SDP解决方案使用经过精心策划的安全DNS服务来执行解析并防止DNS劫持。
数据点3:SSL剥离
SSL剥离是一种MiTM攻击,它会将端点和服务器之间的通信降级为未加密的格式,以便能够读取内容。防止SSL剥离的一种方法是安装HTTPS Everywhere,这是一个浏览器扩展程序,可在任何可能的地方强制进行HTTPS通信,从而防止不速之客将通信降级为HTTP。SDP还通过在加密隧道上发送所有流量来缓解此类威胁,从而提供缓解措施。
数据点4:DDoS
在分布式拒绝服务(DDoS)攻击中,通过使请求超载使应用程序不可用。由于攻击是分布式的,因此很难阻止。拒绝服务攻击的特征在于,攻击者明确尝试阻止合法使用服务。
DoS攻击有两种一般形式:崩溃的服务和泛洪的服务。最严重的攻击是分布式的。在这里,SDP解决方案可以防止任何一种DDoS攻击,从而保护应用程序而不是最终用户设备。在SDP模型中,应用程序(以及托管它们的基础结构)没有直接连接到Internet。SDP解决方案充当网关,可防止未经授权的任何访问通过。
数据点5:端口扫描
黑客使用端口扫描在网络上找到可被攻击利用的开放端口。安全管理员必须注意与端口扫描有关的两个主要问题。首先,与开放端口和负责提供服务的程序相关的安全性和稳定性问题。其次,与通过打开或关闭端口在主机上运行的操作系统相关的安全性和稳定性问题。由于SDP解决方案将所有网络资源与Internet隔离开来,因此黑客无法利用此技术找到出路。
数据点6:蠕虫
就像最近成为头条新闻的BlueKeep一样,蠕虫是一种从一台机器传播到另一台机器的攻击方式。为什么大惊小怪?因为感染用户所要做的全部工作就是加入受信任或不受信任的网络。换句话说,传统的端点安全平台(例如防病毒和EDR)也无法阻止此类利用,并且用户意识培训也无济于事。由于不需要用户采取任何措施,仅需在受感染设备连接到同一网络时将用户的笔记本电脑或电话连接到网络即可。由于蠕虫是通过网络利用的,因此在大多数情况下,企业防火墙或VPN无法减轻BlueKeep之类的利用。零信任SDP为用户提供了独特的,
数据点7:蛮力攻击
与DDoS相似,蛮力攻击是指黑客通过重复的登录尝试来尝试访问网络或应用程序。SDP解决方案将立即检测失败的访问尝试,但还将记录可疑的地理位置或一天中的时间,设备状态的更改以及端点上没有活动的防病毒软件,并拒绝访问。
数据点8:旧版应用
例如,许多遗留应用程序的设计目的都不是可以从Internet访问的,并且缺乏我们在现代软件即服务(SaaS)应用程序中理所当然的基本安全性。通过SDP解决方案限制对旧版应用程序的访问,可将应用程序与企业网络和Internet隔离开来,并添加自适应控件以降低风险。
Always-on Software-Defined Perimeters在应用程序层确保了到云基础架构之间以及云基础架构之间的网关安全性,从而建立了强大的安全框架。借助加密功能来确保即使第三方应用程序提供商也无法访问通信,SDP保证了高度防护的外围环境,非常适合于云转发组织。