零信任网络分段如何防止网络入侵在整个企业蔓延

就网络安全而言，我们现在正处于“遏制/控制”的时代。

“预防”和“检测”的时代——当时的重点是将攻击者拒之门外，或是在他们成功入侵后迅速找到他们——已经结束了!但这并不是说企业应该停止他们的预防和检测策略;只是最好是采取“三管齐下”的安全措施，其中也包括遏制措施。

网络安全公司Illumio的首席产品官Mario Espinoza指出，如今的黑客入侵是不可避免的，但当攻击者可以自由访问关键的基础设施、数据和资产时，它们的破坏性最大。

向“遏制”时代的演进，意味着通过主动阻止漏洞的扩散来最大限度地降低漏洞带来的影响。这就是零信任分段的概念，在零信任模型中，分段是降低风险的关键因素。通过身份分段，可以抑制大部分入侵的横向移动。企业需要将用户帐户(员工、承包商、远程工作人员，甚至特权用户)和端点都分为微分段。所有数据源和计算服务都被视为资源：笔记本电脑、台式机、物理服务器、虚拟机等实体，都被视为资源。所有这些端点都与用户(人员账户或服务账户)相关联。

Espinoza解释称，“造成最大损害的往往并非初始漏洞，而是攻击者可以在不被发现的情况下在整个企业中横向移动，从而导致业务中断和数据泄露。零信任分段就是解决这一问题的有效方案。”

混合工作，更大的攻击面

混合工作模式呈现出一种独特的困境：它们帮助企业更加相联的同时，也加剧了受到伤害的可能性。它们扩大了攻击面，从而为黑客提供了可乘之机。

例如，仅在过去两年——在疫情大流行期间，人们争相采用混合工作模式——76%的企业遭受过勒索软件攻击。

而且，对企业来说，针对混合工作环境的攻击往往更昂贵：它们的成本大约比全球平均水平高出60万美元。但是，尽管企业报告称，近一半的远程员工必须使用VPN，但66%的企业表示，他们在VPN上的用户与在办公室的用户具有相同的可见性。

ESG首席分析师Dave Gruber表示，“勒索软件和其他网络攻击通常涉及攻击链中某个位置的终端用户设备，然后横向移动至其他更高价值的资产。”

但是，预防、检测和响应机制在阻止快速移动的攻击方面可能还不够。网络犯罪分子仍在继续寻找进入的方法，并迅速横向移动。Gruber表示，跨终端设备的零信任分段等遏制策略可以主动阻止勒索软件和其他快速移动攻击扩散到关键基础设施和资产，从而降低风险。

零信任分段：增强的功能

零信任分段隔离了跨云、数据中心和端点的工作负载和设备。

Illumio和Bishop Fox模拟的一系列网络攻击发现，零信任分段可以在10分钟内终止攻击——比单一的端点检测和响应(EDR)快了近4倍。利用零信任分段的企业拥有高效攻击响应流程的可能性是其他企业的2.7倍，每年可以节省2010万美元的停机成本。

Espinoza指出，EDR工具必须检测到漏洞才有效;而由于企业正处于网络攻防的“猫鼠游戏”中，它们必须不断提高这种检测能力，以保持领先地位。这就是为什么对企业来说，不仅要努力预防和发现漏洞，还要建立抵御网络攻击的能力。只有这样，一个小的漏洞才不至于中断业务运营或影响关键数据。

小漏洞不再是大灾难

Espinoza称，毫无疑问，企业在不断创新，但黑客也同样在加速演进，开发更复杂的攻击模式。而且，大多数网络攻击都是“机会主义的”。

Espinoza解释称，“虽然组织机构必须在100%的时间内都是正确的，以防止入侵，但攻击者只需要一次‘幸运’的尝试就可以渗透到网络中。随着攻击面比以往任何时候都更广，入侵变得越来越频繁和严重也就不足为奇了。”

为此，企业必须转变思维方式，必须了解自己环境中的工作负载、设备和应用程序，以及如何通信，以确定最大的漏洞。这使企业能够全面了解其网络风险，并优先考虑将产生最大影响的安全方法。

Espinoza称，“如今，越来越多的企业领导者已经认清网络入侵不可避免的现实，尽管有强大的预防、检测和响应工具很重要，但这些措施远远不足以阻止网络中横向移动且不被发现的攻击者。”

零信任分段优先考虑薄弱环节

零信任分段工具使用分段来防止恶意行为者在初始入侵后深入到企业的网络中。如此一来，安全团队就可以大大增加“首个被入侵的笔记本电脑也是最后一个”的可能性。

提供终端之间以及网络其他部分如何通信的可见性，使安全团队能够看到风险，优先保护最脆弱的区域，并更快地对事件做出反应。这意味着企业可以在混合工作时建立抵御网络威胁的能力，这样一来，一个小的漏洞就不至于蔓延成一场大灾难。

不过，Espinoza强调称，安全归根结底是一项需要通力合作的工作。员工必须了解自己的角色，了解社交工程攻击和网络钓鱼邮件，汇报可疑活动，安装最新的更新和补丁程序。安全不是可有可无的考虑事项，而必须是C级领导者的优先事项。