關鍵亮點(安全領導者的快速總結)
- 混合環境會產生盲點。本文將揭示攻擊者在雲端、本地和遠端存取工作流程中利用的確切漏洞。
- 身份現已成為最強大的控制點。您將了解零信任 (Zero Trust)、多重因素驗證 (MFA) 和統一存取策略如何立即減少基於憑證的洩露。
- 端點暴露出最大的風險。本文將解釋 XDR 和端點特權管理 (EPM) 如何阻止橫向移動並保護移動設備和筆記型電腦上的憑證。
- 網絡存取需要更嚴格的控制。您將看到 ZTNA、分段和遠端 PAM 如何限制攻擊者在混合網絡內的移動。
- 快速響應現需要自動化。本文將展示 AI 驅動的偵測和 SOAR 如何將遏制時間從數天縮短到數秒。
為何傳統縱深防禦需要現代化改造
2024 年 2 月發生的 Change Healthcare 網絡攻擊——美國歷史上最大的醫療保健數據洩露事件——是現代失敗的一個完美例證。攻擊者利用遠端存取伺服器上缺乏多重因素驗證的漏洞,使用竊取的憑證,然後透過遺留系統進行橫向移動。此次事件的應對成本高達 28.7 億美元,這表明縱深防禦 (DiD) 仍然至關重要,但必須針對混合環境進行徹底演進。
傳統的 DiD 假設有清晰的網絡邊界,但兩個根本性的變化打破了這一假設:
消失的邊界:分散式工作負載和用戶
由於混合雲採用(IaaS、PaaS、SaaS)和加速的遠端工作,邊界已經消失。員工從不受信任的家庭網絡和公共 Wi-Fi 存取企業資源,形成了「無處不在的工作者」。這將攻擊面分散到雲端平台、移動端點和物聯網設備上,使企業無法再防守單一邊界。
演變中的威脅行為者 TTPs 針對混合漏洞
攻擊者已迅速開始利用混合環境中的漏洞。威脅行為者不再需要猛攻單一防火牆;他們可以針對本地、雲端或遠端組件中最薄弱的環節發起攻擊。
多雲的複雜性通常會導致安全控制措施支離破碎和策略不一致。攻擊者利用任何此類不一致性,透過最不安全的環境進入。由於傳統安全工具難以在這種流動的地形中提供統一的可見性和控制,攻擊者可以從一個立足點(例如一個 SaaS 帳戶)轉而攻擊本地伺服器。
現代化 DiD 安全模型的核心原則
原則 1:假設洩露,實施零信任和強大的 MFA
哲學必須從隱式信任轉向處處顯式驗證。您的現代 DiD 必須以「假設洩露」的心態運作,並據此設計控制措施。這是零信任架構的精髓。身份取代了網絡位置成為主要的控制平面,使得多重因素驗證 (MFA) 對所有用戶來說都是不可妥協的。
[Image of Zero Trust Architecture diagram with Identity as the central control plane]
原則 2:跨所有環境的全面可見性
實現「單一管理介面」來關聯來自雲端工作負載、SaaS 應用程式、本地伺服器和端點的事件至關重要。碎片化的監控會直接導致錯失威脅和延遲事件響應,因為攻擊者可以在監控系統的間隙中橫向移動而不被察覺。您必須投入資源於打破安全孤島的工具,並擴展 SIEM 以接收所有領域的日誌。
原則 3:以數據為中心——保護最重要的資產
現代 DiD 優先保護數據本身,而不僅是圍繞它的基礎設施。解決方案是以數據為中心的安全策略:首先對關鍵數據進行分類,然後在其整個生命週期中,在盡可能靠近數據的地方應用多層保護。這包括強大的加密、標記化以及嚴格的存取控制,確保即使其他層級失敗,數據仍然受到保護或無法使用。
原則 4:自動化與協調
自動化和協調對於一致地執行安全策略和快速響應威脅至關重要。現代 DiD 架構利用技術將各層連接起來,使其作為一個協調的整體運作。最終目標是實現自主安全態勢,透過協調混合基礎設施中的遏制行動,在數秒內而非數天內對網絡威脅做出反應。
重新架構您的層次:可操作的策略
基礎階段:身份、存取和端點安全
- 身份管理: 部署雲原生身份供應商並建立全面的特權存取管理 (PAM) 與即時權限提升。像 Segura® 這樣的下一代 PAM 平台可減少不必要的常駐權限,並應用一致的技術控制。
- 端點安全: 為所有設備(筆記型電腦、智能手機)部署 擴展偵測與回應 (XDR) 和 端點特權管理 (EPM)。保持積極的修補管理並實施移動威脅防禦。
- 安全網絡結構: 用 零信任網絡存取 (ZTNA) 取代廣泛的 VPN 存取。實施微隔離以防止橫向移動,並擴展遠端 PAM 以用於外部用戶。
保護階段:應用程式安全、數據保護和實體安全
- 應用程式和 API 安全: 將自動化安全測試嵌入到 DevSecOps 管道中。部署 Web 應用程式防火牆和 API 網關來監控所有請求並實施運行時應用程式自我保護 (RASP)。
- 以數據為中心的保護: 使用自動化數據發現和分類。部署策略性加密(包括機密運算)並使用資料外洩防護 (DLP) 來監控數據移動。
情報階段:自動化偵測和文化
- AI 驅動的威脅偵測: 部署 AI 驅動的 SIEM 平台,匯總來自所有環境的日誌。實施 安全協調、自動化和響應 (SOAR) 工具以觸發協調的遏制行動。
- 安全意識文化: 建立持續的安全意識,以應對混合工作現實(保護家庭網絡、識別社交工程)。
結論:戰略性下一步
在現代企業中實施 DiD 需要重新思考安全措施,以適應一個沒有邊界的世界,將身份和數據置於中心,並將自動化貫穿始終。
Segura® 的全面 PAM 平台 為現代縱深防禦提供了基石,提供完整的特權存取生命週期覆蓋,且部署速度比傳統解決方案顯著更快。透過同時解決多重 DiD 保護,Segura® 大幅降低了基礎設施要求。
關於 Segura®
Segura® 致力於確保企業對其特權操作與資訊的自主掌控。為此,我們透過追蹤管理者在網絡、伺服器、資料庫及眾多裝置上的操作,有效防範資料竊取。此外,我們也協助企業符合稽核要求及最嚴格的標準,包括 PCI DSS、沙賓法案(Sarbanes-Oxley)、ISO 27001 及 HIPAA。
關於Version 2
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
