信息化觀察網(wǎng)

去年，當(dāng)SolarWinds攻擊被揭露時(shí)，其復(fù)雜入侵的程度令人震驚：攻擊者利用SolarWinds的商業(yè)軟件滲透到主要公司和政府機(jī)構(gòu)，暴露敏感數(shù)據(jù)。網(wǎng)絡(luò)犯罪分子能夠從一臺(tái)受感染的筆記本電腦跳轉(zhuǎn)到公司的活動(dòng)目錄（Active Directory），再到Azure Active Directory和Office 365以實(shí)現(xiàn)完全控制。

這也引出了一個(gè)重大的網(wǎng)絡(luò)安全問(wèn)題，即此次攻擊是否為威脅行為者攻擊嚴(yán)重依賴單一供應(yīng)商安全基礎(chǔ)設(shè)施的公司（如微軟）樹(shù)立了先例。

事實(shí)上，SolarWinds事件后還發(fā)生了一系列引人注目的攻擊，其中包括勒索軟件攻擊，導(dǎo)致美國(guó)能源公司Colonial Pipeline和肉類生產(chǎn)商JBS的業(yè)務(wù)中斷。

勒索軟件和惡意軟件攻擊的這種升級(jí)表明已經(jīng)樹(shù)立了先例——這對(duì)于依賴單一供應(yīng)商安全基礎(chǔ)設(shè)施的公司來(lái)說(shuō)顯然是個(gè)壞消息。

不要讓單一供應(yīng)商的安全“擊沉你的船”

早期的船只有一個(gè)單一的連接的船體，更容易建造，但也更容易沉沒(méi)，因?yàn)榇w一旦破裂就會(huì)立即注滿水。多個(gè)防水船體隔間使船舶更安全，如果將船舶分成足夠小的隔間，則可以使船舶幾乎不會(huì)沉沒(méi)。

依賴單一供應(yīng)商提供基礎(chǔ)設(shè)施、工具和安全性的企業(yè)就像這些早期的船只：更容易構(gòu)建，但也更容易下沉。相反地，對(duì)安全基礎(chǔ)設(shè)施進(jìn)行細(xì)分的企業(yè)就像有幾個(gè)隔間的船。當(dāng)一個(gè)區(qū)域受到威脅時(shí)，整艘船并沒(méi)有完全暴露。這種類比并不完美，因?yàn)樘┨鼓峥颂?hào)也是這樣設(shè)計(jì)的，但是撇開(kāi)冰山不談，這種類比還是存在合理性的；分段、分層的基礎(chǔ)設(shè)施對(duì)于攻擊的抵御能力要強(qiáng)得多。

SolarWinds攻擊是依賴單一供應(yīng)商提供基礎(chǔ)設(shè)施、工具和安全而遭遇危險(xiǎn)的典型例子。獨(dú)有的Microsoft架構(gòu)提供了一個(gè)不間斷的連接表面，使網(wǎng)絡(luò)犯罪分子能夠從單個(gè)受感染的筆記本電腦轉(zhuǎn)移到Azure Active Directory，然后是Office 365。一旦黑客可以訪問(wèn)電子郵件，他們就可以冒充組織中的任何人，最終獲得完全控制。

由于Microsoft的業(yè)務(wù)應(yīng)用程序部署非常廣泛，黑客可以輕松訪問(wèn)數(shù)千個(gè)組織使用的相同產(chǎn)品。這也意味著他們可以微調(diào)他們的滲透方法并使用高度復(fù)雜的策略來(lái)攻擊高價(jià)值目標(biāo)。

構(gòu)建多層網(wǎng)絡(luò)安全技術(shù)堆棧以提高安全性

由于較低的復(fù)雜性，通過(guò)一個(gè)供應(yīng)商擁有所有東西的方式一直備受青睞。但從最近的攻擊中得出的明確教訓(xùn)表明，在基礎(chǔ)設(shè)施和安全方面依賴單一供應(yīng)商就相當(dāng)于為黑客鋪上了紅地毯。

通過(guò)獨(dú)立于底層基礎(chǔ)設(shè)施的安全產(chǎn)品和服務(wù)，在基礎(chǔ)設(shè)施的所有部分實(shí)施同類最佳的安全實(shí)踐，可以規(guī)避單一供應(yīng)商帶來(lái)的安全威脅。建造一堵密不透風(fēng)的墻是不可能的，但將應(yīng)用程序堆棧和安全堆棧分開(kāi)，并插入第三方安全產(chǎn)品會(huì)為諸如SolarWinds漏洞之類的攻擊流程設(shè)置障礙。

確保您多元化的技術(shù)堆棧適合您

當(dāng)部署多元化的技術(shù)堆棧時(shí)，您對(duì)應(yīng)用程序的選擇需要以明確的網(wǎng)絡(luò)安全策略為基礎(chǔ)。

將應(yīng)用程序與安全工具分開(kāi)只是一個(gè)開(kāi)始。為了真正打好“艙門(mén)”，企業(yè)需要在整個(gè)技術(shù)堆棧中保持一致的安全性——無(wú)論是在云端還是在網(wǎng)絡(luò)安全解決方案中。

這里有一個(gè)“時(shí)髦”的解決方案。安全訪問(wèn)服務(wù)邊緣（SASE，讀作“sassy”）是一個(gè)新興的網(wǎng)絡(luò)安全概念。它簡(jiǎn)化了安全性，無(wú)需對(duì)每個(gè)單獨(dú)元素進(jìn)行耗時(shí)的管理。SASE為任何云服務(wù)或設(shè)備中的數(shù)據(jù)提供復(fù)雜的云訪問(wèn)安全代理（CASB）端到端保護(hù)；它還提供了一個(gè)安全的Web網(wǎng)關(guān)（SWG），可以直接在用戶的設(shè)備上解密和檢查流量——實(shí)時(shí)提供最佳的內(nèi)容過(guò)濾和威脅保護(hù)服務(wù)；它的第三個(gè)關(guān)鍵特性是零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA），它提供對(duì)現(xiàn)場(chǎng)資源的全面和安全的遠(yuǎn)程訪問(wèn)。

加強(qiáng)對(duì)分散勞動(dòng)力的保護(hù)

不要讓單一供應(yīng)商解決方案將你置于險(xiǎn)地，任由黑客擺布。使您的技術(shù)堆棧多樣化并部署SASE及其提供的保護(hù)措施，讓您可以制定最佳路線——使安全團(tuán)隊(duì)能夠開(kāi)發(fā)更具彈性的IT基礎(chǔ)設(shè)施，以支持業(yè)務(wù)穩(wěn)定性并最大限度地減少任何網(wǎng)絡(luò)攻擊的傳播。